Bei einem Datenschutzvorfall liegt die Aufgabe der Risikobeurteilung sowie die Entscheidung über eine Meldung an die Behörde grundsätzlich beim Verantwortlichen – unabhängig davon, ob die Datenschutzverletzung beim Verantwortlichen oder bei einem Auftragsverarbeiter geschieht. Im Falle einer Datenschutzverletzung sollte der Verantwortliche nach einem vordefinierten Prozess/Reaktionsplan zum Umgang mit Datenschutzvorfällen handeln.
Werden bei der Verarbeitung von personenbezogenen Daten Auftragsverarbeiter eingesetzt, haben sie im Falle einer Datenschutzverletzung eigene Pflichten. Gem. Art. 33 Abs. 2 DSGVO ist der Auftragsverarbeiter zu der Meldung einer ihm bekanntgewordenen Verletzung des Schutzes personenbezogener Daten an den Verantwortlichen verpflichtet. In diesem Fall es ist eine Informationspflicht und keine Meldepflicht an die Behörde. So ist die Schwelle dieser Pflicht gem. Art. 33 Abs.2 DSGVO schnell erreicht – das Bekanntwerden einer Datenschutzverletzung (nach Art. 4 Nr. 12 DSGVO) reicht als Voraussetzung aus.
Der Auftragsverarbeiter ist nicht zur Beurteilung des Risikos für die Rechte und Freiheiten natürlicher Personen verpflichtet. Diese Aufgabe bleibt beim Verantwortlichen sowie die Entscheidung über die Notwendigkeit der Meldung des Vorfalls an die Datenschutzaufsichtsbehörde. Der Auftragsverarbeiter könnte das Risiko im Einzelfall gar nicht bewerten, da ihm die erforderlichen Informationen für diese Entscheidung fehlen. Somit müssen alle bekanntgewordenen Verletzungen des Schutzes personenbezogener Daten an den Verantwortlichen durch den Auftragsverarbeiter gemeldet werden, auch solche, bei denen das Risiko für die Betroffenen annehmbar gering ist. Beispielsweise wäre auch dann der Verlust einer verschlüsselten Festplatte an den Verantwortlichen zu melden, wenn die Festplatte nach aktuellen technischen Standards verschlüsselt wäre und somit kein Risiko für die Betroffenen bestünde.
Im Gegensatz zu den umfangreicheren Anforderungen der Meldepflicht des Verantwortlichen gegenüber der Behörde, muss der Auftragsverarbeiter nur die Anhaltspunkte der Datenschutzverletzung darlegen. In diesem Fall entfällt die Pflicht die potenziellen Folgen der Datenschutzverletzung zu beurteilen.
Der Auftragsverarbeiter muss den Verantwortlichen „unverzüglich“ über einen Vorfall informieren. Eine Frist für die Erfüllung der Informationspflicht ist nicht vorgesehen, d.h. selbst wenn nicht alle relevanten Angaben zum Vorfall bekannt sind, sollte die Meldung umgehend erfolgen, damit die weitere potenzielle Meldung an die Behörde nicht verzögert wird. Die fehlenden Angaben können zu einem späteren Zeitpunkt nachgereicht werden.
In der Praxis sehen die Auftragsverarbeiter trotz der eindeutigen Vorgaben im Gesetz häufig von der Meldung ab. Möglicherweise glauben sie irrtümlich über einen eigenen Entscheidungsspielraum bei der Meldung zu verfügen. Wahrscheinlicher dennoch gehen sie von möglichen negativen Auswirkungen der Meldung auf die vertrauensvolle Zusammenarbeit mit dem Verantwortlichen aus.