ein Datenschutzvorfall ist ja bekanntlich die fehlerhafte Offenlegung personenbezogener Daten.
Wie wäre es, wenn es einen Auftragsverarbeiter gäbe, der gewisse personenbezogene Daten sehen dürfte, dem nun aber weitere Daten offengelegt würden.
Meines Erachtens Datenschutz-Vorfall: ja, da es sich um pbD handeln würde, die nicht vom AVV gedeckt wären.
Könnte eine etwaig bestehende Meldepflicht mit Hinweis auf die besondere Beziehung (AVV, NDA unterschrieben) verneint werden?
Meines Erachtens könnte eine solch vertrauensvolle Zusammenarbeit ja gegen ein Risiko für die betroffenen Personen sprechen.
In Bezug auf überflüssige Daten (die er für die Verarbeitung im Auftrag nicht braucht) wäre der Auftragsverarbeiter ja “Unbefugter”, und die unbefugte Offenlegung wird bei “Risiken” meldepflichtig sein.
Ich sag ja immer, (richtige; nicht du, Microsoft!) Auftragsverarbeiter sind wie eine zuständige interne Abteilung. Per Definition jedenfalls keine “Dritten”, und der Verantwortung des… Verantwortlichen zuzurechnen. Der muss dafür sorgen, dass alle (nur) das kriegen, was sie für ihre Teile der Verarbeitung zulässig benötigen.
Vergleichen wir es mit ähnlichen Offenlegungen gegenüber Beschäftigten: Wenn z. B. mehr oder weniger vertrauliche Mitteilungen an falsche Mailempfänger gehen, oder wenn bei zu weit gefasster Zugriffsberechtigung Daten außerhalb der zuständigen Stellen sichtbar werden. Dann wären diese unbefugt, und die unbeabsichtigte Offenlegung meldepflichtig.
Allenfalls bei günstigen Umständen wären die Risiken vernachlässigbar. (Eine Stufe, die die DSGVO nicht kennt, aber bei der die Aufsichtsbehörden nicht belästigt werden möchten.) Z. B. nach zeitnaher Eindämmung, Datenrückholung und Nachweisbarkeit, dass sie nicht missbraucht wurden. Ist dann aber nicht speziell Auftragsverarbeitung.
D., der Meldung empfehlen würde. Je nachdem, wie sie verpackt ist, kann die Aufsicht entscheiden, ob sie in Wallung geraten möchte oder ein Häkchen dran macht.