Auftragsverarbeiter, die Kenntnis von einer Datenschutzverletzung bekommen, haben eine unverzügliche Meldepflicht gegenüber den Verantwortlichen in Arztpraxis und Apotheke. Was ist dabei zu beachten?
Auftragsverarbeiter müssen nach Art. 33 Abs. 2 DSGVO den Verantwortlichen (also den Arzt oder Apotheker) unverzüglich benachrichtigen, wenn eine Datenschutzverletzung festgestellt wurde. Ausführlich zur Meldepflicht des Auftragsverarbeiters berichtet die Seite Datenschutzbeauftragter-info.de. Eine Risikobeurteilung muss der Auftragsverarbeiter demnach nicht durchführen. Es handelt sich nicht um eine klassische Meldepflicht, sondern um eine Informationspflicht. Dabei spielt es keine Rolle, wie groß die Risiken für die Rechte des Betroffenen sind. Erst der Verantwortliche muss im Rahmen einer Risikobeurteilung klären, ob die Datenschutzverletzung auch der Aufsichtsbehörde gemeldet werden muss.
Wichtig ist, dass die Meldung des Auftragsverarbeiters unverzüglich erfolgen muss. Unverzüglich bedeutet dabei, dass der Auftragsverarbeiter den Sachverhalt sofort untersuchen und dann den Verantwortlichen benachrichtigen muss. Der Verantworliche muss die Datenschutzverletzung dann ebenfalls noch einmal untersuchen und ebenso unverzüglich der Datenschutzbehörde die Datenschutzverletzung melden (spätestens aber innerhalb von 72 Stunden), wenn die Verletzungshandlung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürliche Personen führt. Schafft der Verantwortliche das nicht innerhalb dieser Zeit, muss die Verzögerung gegenüber der Datenschutzbehörde begründet werden.
Diese Meldung muss nach Art. 33 Abs. 3 DSGVO folgendes beinhalten:
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
- eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.