Die Art.-29-Datenschutzgruppe hat die auf den 6. Februar 2018 datierte finale Fassung der “Guidelines on Personal data breach notification under Regulation 2016÷679” veröffentlicht. Die Abweichungen zum Entwurf vom 3. Oktober 2017 sind in diesem Vergleichsdokument ersichtlich: Link (PDF).
Neu sind u.a. Ausführungen zu Datenschutzverletzungen, die einen nicht in der EU niedergelassenen Verantwortlichen betreffen:
Where a controller not established in the EU is subject to Article 3(2) or Article 3(3) and experiences a breach, it is therefore still bound by the notification obligations under Articles 33 and 34. Article 27 requires a controller (and processor) to designate a representative in the EU where Article 3(2) applies. In such cases, WP29 recommends that notification should be made to the supervisory authority in the Member State where the controller’s representative in the EU is established. Similarly, where a processor is subject to Article 3(2), it will be bound by the obligations on processors, of particular relevance here, the duty to notify a breach to the controller under Article 33(2).
Unternehmen sind nach Art. 27 Abs. 3 i.V.m. Art. 3 Abs. 2 DSGVO bis zu einem gewissen Grad frei, den Standort des EU-Vertreters zu bestimmen. Wird dem Ansatz der Art.-29-Datenschutzgruppe gefolgt, ergibt sich daraus eine gewisse Gestaltungsfreiheit auch bei der Adressatin von Verletzungsmeldungen.
Die finale Fassung enthält unter anderem Präzisierungen wie folgt:
- Präzisierungen zur Geltung der Bestimmungen über die Datenschutzverletzungen bei vorübergehender Nichtverfügbarkeit von Daten
- die folgende Präzisierung im Zusammenhang mit der Frage, zu welchem Zeitpunkt eine Verletzung „bekannt wurde“ (Art. 33 Abs. 1 DSGVO):
However, as indicated earlier, the GDPR requires the controller to implement all appropriate technical protection and organisational measures to establish immediately whether a breach has taken place and to inform promptly the supervisory authority and the data subjects. It also states that the fact that the notification was made without undue delay should be established taking into account in particular the nature and gravity of the breach and its consequences and adverse effects for the data subject. This puts an obligation on the controller to ensure that they will be “aware” of any breaches in a timely manner so that they can take appropriate action.
- die folgende Präzisierung zu gemeinsam Verantwortlichen:
Article 26 concerns joint controllers and specifies that joint controllers shall determine their respective responsibilities for compliance with the GDPR25. This will include determining which party will have responsibility for complying with the obligations under Articles 33 and 34. WP29 recommends that the contractual arrangements between joint controllers include provisions that determine which controller will take the lead on, or be responsible for, compliance with the GDPR’s breach notification obligations.
- die Präzisierung, dass Auftragsverarbeiter dem Verantwortlichen Datenschutzverletzungen zu melden haben, ohne zuvor eine Risikoeinschätzung durchzuführen; dies ist Aufgabe des Verantwortlichen (wobei diese Aufgabe unter Berücksichtigung von Art. 28 Abs. 3 lit. f DSGVO wohl an den Auftragsverarbeiter delegiert werden kann)
- die Präzisierung, dass Datenschutzverletzungen bei grenzüberschreitenden Verarbeitungen (in Sinne von Art. 4 Nr. 23 DSGVO: das erfordert zumindest eine Niederlassung in einem Mitgliedstaat) jeweils der Leitbehörde zu melden sind
- eine Präzisierung zu Mitteilungen an betroffene Personen, u.a. zur zu verwendenden Sprache
- eine Präzisierung, dass bei der Beurteilung von Risiken die Tokenisierung der Verschlüsselung gleichzusetzen ist (das betrifft z.B. elektronische Zahlungssysteme)
- eine schwammige Ausführung zur Dauer der Aufbewahrung von Aufzeichnungen über Datenschutzverletzungen