News

Europäischer Daten­schutz­ausschuss: Neue Leit­linien zur Meldung von Daten­schutz­verletzungen

21.10.2022

Der Europäische Datenschutzausschuss (EDSA) hat kürzlich neue Leitlinien für die Meldung von Datenschutzverletzungen gemäß der Datenschutz-Grundverordnung (DS-GVO) zur öffentlichen Konsultation veröffentlicht. Unternehmen sollten die vom EDSA verabschiedeten Vorgaben zum Anlass nehmen, interne Prozesse und Richtlinien zur Handhabung von Datenschutzvorfällen einer Revision zu unterziehen, ob sie den Anforderungen der europäischen Aufsichtsbehörden Rechnung tragen:

Hintergrund: Strenge Meldepflichten für Datenschutzverletzungen nach der DS-GVO und bereits etablierte Leitlinien der Artikel-29-Datenschutzgruppe

Die DS-GVO verlangt von Unternehmen, etwaige Datenschutzverletzungen unverzüglich – möglichst binnen 72 Stunden – der zuständigen Aufsichtsbehörde zu melden. Ausnahmsweise ist eine Meldung nur dann nicht erforderlich, wenn die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die betroffenen Personen führt. Falls die Risiken für betroffene Personen voraussichtlich hoch sind, müssen Unternehmen auch die betroffenen Personen benachrichtigen. Ungeachtet der Risiken und davon abhängiger Meldepflichten müssen Unternehmen sämtliche Datenschutzverletzungen intern dokumentieren. Bei Verstößen gegen diese Pflichten drohen Unternehmen behördliche Maßnahmen, Bußgelder und ggf. sogar Schadensersatzforderungen betroffener Personen.

Bereits vor Wirksamwerden der DS-GVO hatte die damalige Artikel-29-Datenschutzgruppe am 3. Oktober 2017 Leitlinien zur Meldung von Datenschutzverletzungen verabschiedet. Als Nachfolger der Artikel-29-Datenschutzgruppe hatte der EDSA diese Leitlinien am 25. Mai 2018 formell bestätigt.

Nur punktuelle Klarstellungen zu Meldepflichten von nicht in der EU niedergelassenen Unternehmen

Abgesehen von redaktionellen Änderungen hat der EDSA in seinen neuen Leitlinien für die Meldung von Datenschutzverletzungen die bereits etablierten Leitlinien der Artikel-29-Datenschutzgruppe inhaltlich weitestgehend unverändert übernommen. Lediglich in einem Abschnitt sah der EDSA geringfügigen Anpassungsbedarf zur Klarstellung von Meldepflichten von nicht in der EU niedergelassenen Unternehmen:

Unternehmen, die nicht in der EU niedergelassen sind, aber dennoch in den Anwendungsbereich der DS-GVO fallen, müssen im Regelfall einen Vertreter in der EU benennen. Nach Auffassung des EDSA löst die bloße Anwesenheit eines solchen Vertreters in der EU jedoch noch nicht die Vorzüge des sog. „One-Stop-Shop“-Prinzips aus. Nach diesem Prinzip könnten sich in mehreren Mitgliedsstaaten der EU niedergelassene Unternehmen ggf. auch für die Meldung von Datenschutzverletzungen an eine einzige für sie zuständige sog. „federführende Aufsichtsbehörde“ wenden. Nicht in der EU niedergelassene Unternehmen müssten sich also bei Datenschutzverletzungen, die Personen in mehreren Mitgliedsstaaten betreffen, an alle zuständigen Aufsichtsbehörden der jeweiligen Mitgliedsstaaten wenden. Für Datenschutzverletzungen, die auch Personen in Deutschland betreffen, bedeutet das für nicht in der EU niedergelassene Unternehmen ggf. sogar Meldungen an die einzelnen Aufsichtsbehörden der jeweiligen Bundesländer. In der Praxis kann dies für nicht in der EU niedergelassene Unternehmen bei Datenschutzverletzungen zu enormen Aufwänden für die vielfache Meldung von Datenschutzverletzungen an mehrere verschiedene Behörden führen.

Zu anderen bislang nicht abschließend geklärten Fragen bei der Meldung von Datenschutzverletzungen lassen die neuen Leitlinien des EDSA eine Klarstellung jedoch leider auch weiterhin vermissen. Das gilt nicht zuletzt für die in der Praxis häufig besonders relevante Frage, ob Unternehmen auch bei lediglich geringfügigen Risiken von einer Meldung an die zuständige Aufsichtsbehörde absehen können, wie es beispielsweise die deutsche Datenschutzkonferenz (DSK) in ihrem Kurzpapier zum Datenschutzrisiko vertritt.

Öffentliche Konsultation und ggf. Revisionsbedarf für Prozesse und interne Richtlinien zum Umgang mit Datenschutzvorfällen im Unternehmen

Der EDSA holt zu seinen neuen Leitlinien noch bis zum 29. November 2022 Feedback im öffentlichen Konsultationsverfahren ein, wobei der EDSA ausdrücklich darauf hinweist, dass sich die Konsultation nicht auf die gesamten Leitlinien, sondern ausschließlich auf den inhaltlich aktualisierten Abschnitt zu Meldepflichten nicht in der EU niedergelassener Unternehmen bezieht. Zwar ist nicht auszuschließen, dass der EDSA auf Grundlage des Feedbacks im Konsultationsverfahren noch Änderungen seiner Leitlinien vornimmt. Üblicherweise sind diese Änderungen aber lediglich redaktioneller Natur. Mit wesentlichen inhaltlichen Änderungen ist nicht zu rechnen.

Nicht in der EU niedergelassene Unternehmen, die in den Anwendungsbereich der DS-GVO fallen, sollten bei der Meldung von Datenschutzverletzungen daher schon jetzt die neuen Klarstellungen des EDSA berücksichtigen, zumal die veröffentlichte Fassung der Leitlinien die gemeinsame Linie der europäischen Aufsichtsbehörden wiedergibt. Auch in der EU niedergelassenen Unternehmen empfehlen wir, die nun vom EDSA verabschiedeten  Leitlinien zum Anlass zu nehmen, Prozesse und interne Richtlinien zur Handhabung von Datenschutzvorfällen einer Revision zu unterziehen, ob sie den Anforderungen der europäischen Aufsichtsbehörden Rechnung tragen.

Praxisgerechte Notfallplanung und resilientes Data Breach Management bilden das Rückgrat wirksamer Prävention, um Data Protection Litigation zu behördlichen Maßnahmen, Bußgeldern und Schadensersatzansprüchen betroffener Personen aufgrund von Datenschutzverletzungen wirksam vorzubeugen. Effektive und regelmäßig verprobte Prozesse zum Umgang mit Datenschutzvorfällen sind essentiell für eine rasche Bewältigung und fristgemäße Meldung von Datenschutzverletzungen. Interne Richtlinien zum Data Breach Management gehören auch mit Blick auf die datenschutzrechtliche Rechenschaftspflicht zu den essentiellen Bausteinen einer robusten Datenschutz-Governance-Dokumentation.