Artikel 31 DSGVO-EU: Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

1. Bei einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der für die Verarbeitung Verantwortliche die Aufsichtsbehörde ohne unangemessene Verzögerung und nach Möglichkeit binnen 24 Stunden nach Feststellung der Verletzung. Falls die Meldung an die Aufsichtsbehörde nicht binnen 24 Stunden erfolgt, ist dieser eine Begründung beizufügen.

2. In Übereinstimmung mit Artikel 26 Absatz 2 Buchstabe f alarmiert und informiert der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen unmittelbar nach Feststellung einer Verletzung des Schutzes personenbezogener Daten.

3. Die in Absatz 1 genannte Benachrichtigung enthält mindestens folgende Informationen: a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Datenkategorien und der Zahl der betroffenen Datensätze; b) Name und Kontaktdaten des Datenschutzbeauftragten oder eines sonstigen Ansprechpartners für weitere Informationen; c) Empfehlungen für Maßnahmen zur Eindämmung etwaiger negativer Auswirkungen der Verletzung des Schutzes personenbezogener Daten; d) eine Beschreibung der Folgen der Verletzung des Schutzes personenbezogener Daten; e) eine Beschreibung der vom für die Verarbeitung Verantwortlichen vorgeschlagenen oder ergriffenen Maßnahmen zur Behandlung der Verletzung des Schutzes personenbezogener Daten.

4. Der für die Verarbeitung Verantwortliche dokumentiert etwaige Verletzungen des Schutzes personenbezogener Daten unter Beschreibung aller im Zusammenhang mit der Verletzung stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Die Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen. Die Dokumentation enthält nur die zu diesem Zweck erforderlichen Informationen.

5. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Anforderungen in Bezug auf die Feststellung der in den Absätzen 1 und 2 genannten Verletzungen des Schutzes personenbezogener Daten festzulegen sowie die konkreten Umstände, unter denen der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter die Verletzung des Schutzes personenbezogener Daten zu melden haben.

6. Die Kommission kann das Standardformat für derartige Meldungen an die Aufsichtsbehörde, die Verfahrensvorschriften für die vorgeschriebene Meldung sowie Form und Modalitäten der in Absatz 4 genannten Dokumentation einschließlich der Fristen für die Löschung der darin enthaltenen Informationen festlegen. Die entsprechenden Durchführungsrechtsakte werden in Übereinstimmung mit dem in Artikel 87 Absatz 2 genannten Prüfverfahren erlassen.

Entwurf!

Begründung:

(3.4. Erläuterung des Vorschlags im Einzelnen)

"Artikel 31 und 32 führen ausgehend von Artikel 4 Absatz 3 der Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG eine entsprechende Meldepflicht für Verstöße gegen den Schutz personenbezogener Daten ein."

Erwägungsgründe:

"(67) Eine Verletzung des Schutzes personenbezogener Daten kann erhebliche wirtschaftliche Schäden und soziale Nachteile einschließlich des Identitätsbetrugs für die betroffene Person nach sich ziehen, wenn nicht rechtzeitig und angemessen reagiert wird. Deshalb sollte der für die Verarbeitung Verantwortliche nach Bekanntwerden einer derartigen Verletzung die Aufsichtsbehörde ohne unangemessene Verzögerung – falls möglich binnen 24 Stunden – davon in Kenntnis setzen. Falls die Benachrichtigung nicht binnen 24 Stunden erfolgen kann, sollten in ihr die Gründe für die Verzögerung angegeben werden müssen. Natürliche Personen, für die eine derartige Verletzung des Schutzes ihrer personenbezogenen Daten nachteilige Auswirkungen haben könnte, sollten ohne unangemessene Verzögerung benachrichtigt werden, damit sie die erforderlichen Sicherheitsvorkehrungen treffen können. Die Auswirkungen einer solchen Verletzung sollten als nachteilig für den Schutz der personenbezogenen Daten oder der Privatsphäre einer natürlichen Person angesehen werden, wenn sie zum Beispiel einen Identitätsdiebstahl oder -betrug, eine physische Schädigung, eine erhebliche Demütigung oder Rufschädigung zur Folge haben. Die Benachrichtigung sollte eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten sowie an die betroffene Person gerichtete Empfehlungen zur Minderung etwaiger negativer Auswirkungen dieser Verletzung beinhalten. Die Benachrichtigung der betroffenen Person sollte stets so rasch wie nach allgemeinem Ermessen möglich, in enger Absprache mit der Aufsichtsbehörde und nach Maßgabe der von dieser oder von anderen zuständigen Behörden (z.B. Strafverfolgungsbehörden) erteilten Weisungen erfolgen. Damit eine betroffene Person das Risiko eines unmittelbaren Schadens für sich klein halten kann, bedarf es beispielsweise ihrer sofortigen Benachrichtigung, wohingegen eine längere Benachrichtigungsfrist gerechtfertigt sein kann, wenn es darum geht, geeignete Maßnahmen gegen fortlaufende oder ähnliche Verletzungen der Datensicherheit zu ergreifen.

(

68) Um bestimmen zu können, ob eine gegebene Verletzung des Schutzes personenbezogener Daten der Aufsichtsbehörde und der betroffenen Person ohne unangemessene Verzögerung gemeldet wurde, sollte jeweils überprüft werden, ob der für die Verarbeitung Verantwortliche ausreichende technische Vorkehrungen und organisatorische Maßnahmen getroffen hat, um sofort feststellen zu können, ob eine Verletzung des Schutzes personenbezogener Daten aufgetreten ist, und um die Aufsichtsbehörde und die betroffene Person umgehend unterrichten zu können, noch bevor persönliche oder wirtschaftliche Interessen Schaden nehmen können, wobei die Art und Schwere der Verletzung des Schutzes personenbezogener Daten sowie deren negative Folgen für die betroffene Person zu berücksichtigen sind.

(69) Bei der detaillierten Regelung des Formats und der Verfahren für die Meldung von Verletzungen des Schutzes personenbezogener Daten sollten die Umstände der Verletzung hinreichend berücksichtigt werden, beispielsweise ob personenbezogene Daten durch geeignete technische Sicherheitsvorkehrungen geschützt waren, die die Wahrscheinlichkeit eines Identitätsbetrugs oder anderer Formen des Datenmissbrauchs wirksam verringern. Überdies sollten solche Regeln und Verfahren den berechtigten Interessen der Strafverfolgungsbehörden in Fällen Rechnung tragen, in denen die Untersuchung der Umstände der Verletzung durch ein frühzeitiges Bekanntwerden in unnötiger Weise behindert würde.

(70) Gemäß der Richtlinie 95/46/EG waren Verarbeitungen personenbezogener Daten bei den Aufsichtsbehörden generell meldepflichtig. Diese Meldepflicht ist mit einem bürokratischen und finanziellen Aufwand verbunden und hat doch keineswegs in allen Fällen zu einem besseren Schutz personenbezogener Daten geführt. Diese unterschiedslose allgemeine Meldepflicht sollte daher abgeschafft und durch wirksame Verfahren und Mechanismen ersetzt werden, die sich stattdessen vorrangig mit jenen Verarbeitungsvorgängen befassen, die aufgrund ihres Wesens, ihres Umfangs oder ihrer Zwecke konkrete Risiken für die Rechte und Freiheiten betroffener Personen bergen können. In derartigen Fällen sollte der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter vor der Verarbeitung eine Datenschutz-Folgenabschätzung durchführen, die sich insbesondere mit den Maßnahmen, Garantien und Verfahren befasst, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Bestimmungen dieser Verordnung nachgewiesen werden sollen.

(71) Dies sollte insbesondere für neu geschaffene umfangreiche Dateien gelten, die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten, und die eine große Zahl von Personen betreffen könnten."

Quelle: Europäischen Kommission: "Vorschlag für Verordnung des Europäischen Parlamentes und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) /* KOM/2012/011 endgültig - 2012/0011 (COD) */" vom 25.01.2012.