Art.31 - DSGVO - Zusammenarbeit mit der Aufsichtsbehörde
|
Stand: 25.01.2012 |
Stand: 12.03.2014 |
Stand: 15.06.2015 |
Stand: 27.04.2016 (ehem. Art. 29) |
|
Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde |
Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde |
Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde |
Zusammenarbeit mit der Aufsichtsbehörde |
|
1. Bei einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der für die Verarbeitung Verantwortliche |
1. Bei einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der für die Verarbeitung Verantwortliche die Aufsichtsbehörde unverzüglich. |
1. Bei einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat, wie etwa Diskriminierung, Identitätsdiebstahl oder betrug, finanzielle Verluste, unbefugte Umkehr der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile, meldet der für die Verarbeitung Verantwortliche der gemäß Artikel 51 zuständigen Aufsichtsbehörde die Verletzung des Schutzes personenbezogener Daten ohne unangemessene Verzögerung und nach Möglichkeit binnen 72 Stunden nach Feststellung der Verletzung. Falls die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden erfolgt, ist ihr eine Begründung beizufügen. |
Der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. |
|
|
|
1a. Eine Meldung gemäß Absatz 1 muss nicht erfolgen, wenn eine Benachrichtigung der betroffenen Person gemäß Artikel 32 Absatz 3 Buchstaben a und b nicht erforderlich ist. |
|
|
2. In Übereinstimmung mit Artikel 26 Absatz 2 Buchstabe f alarmiert und informiert der Auftragsverarbeiter den für |
2. Der Auftragsverarbeiter alarmiert und informiert den für die Verarbeitung |
2. Nach Feststellung einer Verletzung des Schutzes personenbezogener Daten meldet der Auftragsverarbeiter diese dem für die Verarbeitung Verantwortlichen ohne ungebührliche Verzögerung. |
|
|
3. Die in Absatz 1 genannte |
3. Die in Absatz 1 genannte |
3. Die in Absatz 1 genannte Meldung enthält mindestens folgende Informationen: |
|
|
a) eine Beschreibung der Art der |
a) eine Beschreibung der Art der Verletzung des Schutzes |
a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich und angezeigt mit Angabe der ungefähren Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Datenkategorien und der ungefähren Zahl der betroffenen Datensätze; |
|
|
b) Name und Kontaktdaten des Datenschutzbeauftragten oder eines sonstigen Ansprechpartners für weitere Informationen; |
b) Name und Kontaktdaten des Datenschutzbeauftragten oder eines sonstigen Ansprechpartners für weitere Informationen; |
b) Name und Kontaktdaten des Datenschutzbeauftragten oder eines sonstigen Ansprechpartners für weitere Informationen; |
|
|
c) Empfehlungen für Maßnahmen zur Eindämmung etwaiger negativer Auswirkungen der Verletzung des Schutzes personenbezogener Daten; |
c) Empfehlungen für Maßnahmen zur Eindämmung etwaiger negativer Auswirkungen der Verletzung des Schutzes personenbezogener Daten; |
c) (entfällt) |
|
|
d) eine Beschreibung der Folgen der Verletzung des Schutzes personenbezogener Daten; |
d) eine Beschreibung der Folgen der Verletzung des Schutzes personenbezogener Daten; |
d) eine Beschreibung der wahrscheinlichen Folgen der von dem für die Verarbeitung Verantwortlichen festgestellten Verletzung des Schutzes personenbezogener Daten; |
|
|
e) eine Beschreibung der vom für die Verarbeitung Verantwortlichen vorgeschlagenen oder ergriffenen Maßnahmen zur Behandlung der Verletzung des Schutzes personenbezogener Daten. |
e) eine Beschreibung der vom für die Verarbeitung Verantwortlichen vorgeschlagenen oder ergriffenen Maßnahmen zur Behandlung der Verletzung des Schutzes personenbezogener Daten und zur Minderung ihrer Auswirkungen. Die Information kann, wenn nötig, auch stufenweise erfolgen. |
e) eine Beschreibung der von dem für die Verarbeitung Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behandlung der Verletzung des Schutzes personenbezogener Daten und |
|
|
|
|
f) gegebenenfalls eine Angabe von Maßnahmen zur Eindämmung etwaiger nachteiliger Auswirkungen der Verletzung des Schutzes personenbezogener Daten. |
|
|
|
|
3a. Wenn und soweit die in Absatz 3 Buchstaben d, e und f genannten Informationen nicht zur gleichen Zeit wie die in Absatz 3 Buchstaben a und b genannten bereitgestellt werden können, stellt der für die Verarbeitung Verantwortliche diese Informationen ohne ungebührliche weitere Verzögerung zur Verfügung. |
|
|
4. Der für die Verarbeitung Verantwortliche dokumentiert etwaige Verletzungen des Schutzes personenbezogener Daten unter Beschreibung aller im Zusammenhang mit der Verletzung stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Die Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen. Die Dokumentation enthält nur die zu diesem Zweck erforderlichen Informationen. |
4. Der für die Verarbeitung Verantwortliche dokumentiert etwaige Verletzungen des Schutzes personenbezogener Daten unter Beschreibung aller im Zusammenhang mit der Verletzung stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Die Dokumentation muss ausreichend sein, um der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels und von Artikel 30 ermöglichen. Die Dokumentation enthält nur die zu diesem Zweck erforderlichen Informationen. |
4. Der für die Verarbeitung Verantwortliche dokumentiert etwaige Verletzungen des Schutzes personenbezogener Daten, auf die in den Absätzen 1 und 2 Bezug genommen wird, unter Beschreibung aller im Zusammenhang mit der Verletzung stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Die Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen. |
|
|
4a. Die Aufsichtsbehörde führt ein öffentliches Verzeichnis der Arten der gemeldeten Verletzungen. |
(entfällt) |
||
|
5. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Anforderungen in Bezug auf die Feststellung der in den Absätzen 1 und 2 genannten Verletzungen des Schutzes personenbezogener Daten festzulegen sowie die konkreten Umstände, unter denen der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter die Verletzung des Schutzes personenbezogener Daten zu melden haben. |
5. Der Europäische Datenschutzausschuss wird beauftragt, Leitlinien, Empfehlungen und bewährte Praktiken nach Maßgabe von Artikel 66 Absatz 1 Buchstabe b in Bezug auf die Feststellung der Verletzungen des Schutzes personenbezogener Daten zu veröffentlichen sowie die Unverzüglichkeit gemäß Absatz 1 und 2 und die konkreten Umstände, unter denen der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter die Verletzung des Schutzes personenbezogener Daten zu melden haben, festzulegen. |
(entfällt) |
|
|
6. Die Kommission kann das Standardformat für derartige Meldungen an die Aufsichtsbehörde, die Verfahrensvorschriften für die vorgeschriebene Meldung sowie Form und Modalitäten der in Absatz 4 genannten Dokumentation einschließlich der Fristen für die Löschung der darin enthaltenen Informationen festlegen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 erlassen. |
(entfällt) |
Änderungsanträge: Website des Europäischen Parlaments
Bewertungen der Änderungsanträge: LobbyPlag
Vergleich zum BDSG
Handlungsbedarf für deutsche Unternehmen
Kommentar
Art.31 - DSGVO - Zusammenarbeit mit der Aufsichtsbehörde
|
Stand: 25.01.2012 |
Stand: 12.03.2014 |
Stand: 15.06.2015 |
Stand: 27.04.2016 (ehem. Art. 29) |
|
Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde |
Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde |
Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde |
Zusammenarbeit mit der Aufsichtsbehörde |
|
1. Bei einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der für die Verarbeitung Verantwortliche |
1. Bei einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der für die Verarbeitung Verantwortliche die Aufsichtsbehörde unverzüglich. |
1. Bei einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat, wie etwa Diskriminierung, Identitätsdiebstahl oder betrug, finanzielle Verluste, unbefugte Umkehr der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile, meldet der für die Verarbeitung Verantwortliche der gemäß Artikel 51 zuständigen Aufsichtsbehörde die Verletzung des Schutzes personenbezogener Daten ohne unangemessene Verzögerung und nach Möglichkeit binnen 72 Stunden nach Feststellung der Verletzung. Falls die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden erfolgt, ist ihr eine Begründung beizufügen. |
Der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. |
|
|
|
1a. Eine Meldung gemäß Absatz 1 muss nicht erfolgen, wenn eine Benachrichtigung der betroffenen Person gemäß Artikel 32 Absatz 3 Buchstaben a und b nicht erforderlich ist. |
|
|
2. In Übereinstimmung mit Artikel 26 Absatz 2 Buchstabe f alarmiert und informiert der Auftragsverarbeiter den für |
2. Der Auftragsverarbeiter alarmiert und informiert den für die Verarbeitung |
2. Nach Feststellung einer Verletzung des Schutzes personenbezogener Daten meldet der Auftragsverarbeiter diese dem für die Verarbeitung Verantwortlichen ohne ungebührliche Verzögerung. |
|
|
3. Die in Absatz 1 genannte |
3. Die in Absatz 1 genannte |
3. Die in Absatz 1 genannte Meldung enthält mindestens folgende Informationen: |
|
|
a) eine Beschreibung der Art der |
a) eine Beschreibung der Art der Verletzung des Schutzes |
a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich und angezeigt mit Angabe der ungefähren Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Datenkategorien und der ungefähren Zahl der betroffenen Datensätze; |
|
|
b) Name und Kontaktdaten des Datenschutzbeauftragten oder eines sonstigen Ansprechpartners für weitere Informationen; |
b) Name und Kontaktdaten des Datenschutzbeauftragten oder eines sonstigen Ansprechpartners für weitere Informationen; |
b) Name und Kontaktdaten des Datenschutzbeauftragten oder eines sonstigen Ansprechpartners für weitere Informationen; |
|
|
c) Empfehlungen für Maßnahmen zur Eindämmung etwaiger negativer Auswirkungen der Verletzung des Schutzes personenbezogener Daten; |
c) Empfehlungen für Maßnahmen zur Eindämmung etwaiger negativer Auswirkungen der Verletzung des Schutzes personenbezogener Daten; |
c) (entfällt) |
|
|
d) eine Beschreibung der Folgen der Verletzung des Schutzes personenbezogener Daten; |
d) eine Beschreibung der Folgen der Verletzung des Schutzes personenbezogener Daten; |
d) eine Beschreibung der wahrscheinlichen Folgen der von dem für die Verarbeitung Verantwortlichen festgestellten Verletzung des Schutzes personenbezogener Daten; |
|
|
e) eine Beschreibung der vom für die Verarbeitung Verantwortlichen vorgeschlagenen oder ergriffenen Maßnahmen zur Behandlung der Verletzung des Schutzes personenbezogener Daten. |
e) eine Beschreibung der vom für die Verarbeitung Verantwortlichen vorgeschlagenen oder ergriffenen Maßnahmen zur Behandlung der Verletzung des Schutzes personenbezogener Daten und zur Minderung ihrer Auswirkungen. Die Information kann, wenn nötig, auch stufenweise erfolgen. |
e) eine Beschreibung der von dem für die Verarbeitung Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behandlung der Verletzung des Schutzes personenbezogener Daten und |
|
|
|
|
f) gegebenenfalls eine Angabe von Maßnahmen zur Eindämmung etwaiger nachteiliger Auswirkungen der Verletzung des Schutzes personenbezogener Daten. |
|
|
|
|
3a. Wenn und soweit die in Absatz 3 Buchstaben d, e und f genannten Informationen nicht zur gleichen Zeit wie die in Absatz 3 Buchstaben a und b genannten bereitgestellt werden können, stellt der für die Verarbeitung Verantwortliche diese Informationen ohne ungebührliche weitere Verzögerung zur Verfügung. |
|
|
4. Der für die Verarbeitung Verantwortliche dokumentiert etwaige Verletzungen des Schutzes personenbezogener Daten unter Beschreibung aller im Zusammenhang mit der Verletzung stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Die Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen. Die Dokumentation enthält nur die zu diesem Zweck erforderlichen Informationen. |
4. Der für die Verarbeitung Verantwortliche dokumentiert etwaige Verletzungen des Schutzes personenbezogener Daten unter Beschreibung aller im Zusammenhang mit der Verletzung stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Die Dokumentation muss ausreichend sein, um der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels und von Artikel 30 ermöglichen. Die Dokumentation enthält nur die zu diesem Zweck erforderlichen Informationen. |
4. Der für die Verarbeitung Verantwortliche dokumentiert etwaige Verletzungen des Schutzes personenbezogener Daten, auf die in den Absätzen 1 und 2 Bezug genommen wird, unter Beschreibung aller im Zusammenhang mit der Verletzung stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Die Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen. |
|
|
4a. Die Aufsichtsbehörde führt ein öffentliches Verzeichnis der Arten der gemeldeten Verletzungen. |
(entfällt) |
||
|
5. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Anforderungen in Bezug auf die Feststellung der in den Absätzen 1 und 2 genannten Verletzungen des Schutzes personenbezogener Daten festzulegen sowie die konkreten Umstände, unter denen der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter die Verletzung des Schutzes personenbezogener Daten zu melden haben. |
5. Der Europäische Datenschutzausschuss wird beauftragt, Leitlinien, Empfehlungen und bewährte Praktiken nach Maßgabe von Artikel 66 Absatz 1 Buchstabe b in Bezug auf die Feststellung der Verletzungen des Schutzes personenbezogener Daten zu veröffentlichen sowie die Unverzüglichkeit gemäß Absatz 1 und 2 und die konkreten Umstände, unter denen der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter die Verletzung des Schutzes personenbezogener Daten zu melden haben, festzulegen. |
(entfällt) |
|
|
6. Die Kommission kann das Standardformat für derartige Meldungen an die Aufsichtsbehörde, die Verfahrensvorschriften für die vorgeschriebene Meldung sowie Form und Modalitäten der in Absatz 4 genannten Dokumentation einschließlich der Fristen für die Löschung der darin enthaltenen Informationen festlegen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 erlassen. |
(entfällt) |
Änderungsanträge: Website des Europäischen Parlaments
Bewertungen der Änderungsanträge: LobbyPlag
Vergleich zum BDSG
Handlungsbedarf für deutsche Unternehmen