Meldepflicht des Auftragsverarbeiters bei Datenschutzverletzungen

Fachbeitrag

Wird dem Auftragsverarbeiter eine Datenschutzverletzung bekannt, so trifft ihn eine unverzügliche Meldepflicht gegenüber dem Verantwortlichen. Der folgende Beitrag beleuchtet den Inhalt und Umfang dieser Pflicht näher und grenzt die Rollen des Verantwortlichen und des Auftragsverarbeiters beim Umgang mit Datenschutzvorfällen voneinander ab.

Voraussetzung für die Meldepflicht

Bei einem Datenschutzvorfall ist immer der Verantwortliche gefragt. Unabhängig davon, ob der Datenschutzvorfall direkt beim Verantwortlichen oder bei einem seiner Auftragsverarbeiter auftritt – der Verantwortliche muss immer eine Risikobeurteilung durchführen und eine Entscheidung hinsichtlich der Meldung gegenüber der Aufsichtsbehörde treffen. Hierbei empfiehlt sich ein Vorgehen anhand eines Reaktionsplans für einen gleichförmigen und strukturierten Prozess im Umgang mit Datenschutzverletztungen.

Niedrige Schwelle für Meldepflicht an den Verantwortlichen

Da sich der Verantwortliche als „Herr der Daten“ aber oftmals sog. Auftragsverarbeitern bedient, die für ihn als „verlängerter Arm“ tätig werden und personenbezogene Daten in seinem Auftrag verarbeiten, kann es zu einem Informationsdefizit beim Verantwortlichen kommen. Dies ist immer dann der Fall, wenn die Datenschutzverletzung bei einem der von ihm eingesetzten Auftragsverarbeiter auftritt. Den Auftragsverarbeiter trifft deshalb in diesem Zusammenhang eine eigene Pflicht.

Der Auftragsverarbeiter ist gem. Art. 33 Abs. 2 DSGVO zu einer Meldung an den Verantwortlichen verpflichtet, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird. Dabei handelt es sich nicht um eine behördliche Meldepflicht, sondern vielmehr um eine Informationspflicht. Die Schwelle dieser Pflicht ist sehr schnell erreicht, es muss gem. Art. 33 Abs.2 DSGVO nur eine Voraussetzung erfüllt sein, damit die Informationspflicht ausgelöst wird: das Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten gem. Art. 4 Nr. 12 DSGVO.

Auftragsverarbeiter nimmt keine Risikobeurteilung vor

Anders als bei einer Meldepflicht des Verantwortlichen gegenüber der Aufsichtsbehörde spielt also das Risiko für die Rechte und Freiheiten natürlicher Personen keine Rolle. Die Risikobeurteilung ist damit allein dem Verantwortlichen zugewiesen. Diese Ausgestaltung setzt das Rollenverständnis zwischen dem Verantwortlichen und dem Auftragsverarbeiter konsequent um. Der Verantwortliche bleibt „am längeren Hebel“, er ist und bleibt „Herr der Daten“.

Die Risikobeurteilung bleibt auch deswegen allein dem Verantwortlichen zugewiesen, weil der Auftragsverarbeiter in Einzelfällen nicht über alle Informationen verfügt, die für eine Entscheidung über die Meldung erforderlich sind. Da eine Verletzung des Schutzes personenbezogener Daten für die Informationspflicht des Auftragsverarbeiters gegenüber dem Verantwortlichen genügt, müssen auch Vorkommnisse an den Verantwortlichen gemeldet werden, bei denen relativ offensichtlich kein Risiko für Betroffene mit einhergeht. Kommen dem Auftragsverarbeiter etwa nach aktuellem Standard verschlüsselte Festplatten abhanden, so muss er den Verantwortlichen gleichwohl hierüber informieren, auch wenn regelmäßig kein Risiko für die Betroffenen besteht.

Inhaltliche Vorgaben an die Meldepflicht

Die inhaltlichen Anforderungen an die Informationspflicht unterscheiden sich von der Meldepflicht des Verantwortlichen gegenüber der Behörde. Der Auftragsverarbeiter muss allein die objektiven Anhaltspunkte für die Datenschutzverletzung darlegen. Ihn trifft keine Pflicht mögliche Folgen der Verletzung zu prüfen und eine eigene Prognoseentscheidung zu treffen. Bei der Meldung kann sich der Auftragsverarbeiter im Wesentlichen an den Punkten orientieren, die wir in unserer Muster-Vorlage zur Meldung an den Datenschutzbeauftragten dargestellt haben.

Zeitpunkt der Informationspflicht

Die Pflicht zur Benachrichtigung des Verantwortlichen soll – wie auch die Meldung des Verantwortlichen an die Behörde – „unverzüglich“ erfolgen. Eine konkrete Frist ist also nicht vorgesehen. Dem Wortlaut nach bedeutet dies, dass der Auftragsverarbeiter den Verantwortlichen umgehend informieren muss. Ist der Sachverhalt noch nicht umfassend aufgeklärt, sollten die bereits bekannten Angaben direkt gemeldet und die fehlenden Angaben schrittweise nachgereicht werden. Auf diese Weise wird die „Meldungskette“ nicht unnötig verzögert.

Auftragsverarbeiter aufgepasst

Die Schwelle für eine Meldung an den Verantwortlichen ist sehr gering und die Meldung muss zudem umgehend erfolgen. Es ist daher wichtig, dass Auftragsverarbeiter sich dieser Informationspflicht in ihrem Umfang und Inhalt bewusst sind. Die Praxis zeigt, dass Auftragsverarbeiter häufig trotz der klaren gesetzlichen Vorgaben zögerlich sind, was die Benachrichtigung des Verantwortlichen betrifft. Entweder weil sie glauben, sie hätten in diesem Zusammenhang noch einen eigenen Entscheidungsspielraum oder – und das erscheint wahrscheinlicher – weil sich jede Meldung von Datenschutzverletzungen negativ auf die vertrauensvolle Zusammenarbeit mit dem Verantwortlichen auswirken kann.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Auftragsdatenverarbeitung

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.