Benachrichtigungspflicht bei Verletzung des Schutzes personenbezogener Daten
In den Art. 31 und 32 DS-GVO soll in allen drei Entwürfen eine Benachrichtigungspflicht, sowohl an die Aufsichtsbehörde als auch an die betroffene Person, für den für die Verarbeitung Verantwortlichen statuiert werden.
Nach dem Entwurf der Kommission soll die Meldung an die Aufsichtsbehörde ohne unangemessene Verzögerung nach Möglichkeit innerhalb von 24 Stunden nach Verstellung der Verletzung erfolgen. Der Entwurf des Parlaments sieht eine „unverzügliche“ Meldung vor. Der Rat sieht die Pflicht zur Meldung ohne „unangemessene Verzögerung“ vor, die nach Möglichkeit innerhalb von 72 Stunden nach Verstellung der Verletzung erfolgen soll. Der Rat möchte zudem direkt die Voraussetzungen einer Meldung in Art. 31 Abs.1 DS-GVO regeln und diese daher nicht bei jeder Verletzung des Schutzes personenbezogener Daten vorschreiben. Die Meldung soll dann erfolgen, wenn eine Verletzung des Schutzes personenbezogener Daten vorliegt, die voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat, wobei als Beispiele Diskriminierung, Identitätsdiebstahl, Betrug, finanzielle Verluste oder Rufschädigung genannt werden. Zudem sieht der Rat eine Ausnahme von der Meldepflicht vor, wenn nämlich nach Art. 32 DS-GVO auch eine Meldung an die betroffene Person nicht erforderlich ist.
Alle drei Entwürfe sehen zudem in Abs. 1 eine Pflicht des Auftragsverarbeiters vor, den für die Verarbeitung Verantwortlichen zu informieren, wenn eine Verletzung des Schutzes personenbezogener Daten festgestellt wird, wobei das Parlament eine „unverzügliche“ Meldung erfordert und der Rat diese „ohne ungebührliche Verzögerung“ verlangt.
In Abs. 3 werden die Mindestangaben festgeschrieben, die in der Meldung an die Aufsichtsbehörde enthalten sein müssen. Hierzu gehört unter anderem, eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten mit Angaben der Kategorien und der Zahl der betroffenen Personen oder auch Name und Kontaktdaten des Datenschutzbeauftragten. Kommission und Parlament möchten zudem Empfehlungen für Maßnahmen zur Eindämmung etwaiger negativer Auswirkungen als verpflichtende Informationen vorsehen.
Zudem ist der für die Verarbeitung verantwortliche nach Abs. 4 verpflichtet etwaige Verletzungen des Schutzes personenbezogener Daten zu dokumentieren. Die Dokumentation hat vor allem den Zweck, im Nachhinein der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen des Art. 31 DS-GVO zu ermöglichen.
In Art. 32 DS-GVO sehen alle drei Entwürfe die Pflicht zur Benachrichtigung der betroffenen Personen vor. Diese steht jedoch unter der Voraussetzung, dass eine Wahrscheinlichkeit besteht, dass der Schutz der personenbezogenen Daten oder der Privatsphäre der betroffenen Personen durch eine festgestellte Verletzung beeinträchtigt wird. So zumindest die Entwürfe von Kommission und Parlament. Der Rat möchte die Benachrichtigungspflicht der Betroffenen davon abhängig machen, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat.