Data Breach Notification bei arbeitsteiliger Personendatenverarbeitung? | Beitrag von Christian Werbik, VACE Senior GRC Consultant

DIGITAL SOLUTIONS,

Die Pflichten nach Artikel 33 Absatz 1 DSGVO zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde treffen den Verantwortlichen selbst.

Letzterer meldet bekanntlich

  • unverzüglich und möglichst binnen 72 Stunden,
  • nachdem ihm die Verletzung bekannt wurde,
  • der zuständigen Aufsichtsbehörde,
  • es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Freilich kann Kenntnis auch durch einen Dritten erlangt werden. Beispielsweise könnte ein Dritter als „falscher Empfänger“ dem Verantwortlichen melden, eine nicht für ihn bestimmte Nachricht bekommen zu haben. Die Kenntnis tritt ein, wenn dem Verantwortlichen gewahr wird („klare Indizien“, „hinreichende Gewissheit“), was passiert ist.

Eine kurze Phase der Sachverhaltserhebung ist hinsichtlich der Frist zu tolerieren - währenddessen herrscht (noch) keine „Kenntnis“. Die 72-Stunden-Frist startet erst ab „Kenntnis“. Im Unternehmen muss jeder Mitarbeiter die zentrale Meldestelle für Datenschutzvorfälle kennen.

Im Falle von arbeitsteiliger Personendatenverarbeitung stellt sich die Frage, wen die Pflichten zur data breach notification treffen. Dabei handelt es sich um Auftragsverarbeitung sowie gemeinsame Verantwortlichkeit.

Auftragsverarbeitung

Art 33 (2) DSGVO: Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.

Art 28 (3) DSGVO: Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags (…), der (…) den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag (…) sieht insbesondere vor, dass der Auftragsverarbeiter (…) f) unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt;

Wie eingangs beschrieben: Grundsätzlich ist der Verantwortliche für die behördliche data breach Meldung zuständig. Der Auftragsverarbeiter muss den Verantwortlichen in die Lage versetzen, dieser Pflicht nachzukommen. Art 28 DSGVO zum Auftragsverarbeiter normiert, dass der Auftragsverarbeitervertrag vorsieht, der Auftragnehmer müsse den Verantwortlichen u.a. bei Art 33f DSGVO unterstützen.

Nimmt also der Auftragsverarbeiter Kenntnis vom data breach so hat er dies dem Verantwortlichen ohne Verzögerung mitzuteilen. „Kenntnis“ beim Verantwortlichen tritt also in Folge der Information durch den Auftragsverarbeiter ein. Der Verantwortliche wahrt die 72-Stunden-Frist gegenüber der Behörde.

Der Auftragsverarbeiter bewertet nicht das Risiko sondern meldet jeden tatbestandsmäßigen data breach (objektive Datenschutzverletzung, zB durch Verlieren/Veröffentlichung) an den Verantwortlichen. Der Verantwortliche macht die Risikobewertung nach allgemeinen Regeln.

Bei der Risikobewertung sind die gesamtheitlichen Umstände der Auftragsverarbeitung zu berücksichtigen. So könnte der Auftragsverarbeiter Personendaten verloren haben, von denen der Verantwortliche immer noch ein backup besitzt – dies würde Verfügbarkeitsrisiken senken.

Gemeinsam Verantwortliche

Artikel 26 DSGVO: Gemeinsam für die Verarbeitung Verantwortliche (1)Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.

Gemeinsam Verantwortliche legen ihre jeweiligen Pflichten in einer Vereinbarung fest. Dieser Vertrag sollte die Pflichten nach Art 33f DSGVO, data breach, umfassen. Wer ist zuständig für Datenschutzvorfälle?

Hier herrscht Vertragsfreiheit und ist etwa eine Trennung nach Funktionsbereichen denkbar. Wer sich um die Datenschutzverletzung kümmern muss hängt also vom Vertragswortlaut ab. Es gelten allgemeine Regeln des Vertragsrechts.

Ihr nächster Schritt im Datenschutz-Management-System sollte sein, data breach Prozeduren auf arbeitsteilige Personendatenverarbeitungen zu erstrecken. Letztere sollten im Verzeichnis der Verarbeitungstätigkeiten ersichtlich sein. Ist jedem Beteiligten die eigene Rolle und Handlungspflicht bewusst?