Datenschutzpannen: Neue Leitlinien des EDSA
Die Datenschutz-Grundverordnung (DSGVO) ist davon geprägt, dass der Verarbeiter personenbezogener Daten das Risiko, das von der Verarbeitung ausgeht, zum Schutz der betroffenen Personen zu beherrschen hat („Datenschutzrechtliche Verkehrssicherungspflicht“, siehe Eckhardt, Datenschutz PRAXIS 08/2023, S. 14). Das betont auch der Europäische Datenschutzausschuss (EDSA) in seinen Leitlinien zur Meldung von Verletzungen des Schutzes personenbezogener Daten (Guidelines 9/2022 on personal data breach notification under GDPR – Version 2.0, veröffentlicht am 26.03.2023, bisher nur auf Englisch abrufbar unter https://ogy.de/edsa-guidelines-92022).
Die Pflicht, „Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen“ zu dokumentieren (Art. 33 Abs. 5 DSGVO), komplettiert diese „Verkehrssicherungspflicht“ – auch für den Fall, dass das Ergebnis „kein Risiko“ lautet.
Diese Dokumentationspflicht stellt der EDSA in den Kontext der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und der Organisationspflicht nach Art. 24 DSGVO (Guidelines 9/2022, Rn 122).
Pflicht, die Einhaltung von Art. 33, 34 DSGVO zu organisieren
Der EDSA postuliert in den Guidelines weitere Organisationspflichten, die sich dem Wortlaut von Art. 33 (Meldung an Aufsichtsbehörde) und Art. 34 DSGVO (Benachrichtigung der Betroffenen) selbst nicht ausdrücklich entnehmen lassen:
- Der EDSA fordert, dass der Verantwortliche…