Welche europäischen Datenschutz-Aufsichtsbehörden sind zuständig, wenn ein Verantwortlicher ausserhalb des Europäischen Wirtschaftsraums (EWR) eine Datenschutz-Verletzung melden muss?
Muss beispielsweise ein Verantwortlicher in der Schweiz allenfalls bei mehr als 40 europäischen Aufsichtsbehörden gleichzeitig Meldung erstatten?
Art. 33 Abs. 1 DSGVO für die Meldung von Datenschutz-Verletzungen lautet wie folgt:
«Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäss Artikel 55 zuständigen Aufsichtsbehörde […].»
Gemäss Art. 56 Abs. 1 DSGVO ist die zuständige Aufsichtsbehörde gemäss Art. 55 DSGVO jene am Ort der «Hauptniederlassung» oder «einzigen Niederlassung» im EWR.
Bei einer Niederlassung im EWR greift der «One-Stop-Shop» und es gibt eine federführende Aufsichtsbehörde.
Was gilt aber, wenn der Verantwortliche ausschliesslich im Ausland sitzt, gemäss Art. 3 Abs. 2 DSGVO zum Teil der europäischen Datenschutz-Grundverordnung (DSGVO) und Personen in mehreren EWR-Mitgliedstaaten von einer Datenschutzverletzung betroffen sind?
Wieso genügt die Meldung am Ort der EU-Datenschutz-Vertretung nicht?
Der Europäische Datenschutzausschuss (EDSA) stellt sich auf den Standpunkt, dass die Meldung durch einen Verantwortlichen ausserhalb des EWR allein am Ort der EU-Datenschutz-Vertretung gemäss Art. 27 DSGVO nicht genügt.
In seinen Guidelines 9/2022 on Personal Data Breach Notification under GDPR vom 28. März 2023 schreibt der EDSA in diesem Zusammenhang:
«[…] the mere presence of a representative in a Member State does not trigger the one-stop-shop system. For this reason the breach will need to be notified to every supervisory authority for which affected data subjects reside in their Member State. This (These) notification(s) shall be the responsibility of the controller.»
Übersetzt auf Deutsch:
«Die blosse Anwesenheit eines Vertreters in einem Mitgliedstaat löst allerdings nicht das ‹One-Stop-Shop›-System aus. Aus diesem Grund muss der Verstoss jeder Aufsichtsbehörde gemeldet werden, in deren Mitgliedstaat die betroffenen Personen ansässig sind. Diese Meldung(en) obliegt/obliegen der Verantwortung des Verantwortlichen.»
Der EDSA fordert demnach, dass im Fall, dass Personen in allen EWR-Mitgliedstaaten von einer Datenschutz-Verletzung betroffen sind, überall Meldung erstattet wird.
Im EWR gibt es mehr als 40 Datenschutz-Aufsichtsbehörden. Die meisten Mitgliedstaaten verfügen über eine nationale Behörde. In Deutschland ist die Zuständigkeit zwischen Bund und einzelnen Bundesländern aufgeteilt.
Die erwähnte Haltung betont der EDSA auch auf seiner Website über die Meldung von Datenschutz-Verletzungen:
«Where a data controller does not have a main establishment in the EEA, the one-stop-shop mechanism does not apply. Therefore, in such cases the breach will need to be notified to every DPA for which affected individuals reside in their country.»
Übersetzt auf Deutsch:
«Wenn ein für die Datenverarbeitung Verantwortlicher keine Hauptniederlassung im EWR hat, kommt der Mechanismus der einzigen Anlaufstelle nicht zur Anwendung. Daher muss in solchen Fällen die Datenschutzverletzung jeder Datenschutzbehörde gemeldet werden, bei der die betroffenen Personen in ihrem Land ansässig sind.»
Meldungen allein schon bei einigen wenigen Datenschutz-Aufsichtsbehörden sind aufwendig, weil es kein einheitliches Vorgehen gibt. Manche Behörden bieten ein Online-Formular an, manche Behörden muss man per Briefpost kontaktieren. Die geforderten Angaben unterscheiden sich manchmal in wichtigen Punkten.
Unabhängig vom Vorgehen, das die einzelnen Behörden vorsehen, müssen die zulässigen Sprachen berücksichtigt werden. Viele Behörden akzeptieren Meldungen nur in ihrer jeweiligen Landessprache.
Welche Prioritäten können Verantwortliche bei ihren Meldungen setzen?
In der Praxis müssen Verantwortliche bei der Meldung von Datenschutz-Verletzungen Prioritäten setzen.
Die Meldung an allenfalls mehr als 40 Aufsichtsbehörden gleichzeitig innert 72 Stunden wäre in den meisten Fällen gar nicht machbar.
Aus schweizerischer Sicht sind in einem ersten Schritt zeitnahe Meldungen – jeweils sofern erforderlich – beim EDÖB und bei der Aufsichtsbehörde am Ort der EU-Datenschutz-Vertretung naheliegend. Wenn das Angebot der EU-Datenschutz-Vertretung von Datenschutzpartner genutzt wird, befindet sich diese in Hamburg in Deutschland.
In einem zweiten Schritt können Meldungen an Aufsichtsbehörden in EWR-Mitgliedstaaten, in denen eine erhebliche Zahl von betroffenen Personen sitzt, erfolgen.
Ob Meldungen an weitere Aufsichtsbehörden gehen, allenfalls auch an zusätzliche Aufsichtsbehörden in Deutschland, ist im Einzelfall zu prüfen. Genauso ist der Fall zu berücksichtigen, dass am Ort der EU-Datenschutz-Vertretung keine betroffenen Personen sitzen.
Wer bis zu einem gewissen Grad auf Nummer sicher gehen möchte, sendet den Aufsichtsbehörden, bei denen erst einmal nicht direkt Meldung erstattet wurde, die – allenfalls automatisiert übersetzte – erste Meldung in Kopie.
In jedem Fall sollten einzelne Aufsichtsbehörden informiert werden, wenn man nicht nur bei ihnen Meldung erstattet hat. Die Behörden haben dadurch die Chance, sich mit anderen Behörden abzusprechen.
Leider zeigt sich immer wieder, dass die meisten Behörden ihre Verfahren allein führen, unterschiedlich (schnell) arbeiten und beim gleichen Sachverhalt zu unterschiedlichen Ergebnissen gelangen.
Wieso gibt es einen Anreiz, gar nicht erst Meldung zu erstatten?
Die Meldung einer Datenschutz-Verletzung ist immer aufwendig, selbst wenn die Meldung nur an eine Aufsichtsbehörde erfolgen muss. Aus Sicht der Verantwortlichen besteht ein gewisser Anreiz, gar nicht zu melden.
Man kann fast immer argumentieren, eine Datenschutz-Verletzung führe nicht zu einem Risiko für die betroffenen Personen (Art. 33 Abs. 1 DSGVO: «[…] es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.»).
Der Anreiz verstärkt sich mit der Perspektive, an mehrere oder sogar zahlreiche Aufsichtsbehörden zu melden und in der Folge mit viel Aufwand und Risiko eine entsprechende Anzahl von Verfahren bestreiten zu müssen.
Verantwortliche in der Schweiz und anderswo ausserhalb des EWR wissen ausserdem, dass Sanktionen gemäss DSGVO gegen sie nicht vollstreckt werden können. Es gibt für Unternehmen und andere Verantwortliche aber selbstverständlich gute Gründe, auch ohne vollstreckbare Sanktionen die Datenschutz-Compliance gemäss DSGVO zu gewährleisten.
Für die Meldung von Datenschutz-Verletzungen sollte auch für Verantwortliche ausserhalb des EWR ein «One-Stop-Shop» bestehen, insbesondere am Ort der EU-Datenschutz-Vertretung. Mit seinem Standpunkt fördert der EDSA einen bürokratischen Leerlauf, ohne den Schutz der betroffenen Personen zu verbessern.
Benötigen Sie eine EU-Datenschutz-Vertretung?
Bild: OpenAI / ChatGPT 4.