Die Rolle von Auftragsverarbeitern ist entscheidend, da sie oft im Namen von Unternehmen handeln und deren personenbezogene Daten verarbeiten. Tritt eine Datenschutzverletzung auf, sind auch die Daten des auftraggebenden Unternehmens betroffen. In solchen Fällen ist es wichtig zu wissen, wie man als verantwortliche Stelle korrekt vorgeht.
Nach Artikel 28 DSGVO trägt das auftraggebende Unternehmen die Verantwortung für die Meldung einer Datenschutzverletzung an die zuständige Aufsichtsbehörde. Eine bestehende Meldung durch den Auftragsverarbeiter entbindet das Unternehmen nicht von dieser Pflicht. Es wird erwartet, dass der Auftragsverarbeiter das Unternehmen unverzüglich über die Datenschutzverletzung informiert, sodass das der Auftraggeber wiederum die erforderlichen Schritte einleiten kann.
Grundsätzlich sollte der Dialog mit dem Auftragsverarbeiter dabei schriftlich geführt werden, um der eigenen Dokumentations- und Rechenschaftspflicht nachzukommen. Sofern der Dienstleister keine genauen Informationen liefert, sollte nachgefragt werden, um welche Art des Vorfalls es sich handelt, wie es zu diesem Vorfall kommen konnte, welche Daten betroffen sind, wie groß das Ausmaß der betroffenen Daten ist, ob Daten abgeflossen oder unwiderruflich zerstört wurden und welche Sicherheitsmaßnahmen künftig getroffen werden.
Bei der Meldung einer Datenschutzverletzung ist zu beachten, dass der Auftragsverarbeiter möglicherweise nicht sofort alle relevanten Informationen zur Verfügung stellen kann. Dennoch ist der Auftraggeber verpflichtet, innerhalb von 72 Stunden nach Kenntnisnahme der Verletzung eine Erstmeldung vorzunehmen. Wenn eine Datenschutzverletzung festgestellt wird, muss der Auftragsverarbeiter nicht nur seine Kunden informieren, sondern auch unverzüglich Maßnahmen ergreifen, um die Verletzung zu beheben. Die verantwortliche Stelle sollte in jedem gut gestalteten Auftragsverarbeitungsvertrag festlegen, dass der Auftragsverarbeiter alle relevanten Informationen über die Verletzung liefert, einschließlich der betroffenen Daten und der ergriffenen Gegenmaßnahmen.
Mit der Meldung bei der Aufsichtsbehörde ist es jedoch nicht getan. Der Sachverhalt muss nachverfolgt, neue Erkenntnisse ggf. der Aufsichtsbehörde mitgeteilt werden. Darüber hinaus sollte überprüft, sobald alle Informationen vom Dienstleister vorliegen, ob eine weitere Zusammenarbeit möglich ist. Unabhängig von den Maßnahmen, die der Dienstleister für die Behebung und künftige Vermeidung einer Datenschutzverletzung ergriffen hat empfiehlt es sich beispielsweise, Sicherungskopien von Daten, die beim Auftragsverarbeiter liegen, regelmäßig verschlüsselt an einem weiteren Serverstandort oder im Haus des Auftraggebers zu speichern. So kann zumindest ein Totalausfall durch eine Verschlüsselung von Festplatten beim Auftragsverarbeiter verhindert werden.