{"id":586,"date":"2019-02-15T19:13:19","date_gmt":"2019-02-15T18:13:19","guid":{"rendered":"http:\/\/blog.eprivacy.eu\/?p=586"},"modified":"2020-12-09T19:15:03","modified_gmt":"2020-12-09T18:15:03","slug":"meldepflicht-des-auftragsverarbeiters-bei-datenschutzverletzungen","status":"publish","type":"post","link":"https:\/\/blog.eprivacy.eu\/?p=586&lang=de","title":{"rendered":"Meldepflicht des Auftragsverarbeiters bei Datenschutzverletzungen"},"content":{"rendered":"\n

Bei einem Datenschutzvorfall liegt die Aufgabe der Risikobeurteilung sowie die Entscheidung \u00fcber eine Meldung an die Beh\u00f6rde grunds\u00e4tzlich beim Verantwortlichen – unabh\u00e4ngig davon, ob die Datenschutzverletzung beim Verantwortlichen oder bei einem Auftragsverarbeiter geschieht. \u00a0Im Falle einer Datenschutzverletzung sollte der Verantwortliche nach einem vordefinierten Prozess\/Reaktionsplan zum Umgang mit Datenschutzvorf\u00e4llen handeln.
\u00a0
Werden bei der Verarbeitung von personenbezogenen Daten Auftragsverarbeiter eingesetzt, haben sie im Falle einer Datenschutzverletzung eigene Pflichten. Gem.\u00a0Art. 33 Abs. 2 DSGVO<\/a>\u00a0ist der Auftragsverarbeiter zu der Meldung einer ihm bekanntgewordenen Verletzung des Schutzes personenbezogener Daten an den Verantwortlichen verpflichtet. In diesem Fall es ist eine Informationspflicht und keine Meldepflicht an die Beh\u00f6rde. So ist die Schwelle dieser Pflicht gem. Art. 33 Abs.2 DSGVO schnell erreicht – das Bekanntwerden einer Datenschutzverletzung (nach Art. 4 Nr. 12 DSGVO) reicht als Voraussetzung aus.
\u00a0
Der Auftragsverarbeiter ist nicht zur Beurteilung des Risikos f\u00fcr die Rechte und Freiheiten nat\u00fcrlicher Personen verpflichtet. Diese Aufgabe bleibt beim Verantwortlichen sowie die Entscheidung \u00fcber die Notwendigkeit der Meldung des Vorfalls an die Datenschutzaufsichtsbeh\u00f6rde. Der Auftragsverarbeiter k\u00f6nnte das Risiko im Einzelfall gar nicht bewerten, da ihm die erforderlichen Informationen f\u00fcr diese Entscheidung fehlen. Somit m\u00fcssen alle bekanntgewordenen Verletzungen des Schutzes personenbezogener Daten an den Verantwortlichen durch den Auftragsverarbeiter gemeldet werden, auch solche, bei denen das Risiko f\u00fcr die Betroffenen annehmbar gering ist. Beispielsweise w\u00e4re auch dann der Verlust einer verschl\u00fcsselten Festplatte an den Verantwortlichen zu melden, wenn die Festplatte nach aktuellen technischen Standards verschl\u00fcsselt w\u00e4re und somit kein Risiko f\u00fcr die Betroffenen best\u00fcnde.
\u00a0
Im Gegensatz zu den umfangreicheren Anforderungen der Meldepflicht des Verantwortlichen gegen\u00fcber der Beh\u00f6rde, muss der Auftragsverarbeiter nur die Anhaltspunkte der Datenschutzverletzung darlegen. In diesem Fall entf\u00e4llt die Pflicht die potenziellen Folgen der Datenschutzverletzung zu beurteilen.
\u00a0
Der Auftragsverarbeiter muss den Verantwortlichen \u201eunverz\u00fcglich\u201c \u00fcber einen Vorfall informieren. Eine Frist f\u00fcr die Erf\u00fcllung der Informationspflicht ist nicht vorgesehen, d.h. selbst wenn nicht alle relevanten Angaben zum Vorfall bekannt sind, sollte die Meldung umgehend erfolgen, damit die weitere potenzielle Meldung an die Beh\u00f6rde nicht verz\u00f6gert wird. Die fehlenden Angaben k\u00f6nnen zu einem sp\u00e4teren Zeitpunkt nachgereicht werden.
\u00a0
In der Praxis sehen die Auftragsverarbeiter trotz der eindeutigen Vorgaben im Gesetz h\u00e4ufig von der Meldung ab. M\u00f6glicherweise glauben sie irrt\u00fcmlich \u00fcber einen eigenen Entscheidungsspielraum bei der Meldung zu verf\u00fcgen. Wahrscheinlicher dennoch gehen sie von m\u00f6glichen negativen Auswirkungen der Meldung auf die vertrauensvolle Zusammenarbeit mit dem Verantwortlichen aus.<\/p>\n","protected":false},"excerpt":{"rendered":"

Bei einem Datenschutzvorfall liegt die Aufgabe der Risikobeurteilung sowie die Entscheidung \u00fcber eine Meldung an die Beh\u00f6rde grunds\u00e4tzlich beim Verantwortlichen – unabh\u00e4ngig<\/p>\n

Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/586"}],"collection":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=586"}],"version-history":[{"count":1,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/586\/revisions"}],"predecessor-version":[{"id":587,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/586\/revisions\/587"}],"wp:attachment":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=586"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=586"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=586"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}