Datenschutzpannen: Neue Leitlinien des EDSA

Die Datenschutz-Grundverordnung (DSGVO) ist davon geprägt, dass der Verarbeiter personenbezogener Daten das Risiko, das von der Verarbeitung ausgeht, zum Schutz der betroffenen Personen zu beherrschen hat („Datenschutzrechtliche Verkehrssicherungspflicht“, siehe Eckhardt, Datenschutz PRAXIS 08/2023, S. 14). Das betont auch der Europäische Datenschutzausschuss (EDSA) in seinen Leitlinien zur Meldung von Verletzungen des Schutzes personenbezogener Daten (Guidelines 9/2022 on personal data breach notification under GDPR – Version 2.0, veröffentlicht am 26.03.2023, bisher nur auf Englisch abrufbar unter https://ogy.de/edsa-guidelines-92022).

Die Pflicht, „Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen“ zu dokumentieren (Art. 33 Abs. 5 DSGVO), komplettiert diese „Verkehrssicherungspflicht“ – auch für den Fall, dass das Ergebnis „kein Risiko“ lautet.

Diese Dokumentationspflicht stellt der EDSA in den Kontext der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und der Organisationspflicht nach Art. 24 DSGVO (Guidelines 9/2022, Rn 122).

Pflicht, die Einhaltung von Art. 33, 34 DSGVO zu organisieren

Der EDSA postuliert in den Guidelines weitere Organisationspflichten, die sich dem Wortlaut von Art. 33 (Meldung an Aufsichtsbehörde) und Art. 34 DSGVO ­(Benachrichtigung der Betroffenen) selbst nicht ausdrücklich entnehmen lassen:

• Der EDSA fordert, dass der Verantwortliche…

+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Konzentrieren Sie sich aufs Wesentliche

Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.

Kein Stress mit Juristen- und Admin-Deutsch

Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.

Sparen Sie sich langes Suchen

Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.

Jetzt testen