Art.31 – EU-DSGVO – Zusammenarbeit mit der Aufsichtsbehörde

> Art.31 - EU-DSGVO - Zusammenarbeit mit der Aufsichtsbehörde

Art.31 - DSGVO - Zusammenarbeit mit der Aufsichtsbehörde

<<ZURÜCK   Übersicht   VOR >>

Stand: 25.01.2012

Stand: 12.03.2014

Stand: 15.06.2015

Stand: 27.04.2016

(ehem. Art. 29)

 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

Zusammenarbeit mit der Aufsichtsbehörde

1. Bei einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der für die Verarbeitung Verantwortliche
die Aufsichtsbehörde ohne
unangemessene Verzögerung und nach Möglichkeit binnen 24 Stunden nach Feststellung der Verletzung. Falls die Meldung an die Aufsichtsbehörde nicht
binnen 24 Stunden erfolgt, ist dieser eine Begründung beizufügen.

1. Bei einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der für die Verarbeitung Verantwortliche die Aufsichtsbehörde unverzüglich.

1. Bei einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat, wie etwa Diskriminierung, Identitätsdiebstahl oder betrug, finanzielle Verluste, unbefugte Umkehr der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile, meldet der für die Verarbeitung Verantwortliche der gemäß Artikel 51 zuständigen Aufsichtsbehörde die Verletzung des Schutzes personenbezogener Daten ohne unangemessene Verzögerung und nach Möglichkeit binnen 72 Stunden nach Feststellung der Verletzung. Falls die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden erfolgt, ist ihr eine Begründung beizufügen.

Der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

 

 

1a. Eine Meldung gemäß Absatz 1 muss nicht erfolgen, wenn eine Benachrichtigung der betroffenen Person gemäß Artikel 32 Absatz 3 Buchstaben a und b nicht erforderlich ist.

 
       

2. In Übereinstimmung mit Artikel 26 Absatz 2 Buchstabe f alarmiert und informiert der Auftragsverarbeiter den für
die Verarbeitung Verantwortlichen unmittelbar nach Feststellung einer
Verletzung des Schutzes
personenbezogener Daten.

2. Der Auftragsverarbeiter alarmiert und informiert den für die Verarbeitung
Verantwortlichen unverzüglich nach Feststellung einer Verletzung des Schutzes
personenbezogener Daten.

2. Nach Feststellung einer Verletzung des Schutzes personenbezogener Daten meldet der Auftragsverarbeiter diese dem für die Verarbeitung Verantwortlichen ohne ungebührliche Verzögerung.

 

3. Die in Absatz 1 genannte
Benachrichtigung enthält mindestens folgende Informationen:

3. Die in Absatz 1 genannte
Benachrichtigung enthält mindestens folgende Informationen:

3. Die in Absatz 1 genannte Meldung enthält mindestens folgende Informationen:

 

a) eine Beschreibung der Art der
Verletzung des Schutzes
personenbezogener Daten mit Angabe der Kategorien und der Zahl der betroffenen
Personen, der betroffenen Datenkategorien und der Zahl der betroffenen Datensätze;

a) eine Beschreibung der Art der Verletzung des Schutzes
personenbezogener Daten mit Angabe der Kategorien und der Zahl der betroffenen
Personen, der betroffenen Datenkategorien und der Zahl der betroffenen Datensätze;

a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich und angezeigt mit Angabe der ungefähren Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Datenkategorien und der ungefähren Zahl der betroffenen Datensätze;

 

b) Name und Kontaktdaten des Datenschutzbeauftragten oder eines sonstigen Ansprechpartners für weitere Informationen;

b) Name und Kontaktdaten des Datenschutzbeauftragten oder eines sonstigen Ansprechpartners für weitere Informationen;

b) Name und Kontaktdaten des Datenschutzbeauftragten oder eines sonstigen Ansprechpartners für weitere Informationen;

 

c) Empfehlungen für Maßnahmen zur Eindämmung etwaiger negativer Auswirkungen der Verletzung des Schutzes personenbezogener Daten;

c) Empfehlungen für Maßnahmen zur Eindämmung etwaiger negativer Auswirkungen der Verletzung des Schutzes personenbezogener Daten;

 c) (entfällt)

 

d) eine Beschreibung der Folgen der Verletzung des Schutzes personenbezogener Daten;

d) eine Beschreibung der Folgen der Verletzung des Schutzes personenbezogener Daten;

d) eine Beschreibung der wahrscheinlichen Folgen der von dem für die Verarbeitung Verantwortlichen festgestellten Verletzung des Schutzes personenbezogener Daten;

 

e) eine Beschreibung der vom für die Verarbeitung Verantwortlichen vorgeschlagenen oder ergriffenen  Maßnahmen zur Behandlung der Verletzung des Schutzes personenbezogener Daten.

e) eine Beschreibung der vom für die Verarbeitung Verantwortlichen vorgeschlagenen oder ergriffenen  Maßnahmen zur Behandlung der Verletzung des Schutzes personenbezogener Daten und zur Minderung ihrer Auswirkungen. Die Information kann, wenn nötig, auch stufenweise erfolgen.

e) eine Beschreibung der von dem für die Verarbeitung Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behandlung der Verletzung des Schutzes personenbezogener Daten und

 

 

 

f) gegebenenfalls eine Angabe von Maßnahmen zur Eindämmung etwaiger nachteiliger Auswirkungen der Verletzung des Schutzes personenbezogener Daten.

 

 

 

3a. Wenn und soweit die in Absatz 3 Buchstaben d, e und f genannten Informationen nicht zur gleichen Zeit wie die in Absatz 3 Buchstaben a und b genannten bereitgestellt werden können, stellt der für die Verarbeitung Verantwortliche diese Informationen ohne ungebührliche weitere Verzögerung zur Verfügung.

 

4. Der für die Verarbeitung Verantwortliche dokumentiert  etwaige Verletzungen des Schutzes personenbezogener Daten unter Beschreibung aller im  Zusammenhang mit der Verletzung stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Die  Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen. Die Dokumentation enthält nur die zu diesem Zweck erforderlichen Informationen.

4. Der für die Verarbeitung Verantwortliche dokumentiert etwaige Verletzungen des Schutzes personenbezogener Daten unter Beschreibung aller im  Zusammenhang mit der Verletzung stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Die Dokumentation muss ausreichend sein, um der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels und von Artikel 30 ermöglichen. Die Dokumentation enthält nur die zu diesem Zweck erforderlichen Informationen.

4. Der für die Verarbeitung Verantwortliche dokumentiert etwaige Verletzungen des Schutzes personenbezogener Daten, auf die in den Absätzen 1 und 2 Bezug genommen wird, unter Beschreibung aller im Zusammenhang mit der Verletzung stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Die Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen.

 
 

4a. Die Aufsichtsbehörde führt ein öffentliches Verzeichnis der Arten der gemeldeten Verletzungen.

 (entfällt)

 

5. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Anforderungen in Bezug auf die Feststellung der in den Absätzen 1 und 2 genannten Verletzungen des Schutzes personenbezogener Daten festzulegen sowie die konkreten Umstände, unter denen der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter die Verletzung  des Schutzes personenbezogener Daten zu melden haben.

5. Der Europäische Datenschutzausschuss wird beauftragt, Leitlinien, Empfehlungen und bewährte Praktiken nach Maßgabe von Artikel 66 Absatz 1 Buchstabe b in Bezug auf die Feststellung der Verletzungen des Schutzes personenbezogener Daten zu veröffentlichen sowie die  Unverzüglichkeit gemäß Absatz 1 und 2 und die konkreten Umstände, unter denen der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter die Verletzung des Schutzes personenbezogener Daten zu melden haben, festzulegen.

 (entfällt)

 

6. Die Kommission kann das Standardformat für derartige Meldungen an die Aufsichtsbehörde, die Verfahrensvorschriften für die vorgeschriebene Meldung sowie Form und Modalitäten der in Absatz 4 genannten Dokumentation einschließlich der Fristen für die Löschung der darin enthaltenen Informationen festlegen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87  Absatz 2 erlassen.

   (entfällt)  

<<ZURÜCK   Übersicht   VOR >>

Änderungsanträge: Website des Europäischen Parlaments
Bewertungen der Änderungsanträge: LobbyPlag

Vergleich zum BDSG

 

Handlungsbedarf für deutsche Unternehmen

 

 

(Visited 1.451 times, 1 visits today)

Kommentar

Art.31 - DSGVO - Zusammenarbeit mit der Aufsichtsbehörde

<<ZURÜCK   Übersicht   VOR >>

Stand: 25.01.2012

Stand: 12.03.2014

Stand: 15.06.2015

Stand: 27.04.2016

(ehem. Art. 29)

 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

Zusammenarbeit mit der Aufsichtsbehörde

1. Bei einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der für die Verarbeitung Verantwortliche
die Aufsichtsbehörde ohne
unangemessene Verzögerung und nach Möglichkeit binnen 24 Stunden nach Feststellung der Verletzung. Falls die Meldung an die Aufsichtsbehörde nicht
binnen 24 Stunden erfolgt, ist dieser eine Begründung beizufügen.

1. Bei einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der für die Verarbeitung Verantwortliche die Aufsichtsbehörde unverzüglich.

1. Bei einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat, wie etwa Diskriminierung, Identitätsdiebstahl oder betrug, finanzielle Verluste, unbefugte Umkehr der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile, meldet der für die Verarbeitung Verantwortliche der gemäß Artikel 51 zuständigen Aufsichtsbehörde die Verletzung des Schutzes personenbezogener Daten ohne unangemessene Verzögerung und nach Möglichkeit binnen 72 Stunden nach Feststellung der Verletzung. Falls die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden erfolgt, ist ihr eine Begründung beizufügen.

Der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

 

 

1a. Eine Meldung gemäß Absatz 1 muss nicht erfolgen, wenn eine Benachrichtigung der betroffenen Person gemäß Artikel 32 Absatz 3 Buchstaben a und b nicht erforderlich ist.

 
       

2. In Übereinstimmung mit Artikel 26 Absatz 2 Buchstabe f alarmiert und informiert der Auftragsverarbeiter den für
die Verarbeitung Verantwortlichen unmittelbar nach Feststellung einer
Verletzung des Schutzes
personenbezogener Daten.

2. Der Auftragsverarbeiter alarmiert und informiert den für die Verarbeitung
Verantwortlichen unverzüglich nach Feststellung einer Verletzung des Schutzes
personenbezogener Daten.

2. Nach Feststellung einer Verletzung des Schutzes personenbezogener Daten meldet der Auftragsverarbeiter diese dem für die Verarbeitung Verantwortlichen ohne ungebührliche Verzögerung.

 

3. Die in Absatz 1 genannte
Benachrichtigung enthält mindestens folgende Informationen:

3. Die in Absatz 1 genannte
Benachrichtigung enthält mindestens folgende Informationen:

3. Die in Absatz 1 genannte Meldung enthält mindestens folgende Informationen:

 

a) eine Beschreibung der Art der
Verletzung des Schutzes
personenbezogener Daten mit Angabe der Kategorien und der Zahl der betroffenen
Personen, der betroffenen Datenkategorien und der Zahl der betroffenen Datensätze;

a) eine Beschreibung der Art der Verletzung des Schutzes
personenbezogener Daten mit Angabe der Kategorien und der Zahl der betroffenen
Personen, der betroffenen Datenkategorien und der Zahl der betroffenen Datensätze;

a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich und angezeigt mit Angabe der ungefähren Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Datenkategorien und der ungefähren Zahl der betroffenen Datensätze;

 

b) Name und Kontaktdaten des Datenschutzbeauftragten oder eines sonstigen Ansprechpartners für weitere Informationen;

b) Name und Kontaktdaten des Datenschutzbeauftragten oder eines sonstigen Ansprechpartners für weitere Informationen;

b) Name und Kontaktdaten des Datenschutzbeauftragten oder eines sonstigen Ansprechpartners für weitere Informationen;

 

c) Empfehlungen für Maßnahmen zur Eindämmung etwaiger negativer Auswirkungen der Verletzung des Schutzes personenbezogener Daten;

c) Empfehlungen für Maßnahmen zur Eindämmung etwaiger negativer Auswirkungen der Verletzung des Schutzes personenbezogener Daten;

 c) (entfällt)

 

d) eine Beschreibung der Folgen der Verletzung des Schutzes personenbezogener Daten;

d) eine Beschreibung der Folgen der Verletzung des Schutzes personenbezogener Daten;

d) eine Beschreibung der wahrscheinlichen Folgen der von dem für die Verarbeitung Verantwortlichen festgestellten Verletzung des Schutzes personenbezogener Daten;

 

e) eine Beschreibung der vom für die Verarbeitung Verantwortlichen vorgeschlagenen oder ergriffenen  Maßnahmen zur Behandlung der Verletzung des Schutzes personenbezogener Daten.

e) eine Beschreibung der vom für die Verarbeitung Verantwortlichen vorgeschlagenen oder ergriffenen  Maßnahmen zur Behandlung der Verletzung des Schutzes personenbezogener Daten und zur Minderung ihrer Auswirkungen. Die Information kann, wenn nötig, auch stufenweise erfolgen.

e) eine Beschreibung der von dem für die Verarbeitung Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behandlung der Verletzung des Schutzes personenbezogener Daten und

 

 

 

f) gegebenenfalls eine Angabe von Maßnahmen zur Eindämmung etwaiger nachteiliger Auswirkungen der Verletzung des Schutzes personenbezogener Daten.

 

 

 

3a. Wenn und soweit die in Absatz 3 Buchstaben d, e und f genannten Informationen nicht zur gleichen Zeit wie die in Absatz 3 Buchstaben a und b genannten bereitgestellt werden können, stellt der für die Verarbeitung Verantwortliche diese Informationen ohne ungebührliche weitere Verzögerung zur Verfügung.

 

4. Der für die Verarbeitung Verantwortliche dokumentiert  etwaige Verletzungen des Schutzes personenbezogener Daten unter Beschreibung aller im  Zusammenhang mit der Verletzung stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Die  Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen. Die Dokumentation enthält nur die zu diesem Zweck erforderlichen Informationen.

4. Der für die Verarbeitung Verantwortliche dokumentiert etwaige Verletzungen des Schutzes personenbezogener Daten unter Beschreibung aller im  Zusammenhang mit der Verletzung stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Die Dokumentation muss ausreichend sein, um der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels und von Artikel 30 ermöglichen. Die Dokumentation enthält nur die zu diesem Zweck erforderlichen Informationen.

4. Der für die Verarbeitung Verantwortliche dokumentiert etwaige Verletzungen des Schutzes personenbezogener Daten, auf die in den Absätzen 1 und 2 Bezug genommen wird, unter Beschreibung aller im Zusammenhang mit der Verletzung stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Die Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen.

 
 

4a. Die Aufsichtsbehörde führt ein öffentliches Verzeichnis der Arten der gemeldeten Verletzungen.

 (entfällt)

 

5. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Anforderungen in Bezug auf die Feststellung der in den Absätzen 1 und 2 genannten Verletzungen des Schutzes personenbezogener Daten festzulegen sowie die konkreten Umstände, unter denen der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter die Verletzung  des Schutzes personenbezogener Daten zu melden haben.

5. Der Europäische Datenschutzausschuss wird beauftragt, Leitlinien, Empfehlungen und bewährte Praktiken nach Maßgabe von Artikel 66 Absatz 1 Buchstabe b in Bezug auf die Feststellung der Verletzungen des Schutzes personenbezogener Daten zu veröffentlichen sowie die  Unverzüglichkeit gemäß Absatz 1 und 2 und die konkreten Umstände, unter denen der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter die Verletzung des Schutzes personenbezogener Daten zu melden haben, festzulegen.

 (entfällt)

 

6. Die Kommission kann das Standardformat für derartige Meldungen an die Aufsichtsbehörde, die Verfahrensvorschriften für die vorgeschriebene Meldung sowie Form und Modalitäten der in Absatz 4 genannten Dokumentation einschließlich der Fristen für die Löschung der darin enthaltenen Informationen festlegen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87  Absatz 2 erlassen.

   (entfällt)  

<<ZURÜCK   Übersicht   VOR >>

Änderungsanträge: Website des Europäischen Parlaments
Bewertungen der Änderungsanträge: LobbyPlag

Vergleich zum BDSG

 

Handlungsbedarf für deutsche Unternehmen

 

 

(Visited 1.451 times, 1 visits today)

Anmerkungen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.