Der Europäische Datenschutzausschuss EDSA hat seine “Guidelines 9/2022 on personal data breach notification under GDPR” in der auf den 28. März 2023 datierten Version 2 veröffentlicht. Die Version 1 datierte vom 10. Oktober 2022. Ein Deltaview der beiden Fassungen ist hier abrufbar (PDF).
Die Änderungen in der neuen Version – der eine öffentliche Abhörung vorangegangen war – betreffen nur einen, aber einen wichtigen Punkt. Anders als in der ersten Version sieht der EDSA keine Konzentration der Meldung von Sicherheitsverletzungen durch ausserhalb des EWR niedergelassene Verantwortliche am Ort des EU-Vertreters mehr vor. Ausserhalb des EWR niedergelassene Unternehmen müssen Sicherheitsverletzungen – bei gegebenen Voraussetzungen – vielmehr bei allen zuständigen Aufsichtsbehörden melden, unabhängig davon, ob und wo sie einen EU-Vertreter bestellt haben.
Der entsprechend neugefasste Absatz lautet:
However, the mere presence of a representative in a Member State does not trigger the one-stop-shop system. For this reason the breach will need to be notified to every supervisory authority for which affected data subjects reside in their Member State. This (These) notification(s) shall be the responsibility of the controller.