Bußgeld gegen Twitter – die 72h-Meldefrist für Datenschutzverletzungen nach Art. 33 DS-GVO kennt keine Ferien (Teil 2 von 3)
Autor:in
Corinna StankeBetriebsferien oder Unterbesetzung - jedes Unternehmen kennt es, wenn Feiertage oder Ferien vor der Tür stehen. Es werden noch schnell die letzten Aufgaben erledigt und Vertretungspläne erstellt, wer was im Fall der Fälle zu übernehmen hat. Häufig wird hierbei jedoch der Datenschutz vergessen. Dies ist nun auch Twitter zum Verhängnis geworden. In einer dreiteiligen Beitragsreihe befasst sich unsere Datenschutzbeauftragte und Volljuristin Corinna mit den Besonderheiten der Meldefristen für Datenschutzverletzungen.
Teil 2 – Meldepflicht des Auftragsverarbeiters1 nach Art. 33 Abs. 2 DS-GVO
Im 1. Teil haben wir uns anlässlich der Datenschutzverletzung von Twitter mit den Meldepflichten des Verantwortlichen gegenüber der Aufsichtsbehörde befasst, Art. 33 Abs. 1 DS-GVO. In diesem 2. Teil steht die Meldepflicht des Auftragsverarbeiters im Fokus.
Dreiteilige Beitragsreihe
Damit Sie sich noch einmal vor Augen führen, was in Bezug auf die Meldepflicht nach Art. 33 DS-GVO wichtig ist, haben wir dies für Sie in 3 Teilen zusammengefasst. Im 1. Teil erläutern wir die Meldepflicht von Datenschutzverletzungen des Verantwortlichen gegenüber der Aufsichtsbehörde nach Art. 33 Abs. 1 DS-GVO, im 2. Teil befassen wir uns mit der Frage, wem gegenüber der Auftragsverarbeiter Datenschutzverletzungen zu melden hat, im 3. Teil gehen wir letztlich auf die Benachrichtigungspflicht von Datenschutzverletzungen des Verantwortlichen gegenüber den betroffenen Personen nach Art. 34 DS-GVO ein.
1. Meldepflicht des Auftragsverarbeiters, Art. 33 Abs. 2 DS-GVO
Der Verantwortliche muss Datenschutzverletzungen, die ihm bekannt werden, gegenüber der zuständigen Aufsichtsbehörde melden. Nun, was ist aber der Fall, wenn der Verantwortliche Sie als Auftragsverarbeiter einsetzt? Müssen Sie dann Datenschutzverletzungen, die aus Ihrem Bereich als Auftragsverarbeiter stammen, der Aufsichtsbehörde melden, oder muss dies der Verantwortliche machen?
Die Frage ist grundsätzlich mit einem Blick in die DS-GVO zu beantworten. Denn nach Art. 33 Abs. 2 DS-GVO müssen Sie Datenschutzverletzungen, wenn Ihnen diese bekannt werden, dem Verantwortlichen melden. Eine gesetzliche Meldepflicht gegenüber den Aufsichtsbehörden besteht daher für Sie nicht. Diese Meldepflicht an den Verantwortlichen resultiert daraus, dass Sie als Auftragsverarbeiter quasi als „verlängerter Arm“ des Verantwortlichen tätig werden und dessen ausgelagerte Tätigkeiten ausführen. Der Verantwortliche bleibt aber für die Verarbeitung der personenbezogenen Daten verantwortlich.
2. „Bekannt werden“ der Datenschutzverletzung und unverzügliche Meldung
Sie müssen daher, wenn Ihnen eine Datenschutzverletzung bekannt wird, diese dem Verantwortlichen unverzüglich melden, Art. 33 Abs. 2 DS-GVO. Die Pflicht knüpft wie auch beim Verantwortlichen an das „bekannt werden“ an. Als Auftragsverarbeiter müssen Sie dem Verantwortlichen eine Datenschutzverletzung melden, wenn aufgrund von hinreichenden Anhaltspunkten eine hohe Wahrscheinlichkeit für eine Datenschutzverletzung besteht. Sie dürfen nicht warten, bis Sie eine Datenschutzverletzung endgültig positiv festgestellt haben, sondern Sie müssen dem Verantwortlichen gegenüber jede Datenschutzverletzung bzw. jede mögliche Datenschutzverletzung melden. Die Informationen hierüber müssen Sie dem Verantwortlichen unverzüglich, das heißt ohne schuldhaftes Zögern, bereitstellen. Der Verantwortliche prüft, nachdem er die Informationen von Ihnen erhalten hat, ob eine Datenschutzverletzung tatsächlich vorliegt, welches Risiko gegebenenfalls für die betroffenen Personen besteht und ob eine Meldung an die Aufsichtsbehörde erforderlich ist. Der Verantwortliche hat daher die Vorgaben des Art. 33 Abs. 1 DS-GVO wieder zu beachten.
3. Inhalt und Form der Meldung (Auftragsverarbeitungsvertrag)
Fraglich ist, in welcher Form und mit welchem Inhalt Sie die Informationen dem Verantwortlichen bereitstellen müssen. Art. 33 Abs. 2 DS-GVO enthält diesbezüglich keine Angaben. Hinsichtlich des Inhalts der Meldungen können Sie sich jedoch an Art. 33 Abs. 3 DS-GVO orientieren, der für den Verantwortlichen grundsätzlich gilt. Natürlich können Sie sich, am besten schon vor einer möglichen Datenschutzverletzung, mit dem Verantwortlichen absprechen, wie Sie die Informationen übermitteln sollten.
Zwar enthält Art. 33 Abs. 2 DS-GVO auch bzgl. der Form der Meldung keine Vorgaben. In Art. 28 Abs. 3f DS-GVO ist jedoch bestimmt, dass z. B. in einem Auftragsverarbeitungsvertrag als Mindestinhalt geregelt sein sollte, dass der Auftragsverarbeiter den Verantwortlichen bei dessen Pflichten nach Art. 32 - 36 DS-GVO und somit auch bei der Meldepflicht an die Aufsichtsbehörde unterstützt, soweit ihm dies möglich ist. Sie sollten daher in einem Auftragsverarbeitungsvertrag mit dem Verantwortlichen regeln, auf welchem Wege eine Meldung im Sinne von Art. 33 Abs. 2 DS-GVO an den Verantwortlichen zu erfolgen hat, an wen diese beim Verantwortlichen zu richten ist und mit welchem Inhalt.
Darüber hinaus steht es Ihnen frei, ob Sie mit dem Verantwortlichen vereinbaren, dass Sie parallel mit der Meldung an den Verantwortlichen auch die Meldung an die Aufsichtsbehörde in dessen Namen übernehmen. Für Sie gelten dann aber gegenüber der Aufsichtsbehörde die Meldepflichten des Verantwortlichen nach Art. 33 DS-GVO. Der Verantwortliche muss jedoch beachten, dass er sich eine z. B. verspätete Meldung an die Aufsichtsbehörde durch Sie zurechnen lassen muss. Ihnen können allerdings dann im Innenverhältnis zum Verantwortlichen Konsequenzen drohen.
Achten Sie daher darauf, was in Bezug auf die Meldepflicht von Datenschutzverletzungen nach Art. 33 Abs. 2 DS-GVO im Auftragsverarbeitungsvertrag geregelt ist, da es durchaus möglich ist, dass die vertraglichen Regelungen von der gesetzlichen Regelung in Art. 33 Abs. 2 DS-GVO abweichen.
Im 3. Teil geht es weiter mit der Benachrichtigungspflicht des Verantwortlichen gegenüber den betroffenen Personen nach Art. 34 DS-GVO.
1Aus Gründen der Lesbarkeit wurde im Text die männliche Form gewählt, nichtsdestoweniger beziehen sich die Angaben auf Angehörige aller Geschlechter.