Mit der Melde- und Dokumentationspflicht bei Sicherheitsvorfällen nach Artikel 33 und 34 Datenschutz-Grundverordnung (DS-GVO) muss das Unternehmen zusätzliche Aufgaben erfüllen. Der Verantwortliche meldet im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich an die Aufsichtsbehörde.
Jeder Vorfall muss auf Meldepflicht geprüft werden. Für Auftragsverarbeiter ist jeder Vorfall meldepflichtig. Unternehmen, die im Auftrag anderer Unternehmen laut Artikel 28 DS-GVO Daten verarbeiten, müssen auch jeden Sicherheitsvorfall unverzüglich an alle betroffenen Auftraggeber melden. Der Auftraggeber bleibt weiterhin für die Meldung an die Datenschutz-Aufsichtsbehörde verantwortlich, obwohl er seine Daten zur Auftragsverarbeitung weitergegeben hat.
Die Meldung gemäß Artikel 33 DS-GVO hat durch das Unternehmen im Falle einer Auftragsverarbeitung durch den Auftraggeber an die zuständige Aufsichtsbehörde grundsätzlich unverzüglich, aber spätestens binnen 72 Stunden zu erfolgen. Die Frist beginnt ab dem Zeitpunkt, ab dem die Verletzung des Schutzes bekannt wurde.
Zusätzlich hat in bestimmten Fällen gemäß Artikel 34 DS-GVO eine Meldung an die Betroffenen zu erfolgen.
Unter einer "Verletzung des Schutzes personenbezogener Daten", hier "Sicherheitsvorfall" genannt, versteht die DS-GVO eine Verletzung der Sicherheit, die zur Folge hat, dass personenbezogene Daten zufällig oder unrechtmäßig