Europäischer Datenschutzausschuss: Aktualisierte Leitlinien zur Meldung von Datenschutzverletzungen
Der Europäische Datenschutzausschuss (EDSA) hat kürzlich seine Leitlinien für die Meldung von Datenschutzverletzungen aktualisiert. Unternehmen sollten die vom EDSA verabschiedeten Vorgaben zum Anlass nehmen, interne Prozesse und Richtlinien zur Handhabung von Datenschutzvorfällen einer Revision zu unterziehen, ob sie den Anforderungen der europäischen Aufsichtsbehörden Rechnung tragen.
Hintergrund: Strenge Meldepflichten für Datenschutzverletzungen nach der DS-GVO
Die europäische Datenschutz-Grundverordnung (DS-GVO) verlangt von Unternehmen, etwaige Datenschutzverletzungen unverzüglich – möglichst binnen 72 Stunden – der zuständigen Aufsichtsbehörde zu melden. Ausnahmsweise ist eine Meldung nur dann nicht erforderlich, wenn die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die betroffenen Personen führt. Falls die Risiken für betroffene Personen voraussichtlich hoch sind, müssen Unternehmen auch die betroffenen Personen benachrichtigen. Ungeachtet der Risiken und davon abhängiger Meldepflichten müssen Unternehmen sämtliche Datenschutzverletzungen intern dokumentieren. Bei Verstößen gegen diese Pflichten drohen Unternehmen behördliche Maßnahmen, Bußgelder und ggf. sogar Schadensersatzforderungen betroffener Personen.
Punktuelle Klarstellungen zu Meldepflichten von nicht in der EU niedergelassenen Unternehmen in bereits etablierten Leitlinien des EDSA
Erst im Oktober 2022 hatte der EDSA neue Leitlinien zur Meldung von Datenschutzverletzungen zur öffentlichen Konsultation veröffentlicht. In seinen neuen Leitlinien hatte der EDSA die bereits etablierten Leitlinien der Artikel-29-Datenschutzgruppe aus 2017 inhaltlich weitestgehend unverändert übernommen.
Nach Durchführung des Konsultationsverfahrens hat der EDSA nun kürzlich eine aktualisierte Fassung seiner Leitlinien verabschiedet. Gegenüber der Konsultationsfassung weist die neue Version erwartungsgemäß keine elementaren Änderungen auf. Lediglich in einem Abschnitt sah der EDSA geringfügigen weiteren Anpassungsbedarf zur Klarstellung von Meldepflichten von nicht in der EU niedergelassenen Unternehmen:
Unternehmen, die nicht in der EU niedergelassen sind, aber dennoch in den Anwendungsbereich der DS-GVO fallen, müssen im Regelfall einen Vertreter in der EU benennen. Nach der bereits in der Konsultationsfassung zum Ausdruck gebrachten Auffassung des EDSA löst die bloße Anwesenheit eines solchen Vertreters in der EU jedoch noch nicht die Vorzüge des sog. „One-Stop-Shop“-Prinzips aus. Nach diesem Prinzip könnten sich in mehreren Mitgliedsstaaten der EU niedergelassene Unternehmen ggf. auch für die Meldung von Datenschutzverletzungen an eine einzige für sie zuständige sog. „federführende Aufsichtsbehörde“ wenden. Nicht in der EU niedergelassene Unternehmen müssten sich also bei Datenschutzverletzungen, die Personen in mehreren Mitgliedsstaaten betreffen, an alle zuständigen Aufsichtsbehörden der jeweiligen Mitgliedsstaaten wenden. Für Datenschutzverletzungen, die auch Personen in Deutschland betreffen, bedeutet das für nicht in der EU niedergelassene Unternehmen ggf. sogar Meldungen an die einzelnen Aufsichtsbehörden der jeweiligen Bundesländer. In der Praxis kann dies für nicht in der EU niedergelassene Unternehmen bei Datenschutzverletzungen zu enormen Aufwänden für die vielfache Meldung von Datenschutzverletzungen an mehrere verschiedene Behörden führen.
In seiner aktualisierten Fassung der Leitlinien stellt der EDSA in diesem Kontext nun noch einmal ausdrücklich klar, dass Meldungen ungeachtet der Benennung eines Vertreters in der EU ausschließlich in der Verantwortung des für die Verarbeitung Verantwortlichen liegen. Ein Vertreter in der EU könne jedoch in das Meldeverfahren einbezogen werden.
Zu anderen bislang nicht abschließend geklärten Fragen bei der Meldung von Datenschutzverletzungen lassen jedoch leider auch die aktualisierten Leitlinien des EDSA eine Klarstellung weiterhin vermissen. Das gilt nicht zuletzt für die in der Praxis häufig besonders relevante Frage, ob Unternehmen auch bei lediglich geringfügigen Risiken von einer Meldung an die zuständige Aufsichtsbehörde absehen können, wie es beispielsweise die deutsche Datenschutzkonferenz (DSK) in ihrem Kurzpapier zum Datenschutzrisiko vertritt.
Revisionsbedarf für Prozesse und interne Richtlinien zum Umgang mit Datenschutzvorfällen im Unternehmen
Unternehmen sollten die Aktualisierung der Leitlinien des EDSA zum Anlass zu nehmen, Prozesse und interne Richtlinien zur Handhabung von Datenschutzvorfällen einer sorgfältigen Revision zu unterziehen, ob sie den Anforderungen der europäischen Aufsichtsbehörden Rechnung tragen. Das gilt vor dem Hintergrund der strengen Position der Aufsichtsbehörden insbesondere auch für Unternehmen, die nicht in der EU niedergelassen sind, aber dennoch in den Anwendungsbereich der DS-GVO fallen.
Praxisgerechte Notfallplanung und resilientes Data Breach Management bilden das Rückgrat wirksamer Prävention, um Data Protection Litigation zu behördlichen Maßnahmen, Bußgeldern und Schadensersatzansprüchen betroffener Personen aufgrund von Datenschutzverletzungen wirksam vorzubeugen. Effektive und regelmäßig verprobte Prozesse zum Umgang mit Datenschutzvorfällen sind essentiell für eine rasche Bewältigung und fristgemäße Meldung von Datenschutzverletzungen. Interne Richtlinien zum Data Breach Management gehören auch mit Blick auf die datenschutzrechtliche Rechenschaftspflicht zu den essentiellen Bausteinen einer robusten Datenschutz-Governance-Dokumentation.