EDSA: Ver­si­on 2 der Leit­li­ni­en zur Breach Noti­fi­ca­ti­on: kei­ne Kon­zen­tra­ti­on beim EU-Vertreter

Der Euro­päi­sche Daten­schutz­aus­schuss EDSA hat sei­ne “Gui­de­lines 9/2022 on per­so­nal data breach noti­fi­ca­ti­on under GDPR” in der auf den 28. März 2023 datier­ten Ver­si­on 2 ver­öf­fent­licht. Die Ver­si­on 1 datier­te vom 10. Okto­ber 2022. Ein Del­ta­view der bei­den Fas­sun­gen ist hier abruf­bar (PDF).

Die Ände­run­gen in der neu­en Ver­si­on – der eine öffent­li­che Abhö­rung vor­an­ge­gan­gen war – betref­fen nur einen, aber einen wich­ti­gen Punkt. Anders als in der ersten Ver­si­on sieht der EDSA kei­ne Kon­zen­tra­ti­on der Mel­dung von Sicher­heits­ver­let­zun­gen durch ausser­halb des EWR nie­der­ge­las­se­ne Ver­ant­wort­li­che am Ort des EU-Ver­tre­ters mehr vor. Ausser­halb des EWR nie­der­ge­las­se­ne Unter­neh­men müs­sen Sicher­heits­ver­let­zun­gen – bei gege­be­nen Vor­aus­set­zun­gen – viel­mehr bei allen zustän­di­gen Auf­sichts­be­hör­den mel­den, unab­hän­gig davon, ob und wo sie einen EU-Ver­tre­ter bestellt haben.

Der ent­spre­chend neu­ge­fass­te Absatz lautet:

Howe­ver, the mere pre­sence of a repre­sen­ta­ti­ve in a Mem­ber Sta­te does not trig­ger the one-stop-shop system. For this rea­son the breach will need to be noti­fi­ed to every super­vi­so­ry aut­ho­ri­ty for which affec­ted data sub­jects resi­de in their Mem­ber Sta­te. This (The­se) notification(s) shall be the respon­si­bi­li­ty of the controller.