Meldung einer Datenpanne

Meldung Data Breach

Frage des GDD-Erfa-Kreises Würzburg zur Meldung einer Datenpanne:
Nach dem Wesen der Auftragsverarbeitung bilden Auftragsverarbeiter und Auftraggeber eine Handlungs-/Haftungseinheit. Wird die Aufsicht vor diesem Hintergrund eine Anrechnung schon beim Auftragsverarbeiter bis zur Eigenmeldung an den Verantwortlichen abgelaufener Meldefristanteile beim Auftraggeber vornehmen/anstreben? Würde also die (verbleibende) Meldefrist für den Auftraggeber auf 60 Stunden verkürzt, wenn der Auftragsverarbeiter selbst 12 Stunden ins Land gehen lässt, bis er den Auftraggeber über eine Datenpanne bei ihm informiert?

Nach Art. 33 Abs. 1 DS-GVO ist der Verantwortliche zur Meldung einer Datenpanne an die Aufsicht binnen 72 Stunden nach Kenntnis verpflichtet. Der Auftragsverarbeiter selbst ist nach Art. 33 Abs. 2 DS-GVO zur unverzüglichen Meldung an den Verantwortlichen verpflichtet, wenn er Anhaltspunkte für eine Datenpanne hat.

Wenn dies entsprechend dem Gesetzeswortlaut nicht der Fall ist: Ist „unverzüglich“ hinsichtlich des Auftragsverarbeiters so zu verstehen, dass er selbst auch 72 Stunden zur Meldung von Datenschutzverletzungen an den Auftraggeber hat oder gilt hier ein abweichender Maßstab bzw. welche Zeitspanne würde hier aufsichtlich toleriert?

Antwort des BayLDA:

Die 72 Stunden beginnen ab Kenntniserlangung durch den Verantwortlichen, d.h. ab dem Zeitpunkt, an dem der Auftragsverarbeiter den Verantwortlichen informiert hat.
Die Zeitspanne, in der der Auftragsverarbeiter den Verantwortlichen informiert, muss so kurz wie möglich – auch weniger als 72 Stunden sein.
Wie weit „unverzüglich“ ausgelegt wird, wird sich im Rahmen der Harmonisierung des europäischen Vollzugs zeigen.


Letztes Update:08.09.19

  • Aktuelle Prüfpraxis der Datenschutzaufsichtsbehörden

    Aktuelle Prüfpraxis der Datenschutzaufsichtsbehörden

    Seminar

    833.00 € Mehr erfahren
  • Datenschutzverletzungen richtig behandeln

    Datenschutzverletzungen richtig behandeln

    Seminar

    2020-02-05, 09:00 | Frankfurt/M.

    940.10 € Mehr erfahren
  • Recht am eigenen Bild

    Infoseite zu Fotografieren unter der DS-GVO

    Das Thema des Rechts am eigenen Bild und die Frage, ob und was sich nach Geltung der DS-GVO in diesem Bereich geändert hat, ist ein Dauerbrenner. Da sich diese Fragen nicht nur den Unternehmen und deren Datenschutzbeauftragten stellen, sondern auch in KiTas, Schulen, Vereinen und auch bei der privaten Nutzung von Social Media stellen, ist

    Mehr erfahren
  • Patientendatenschutz

    Geldbuße für Defizite beim Patientendatenschutz

    Der neueste Eintrag des Enforcementtrackers für eine in Deutschland verhängte Geldbuße verweist auf die Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI). Der Enforcementtracker stellt eine aktuelle Übersicht aller bisher in EU und EWR bekannt gewordenen Bußgelder unter Geltung der DSGVO zur Verfügung. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

    Mehr erfahren
  • Evaluation der DS-GVO aus Verbrauchersicht

    Gemäß Art. 97 DS-GVO ist die EU-Kommission angehalten, bis zum 25. Mai 2020 und danach alle vier Jahre dem Europäischen Parlament und dem Rat einen Evaluationsbericht vorzulegen, in dem sie die Anwendung und Wirkung der Verordnung überprüfen und bewerten soll. Außerdem soll die Kommission erforderlichenfalls geeignete Vorschläge zur Änderung der Verordnung machen. Nach Angaben der

    Mehr erfahren