Die Art.-29-Datenschutzgruppe hat die auf den 6. Febru­ar 2018 datier­te fina­le Fas­sung der “Gui­de­li­nes on Per­so­nal data bre­ach noti­fi­ca­ti­on under Regu­la­ti­on 2016÷679” ver­öf­fent­licht. Die Abwei­chun­gen zum Ent­wurf vom 3. Okto­ber 2017 sind in die­sem Ver­gleichs­do­ku­ment ersicht­lich: Link (PDF).

Neu sind u.a. Aus­füh­run­gen zu Daten­schutz­ver­let­zun­gen, die einen nicht in der EU nie­der­ge­las­se­nen Ver­ant­wort­li­chen betref­fen:

Whe­re a con­trol­ler not esta­blished in the EU is sub­ject to Arti­cle 3(2) or Arti­cle 3(3) and expe­ri­en­ces a bre­ach, it is the­re­fo­re still bound by the noti­fi­ca­ti­on obli­ga­ti­ons under Arti­cles 33 and 34. Arti­cle 27 requi­res a con­trol­ler (and pro­ces­sor) to desi­gna­te a rep­re­sen­ta­ti­ve in the EU whe­re Arti­cle 3(2) applies. In such cases, WP29 recom­mends that noti­fi­ca­ti­on should be made to the super­vi­so­ry aut­ho­ri­ty in the Mem­ber Sta­te whe­re the controller’s rep­re­sen­ta­ti­ve in the EU is esta­blished. Simi­lar­ly, whe­re a pro­ces­sor is sub­ject to Arti­cle 3(2), it will be bound by the obli­ga­ti­ons on pro­ces­sors, of par­ti­cu­lar rele­van­ce here, the duty to noti­fy a bre­ach to the con­trol­ler under Arti­cle 33(2).

Unter­neh­men sind nach Art. 27 Abs. 3 i.V.m. Art. 3 Abs. 2 DSGVO bis zu einem gewis­sen Grad frei, den Stand­ort des EU-Ver­tre­ters zu bestim­men. Wird dem Ansatz der Art.-29-Datenschutzgruppe gefolgt, ergibt sich dar­aus eine gewis­se Gestal­tungs­frei­heit auch bei der Adres­sa­tin von Ver­let­zungs­mel­dun­gen.

Die fina­le Fas­sung ent­hält unter ande­rem Prä­zi­sie­run­gen wie folgt:

  • Prä­zi­sie­run­gen zur Gel­tung der Bestim­mun­gen über die Daten­schutz­ver­let­zun­gen bei vor­über­ge­hen­der Nicht­ver­füg­bar­keit von Daten
  • die fol­gen­de Prä­zi­sie­rung im Zusam­men­hang mit der Fra­ge, zu wel­chem Zeit­punkt eine Ver­let­zung „bekannt wur­de“ (Art. 33 Abs. 1 DSGVO):

    Howe­ver, as indi­ca­ted ear­lier, the GDPR requi­res the con­trol­ler to imple­ment all appro­pria­te tech­ni­cal pro­tec­tion and orga­ni­sa­tio­nal mea­su­res to esta­blish imme­dia­te­ly whe­ther a bre­ach has taken place and to inform prompt­ly the super­vi­so­ry aut­ho­ri­ty and the data sub­jects. It also sta­tes that the fact that the noti­fi­ca­ti­on was made without undue delay should be esta­blished taking into account in par­ti­cu­lar the natu­re and gra­vi­ty of the bre­ach and its con­se­quen­ces and adver­se effects for the data sub­ject. This puts an obli­ga­ti­on on the con­trol­ler to ensu­re that they will be “awa­re” of any bre­a­ches in a time­ly man­ner so that they can take appro­pria­te action.

  • die fol­gen­de Prä­zi­sie­rung zu gemein­sam Ver­ant­wort­li­chen:

    Arti­cle 26 con­cerns joint con­trol­lers and spe­ci­fies that joint con­trol­lers shall deter­mi­ne their respec­tive respon­si­bi­li­ties for com­pli­an­ce with the GDPR25. This will inclu­de deter­mi­ning which par­ty will have respon­si­bi­li­ty for com­ply­ing with the obli­ga­ti­ons under Arti­cles 33 and 34. WP29 recom­mends that the con­trac­tu­al arran­ge­ments bet­ween joint con­trol­lers inclu­de pro­vi­si­ons that deter­mi­ne which con­trol­ler will take the lead on, or be respon­si­ble for, com­pli­an­ce with the GDPR’s bre­ach noti­fi­ca­ti­on obli­ga­ti­ons.

  • die Prä­zi­sie­rung, dass Auf­trags­ver­ar­bei­ter dem Ver­ant­wort­li­chen Daten­schutz­ver­let­zun­gen zu mel­den haben, ohne zuvor eine Risi­ko­ein­schät­zung durch­zu­füh­ren; dies ist Auf­ga­be des Ver­ant­wort­li­chen (wobei die­se Auf­ga­be unter Berück­sich­ti­gung von Art. 28 Abs. 3 lit. f DSGVO wohl an den Auf­trags­ver­ar­bei­ter dele­giert wer­den kann)
  • die Prä­zi­sie­rung, dass Daten­schutz­ver­let­zun­gen bei grenz­über­schrei­ten­den Ver­ar­bei­tun­gen (in Sin­ne von Art. 4 Nr. 23 DSGVO: das erfor­dert zumin­dest eine Nie­der­las­sung in einem Mit­glied­staat) jeweils der Leit­be­hör­de zu mel­den sind
  • eine Prä­zi­sie­rung zu Mit­tei­lun­gen an betrof­fe­ne Per­so­nen, u.a. zur zu ver­wen­den­den Spra­che
  • eine Prä­zi­sie­rung, dass bei der Beur­tei­lung von Risi­ken die Toke­ni­sie­rung der Ver­schlüs­se­lung gleich­zu­set­zen ist (das betrifft z.B. elek­tro­ni­sche Zah­lungs­sy­ste­me)
  • eine schwam­mi­ge Aus­füh­rung zur Dau­er der Auf­be­wah­rung von Auf­zeich­nun­gen über Daten­schutz­ver­let­zun­gen

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.