Guten Tag,
ich denke gerade über den Fall nach, in dem ein DSB bei seinem Verantwortlichen erhebliche Verstöße gegen die DSGVO feststellt. Ein Schaden für Betroffene ist (noch) nicht eingetreten, kann aber die Folge der Pflichtverstöße sein.
Natürlich ist der DSB nicht verantwortlich, aber Art. 39 verpflichtet ihn zur Zusammenarbeit mit der zuständigen Aufsichtsbehörde. Folgt daraus eine indirekte Verpflichtung zur Meldung der Verstöße, wenn der Verantwortliche sich beharrlich weigert, den fortgesetzten Verstoß zu unterlassen. Mich interessieren Eure Meinungen.
Gruß PD
Nein, das ist nicht der Fall.
Deine Verpflichtung ist es, auf Lücken hinzuweisen und ggf. Lösungsvorschläge anzubringen. Was der Verantwortliche daraus macht liegt nicht in Deiner Hand.
An dieser Stelle ist eine ordentliche Dokumentation langfristig sicher hilfreich… 
4 „Gefällt mir“
Wie @Rumpelberta schon geschrieben hat, ordentliche Dokumentation das man auf die Lücken hingewiesen und Lösungen vorgeschlagen hat. So hält man sich den Rücken mehr oder weniger frei…
1 „Gefällt mir“
Kommentar Kühling/Bucher Art 39 RdNr 19:
…Diese Pflicht zur Zusammenarbeit birgt in Kombination mit den hohen Sanktionsdrohungen (→ Art. 83 Rn. 38 ff.) und dem Umstand, dass der Datenschutzbeauftragte regelmäßig der erste Kontakt der Aufsichtsbehörde im Unternehmen bzw. in der Behörde sein wird (→ Rn. 18), ein erhebliches Konfliktpotential,38 auch wenn der Datenschutzbeauftragte – allenfalls mit Ausnahme besonders schwerer Verstöße wie Straftaten – nicht verpflichtet ist, von sich aus Verstöße gegen Datenschutzrecht der Aufsichtsbehörde zu melden.…
Der DSB soll durch Beratung und Überwachung einen effektiven Schutz personenbezogener Daten sicherstellen. Wird die Beratung durch den DSB vom Datenverantwortlichen ignoriert, so wäre es klug, diese zu dokumentieren. Gem. Art. 39 Abs. 1 d kann der DSB durchaus dies bei der Aufsichtsbehörde zur Anzeige bringen. Gemäß Art. 33 DSGVO muss ein Verstoß gegen den Datenschutz innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. (Hier hat das Wort “führt” eine besondere Bedeutung, da es auch Ereignisse in der Zukunft betrifft). Es hat also auch präemtive Bedeutung.
1 „Gefällt mir“
Danke für den Kommentar, den kannte ich noch nicht.
Gerne.
Nach meiner Erfahrung bekommt man von den Aufsichtsbehörden gute Auskünfte zu allgemeinen Fragen. Eine Anfrage zu einem konkreten Anliegen sollte jedoch sehr gut überlegt sein…
Das ist sicher ein Thema fürsich. Aber dazu muss ich tatsächlich sagen, dass ich alle Anfragen bisher nach frühestens einem halben Jahr beantwortet bekommen habe…(Anfragen in verschiedenen Bundesländern). Das ist für die Praxis ziemlich hinderlich.
Oh, da hatte ich wohl mehr Glück, bisher habe ich allerdings auch erst eine Anfrage gemacht. Da bekam ich innerhalb von 24 Stunden schon eine Antwort und auf eine Rückfrage in der gleichen Angelegenheit nach 2,5 Wochen.
Bei der Meldepflicht innerhalb von 72 Stunden sehe ich nicht jeden Fall eines Verstosses meldepflichtig. Solange kein Betroffener einen Nachteil oder Schaden nimmt, können solche Vorfälle auch “intern” geregelt werden. Andernfalls ist neben der Meldepflicht auch der Betroffene umgehend zu informieren.
Wie meine Vorredner bereits geschrieben haben, besteht die Verpflichtung nicht. Aber eine telefonische Beratung durch die AB kann durchaus zu einer guten Lösung zum weiteren Vorgehen führen.
The customer is always right. But he may be not right for you…
Hallo @pdpp , eine Meldepflicht müsste sich entweder aus einer Rechtsvorschrift, oder einem sonstigen Rechtsverhältnis ergeben. Vorschriften dazu gibt es nicht und der DSB hat kein eigenes Verhältnis mit Datenschutzbehörden, sondern vielmehr mit seinem eigenen Verantwortlichen. Von einer Pflicht kann also schon gar keine Rede sein.
Dann stellt sich die Frage, ob er wenigstens ein Recht dazu hätte. Wie schon vielfach hier geschrieben, ist der Verantwortliche primär in der juristischen Verantwortung, sein DSB arbeitet ihm dabei zu durch Beratung, Kontrolle und die Funktion als Ansprechpartner in Datenschutzfragen. Ansprechpartner heißt aber auch, dass Anfragen an ihn gestellt werden, nicht dass er selbstständig loslegt und bspw. erstmal Gott & die Welt über gefühlte Mängel beim Löschkonzept informiert. Als Angestellter oder Dienstleister sehe ich DSB´s vielmehr in einer Treuepflicht zum Unternehmen, die ihnen verbietet, über den Kopf der Leitung hinweg Aufsichtsbehörden heranzurufen. Eine solche Möglichkeit der Meldung wäre auch völlig kontraproduktiv: Wer würde einem DSB noch offenen Zugang zu Datenverarbeitungen gewähren, wenn man befürchten müsste, dass die entsprechenden Informationen anschließend gleich an die Aufsichtsbehörden gehen? Der DSB ist neutraler Berater, jegliche Form von Verpetzen würde diese Neutralität gründlich untergraben, daher ist jedem DSB zu raten, jegliche Möglichkeit eines Zweifels an dessen Loyalität zum Unternehmen sofort energisch zu ersticken.
Beste Grüße, Allons!
2 „Gefällt mir“
Den eigenen Auftraggeber an die ASB melden, ist sicher erstmal kein guter Weg und allenfalls für absolute Notlagen diskutabel. Eine Pflicht dazu kenne ich nicht und würde sie, wie oben schon genannt, für extrem kontraproduktiv halten.
Wir haben im Austausch mit den ASB sehr gute Erfahrungen mit “kleinen” telefonischen Anfragen zu Problemen und Fragen gemacht. Diese wurden unmittelbar am Telefon oder kurzfristig durch Rückruf beantwortet. Dabei mussten auch nicht Ross und Reiter genannt werden. Es hat immer ausgereicht, sich auf die Beratung eines Unternehmens zu beziehen. Anders sieht es aus, wenn die ASB von sich aus tätig geworden ist und bereits Fragen an das Unternehmen gerichtet hat. Dann sind der Ablauf und der Weg offiziell geworden.
Hmm, das liest sich hier bissel krass, Verpetzen ist eh irgendwie auch nicht das richtige Wort für ne “Meldung einer Datenschutzpanne”, der DSB ist doch aber nicht wie Marketing-Leute unterwegs, so mach mal alles schön … ich würde meinen, der DSB ist dann schon eher der DSGVO zu “Loyalität” verpflichtet, auch wenn ich ihn der AG Seite zurechne, aber er hat sich klar auch um die ds Rechte der Mitarbeitenden und Kunden etc. zu kümmern, also nicht nur dem Chef die Ecken und Kanten wegraspeln … oder seh ich das zu quer? Sorry, dass das nicht ganz zur Anfangsfrage passt. LG Jörg 
wie hier schon deutlich gesagt: das er drauf hingewiesen hat, dass sollte er schriftlich/Textform haben.
LG Jörg