Meldung einer Datenpanne

Meldung Data Breach

Frage des GDD-Erfa-Kreises Würzburg:
Nach dem Wesen der Auftragsverarbeitung bilden Auftragsverarbeiter und Auftraggeber eine Handlungs-/Haftungseinheit. Wird die Aufsicht vor diesem Hintergrund eine Anrechnung schon beim Auftragsverarbeiter bis zur Eigenmeldung an den Verantwortlichen abgelaufener Meldefristanteile beim Auftraggeber vornehmen/anstreben? Würde also die (verbleibende) Meldefrist für den Auftraggeber auf 60 Stunden verkürzt, wenn der Auftragsverarbeiter selbst 12 Stunden ins Land gehen lässt, bis er den Auftraggeber über eine Datenpanne bei ihm informiert?

Nach Art. 33 Abs. 1 DS-GVO ist der Verantwortliche zur Meldung einer Datenpanne an die Aufsicht binnen 72 Stunden nach Kenntnis verpflichtet. Der Auftragsverarbeiter selbst ist nach Art. 33 Abs. 2 DS-GVO zur unverzüglichen Meldung an den Verantwortlichen verpflichtet, wenn er Anhaltspunkte für eine Datenpanne hat.

Wenn dies entsprechend dem Gesetzeswortlaut nicht der Fall ist: Ist „unverzüglich“ hinsichtlich des Auftragsverarbeiters so zu verstehen, dass er selbst auch 72 Stunden zur Meldung von Datenschutzverletzungen an den Auftraggeber hat oder gilt hier ein abweichender Maßstab bzw. welche Zeitspanne würde hier aufsichtlich toleriert?

Antwort des BayLDA:

Die 72 Stunden beginnen ab Kenntniserlangung durch den Verantwortlichen, d.h. ab dem Zeitpunkt, an dem der Auftragsverarbeiter den Verantwortlichen informiert hat.
Die Zeitspanne, in der der Auftragsverarbeiter den Verantwortlichen informiert, muss so kurz wie möglich – auch weniger als 72 Stunden sein.
Wie weit „unverzüglich“ ausgelegt wird, wird sich im Rahmen der Harmonisierung des europäischen Vollzugs zeigen.


Letztes Update:08.09.19

  • Aktuelle Prüfpraxis der Datenschutzaufsichtsbehörden

    Aktuelle Prüfpraxis der Datenschutzaufsichtsbehörden

    Seminar

    833.00 € Mehr erfahren
  • Datenschutzverletzungen richtig behandeln

    Datenschutzverletzungen richtig behandeln

    Seminar

    2019-09-25, 08:00 | Köln

    2020-02-05, 09:00 | Frankfurt/M.

    940.10 € Mehr erfahren
  • Telematik: DSK positioniert sich zu Personenkennzeichen und Verantwortlichkeit

    Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) hat sich gestern mit der Nutzung von einheitlichen, verwaltungsübergreifenden Personenkennzeichen zur direkten Identifizierung von Bürgerinnen und Bürgern befasst. Was die Bundesregierung derzeit verfolgt, lehnt die DSK hingegen ab. DSK gegen verwaltungsübergreifende Personenkennzeichen In ihrer diesbezüglichen Entschließung weist die DSK darauf hin, dass die Schaffung einer

    Mehr erfahren
  • Leitlinien Videoaufnahmen

    EDSA veröffentlicht Entwurf für Richtlinien bzgl. Videoaufnahmen

    Der Europäische Datenschutzausschuss (EDSA) hat kürzlich seine Leitlinien im Hinblick auf die Verarbeitung personenbezogener Daten durch Videoaufnahmen zur Konsultation veröffentlicht. Obwohl die Leitlinien Beispiele für die Datenverarbeitung durch Videoaufnahmen enthalten, erhebt der EDSA keinen Anspruch auf Vollständigkeit der Beispiele. Die Leitlinien sollen vielmehr Orientierung für die Anwendung der DS-GVO in allen Bereichen bieten, in denen

    Mehr erfahren
  • Haftung bei der AV

    Gesamtschuldnerische Haftung bei einer Auftragsverarbeitung

    Frage des GDD-Erfa-Kreises Würzburg:Nach der DS-GVO besteht nun in bestimmten Fällen eine gesamtschuldnerische Haftung von Auftraggeber und Auftragnehmer (Art. 82 DS-GVO). Kann hieraus abgeleitet werden, dass nun auch der Auftragnehmer für den Abschluss des ADV haftet, d.h. er hier in die Haftung genommen werden kann, wenn er sich weigert einen ADV zu unterzeichnen? Wenn der

    Mehr erfahren