Meldung einer Datenpanne
Frage des GDD-Erfa-Kreises Würzburg zur Meldung einer Datenpanne:
Nach dem Wesen der Auftragsverarbeitung bilden Auftragsverarbeiter und Auftraggeber eine Handlungs-/Haftungseinheit. Wird die Aufsicht vor diesem Hintergrund eine Anrechnung schon beim Auftragsverarbeiter bis zur Eigenmeldung an den Verantwortlichen abgelaufener Meldefristanteile beim Auftraggeber vornehmen/anstreben? Würde also die (verbleibende) Meldefrist für den Auftraggeber auf 60 Stunden verkürzt, wenn der Auftragsverarbeiter selbst 12 Stunden ins Land gehen lässt, bis er den Auftraggeber über eine Datenpanne bei ihm informiert?
Nach Art. 33 Abs. 1 DS-GVO ist der Verantwortliche zur Meldung einer Datenpanne an die Aufsicht binnen 72 Stunden nach Kenntnis verpflichtet. Der Auftragsverarbeiter selbst ist nach Art. 33 Abs. 2 DS-GVO zur unverzüglichen Meldung an den Verantwortlichen verpflichtet, wenn er Anhaltspunkte für eine Datenpanne hat.
Wenn dies entsprechend dem Gesetzeswortlaut nicht der Fall ist: Ist „unverzüglich“ hinsichtlich des Auftragsverarbeiters so zu verstehen, dass er selbst auch 72 Stunden zur Meldung von Datenschutzverletzungen an den Auftraggeber hat oder gilt hier ein abweichender Maßstab bzw. welche Zeitspanne würde hier aufsichtlich toleriert?
Antwort des BayLDA:
Die 72 Stunden beginnen ab Kenntniserlangung durch den Verantwortlichen, d.h. ab dem Zeitpunkt, an dem der Auftragsverarbeiter den Verantwortlichen informiert hat.
Die Zeitspanne, in der der Auftragsverarbeiter den Verantwortlichen informiert, muss so kurz wie möglich – auch weniger als 72 Stunden sein.
Wie weit „unverzüglich“ ausgelegt wird, wird sich im Rahmen der Harmonisierung des europäischen Vollzugs zeigen.
Verwandte Produkte
Das könnte Sie auch interessieren
-
Webinar Verarbeitungsverzeichnis softwaregestützt erstellen, dokumentieren, pflegen und archivieren
Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager
Mehr erfahren -
BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit
Mehr erfahren -
Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?
Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO
Mehr erfahren
