Was muss ein Auftragsverarbeiter bei einem Datenschutzvorfall tun?
Kommunikation ist entscheidender Faktor
Prof. Dr. Alexander Roßnagel, der Hessische Beauftragte für Datenschutz und Informationsfreiheit, kurz HBDI, nahm in seinem Tätigkeitsbericht Stellung zum Umgang von Auftragsverarbeitern mit Datenschutzvorfällen. Hohe Anforderungen stellte er insbesondere an die Kommunikation von Auftragsverarbeitern mit den Verantwortlichen. Zudem misst er der Rolle der Kommunikation von Verantwortlichen mit den Aufsichtsbehörden große Bedeutung zu.
Schnell und angemessen informieren
Damit verbinden sich klare Anforderungen an die Handlungsweise bei einem Datenschutzvorfall. Zunächst sollte der Auftragsverarbeiter die verantwortliche Stelle umgehend und so umfassend wir möglich informieren. Die Verantwortlichen hingegen haben, so der HBDI, wiederum die Aufsichtsbehörden so schnell und vollständig wie möglich über den Vorfall zu unterrichten. Um Verzögerungen zu vermeiden und adäquat mit Datenschutzverstößen umzugehen, erwartet der Hessische Beauftragte für Datenschutz und Informationsfreiheit übergreifende Prozesse.
Nachteilige Auswirkungen reduzieren
Vor allem, wenn sich aus einem Datenschutzvorfall ein hohes Risiko für die Freiheiten und Rechte der Betroffenen ergibt, sei es wichtig, schnell zu reagieren und die relevanten Informationen angemessen bereitzustellen. Das Ziel ist, nachteilige Auswirkungen zu reduzieren und den Betroffenen die Möglichkeit einer angemessenen Reaktion auf den Datenschutzvorfall zu ermöglichen.
Rechtliche Anforderungen
Zu berücksichtigen ist, dass der Auftragsverarbeiter die Verantwortlichen umgehend informiert und bei der Information der Aufsichtsbehörden unterstützt. Dabei hat der Auftragsverarbeiter das Risiko für die Rechte und die Freiheiten natürlicher Personen nicht zu beurteilen. Diese Beurteilung obliegt dem Verantwortlichen. Außerdem ist grundsätzlich zu berücksichtigen, dass bei der Weitergabe der Informationen sowohl vom Auftragsverarbeiter an den Verantwortlichen als auch vom Verantwortlichen an die Aufsichtsbehörde auch vorläufige Informationsstände weitergegeben werden sollen, die dann später ergänzt werden. So ist zügiges Handeln auf allen Ebenen gewährleistet.
Was Auftragsverarbeiter außerdem beachten müssen
- Der Auftragsverarbeiter soll die nötigen Vorbereitungen bereits getroffen haben.
- Ein Notfallplan soll vorliegen.
- Ändert sich die Informationslage, soll schnell an den Verantwortlichen kommuniziert werden.
- Wird insbesondere die Veröffentlichung von Daten angedroht oder durchgeführt, ist der Verantwortliche sofort zu informieren.
Was Verantwortliche außerdem beachten müssen
- Die Informationen müssen unverzüglich ausgewertet und das Risiko bewertet werden.
- Wenn es nötig ist, sind weitere Informationen aktiv einzufordern.
- Die Übermittlung von fehlenden und relevanten Informationen an die Aufsichtsbehörde soll unverzüglich und ohne Nachfrage der Behörde erfolgen.
- Informationen des Auftragsverarbeiters sollen nicht unkommentiert an die Aufsichtsbehörde gegeben, sondern aufbereitet werden.
- Nachmeldungen sollten die Verantwortlichen immer in Bezug zur eigentlichen Meldung setzen.
Wir sind gern Ihr Ansprechpartner
Wenn Sie Fragen dazu haben, was Auftragsverarbeiter bei einem Datenschutzvorfall tun müssen oder wie Sie selber sich bei Problemfällen im Bereich Datenschutz verhalten sollten, kommen Sie gern auf uns zu. Sie erreichen uns entweder unter Telefon 09122 6937302 oder mit Ihrer individuellen Nachricht! Wir freuen uns darauf, Sie kennenzulernen!
Ihr Team von Datenschutz Prinz
Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.
