Ja.
Unabhängig von einer etwaigen Meldepflicht nach Art 33 oder Benachrichtigung an die Betroffenen nach Art 34 hat der Verantwortliche jede Datenschutzverletzung zu dokumentieren.
Dies ergibt sich aus Artikel 33 Abs 5. Diese Dokumentation dient der Aufsichtsbehörde zur Überprüfung, ob die Bestimmungen dieses Artikels eingehalten werden.
Artikel 33
Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde[…]
(5) Der Verantwortliche dokumentiert Verletzungen des Schutzes personen-bezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen.
[…]
Für die Behörde muss aufgrund der Dokumentation ersichtlich sein, welche Datenschutzverletzungen aufgetreten sind und deren Begründung warum sie ggf nicht gemeldet wurden.
Inhalt der Meldung
Es empfiehlt sich daher jegliche Datenschutzverletzungen mit demselben Mindestinhalt wie in Art 33 Abs 1 gefordert intern zu dokumentieren und um die Begründung warum eine Meldung (nicht) erforderlich ist sowie eine Begründung warum eine Benachrichtigung an die Betroffenen (nicht) erforderlich ist, zu ergänzen. Diese Pflicht des Verantwortlichen zur Aufzeichnung ergibt sich bereits aus Art 5 Abs 2 (Rechenschaftspflicht) sowie Art 24, der geeignete technische und organisatorische Maßnahmen zur Einhaltung der DSGVO vorschreibt.
Speicherdauer
Die Dokumentationspflicht von Datenschutzverletzungen enthält keine Bestimmung für eine bestimmte Aufbewahrungspflicht.
Die Aufzeichnungen stehen somit im Spannungsverhältnis zum Grundsatz der Speicherbegrenzung (Art 5 Abs 1 lit e). Werden personenbezogene Daten in der Dokumentation verarbeitet, obliegt es dem Verantwortlichen zu entscheiden und zu begründen, wie lange diese Daten gespeichert werden. Rechtsgrundlage für die Verarbeitung ist jedenfalls die Nachweispflicht von Data Breaches gegenüber der Behörde und der allgemeine Grundsatz der Rechenschaftspflicht (accountability).[1]
Es obliegt also wieder dem Verantwortlichen eine angemessene Speicherfrist für die Aufbewahrung von personenbezogenen Daten bei der Dokumentation von Datenschutzverletzungen zu definieren.
Obwohl die Verjährungsfrist eines Anspruchs nicht
automatisch die Speicherdauer festlegt, sehe ich in diesem Fall die
Aufbewahrung der personenbezogenen Daten (zumindest die Kontaktdaten der
betroffenen Personen) für die Dauer von einem Jahr durchaus als angemessen, wobei
es dazu noch keine bindenden Aussagen der DSB gibt.
-
Data Breach | Erkennen – Melden – Dokumentieren€24,90Enthält 10% MwStzzgl. VersandLieferzeit: ca. 2-3 Werktage -
![Data Breach | Erkennen - Melden - Dokumentieren (PDF-Datei) [Digital]](https://www.netsystem.at/wp-content/uploads/2019/07/Buch-DataBreach_PDF_3D-Website-420x420.jpg)
Data Breach | Erkennen – Melden – Dokumentieren (PDF-Datei) [Digital]€12,90Enthält 20% MwSt.Lieferzeit: keine Lieferzeit (z.B. Download) -
![Datenschutzrecht kompakt (4. Auflage 2021) PDF-Datei [Digital]](https://www.netsystem.at/wp-content/uploads/2019/03/datenschutzrecht-kompakt4_web-420x420.jpg)
Datenschutzrecht kompakt (4. Auflage 2021) PDF-Datei [Digital]€12,90Enthält 20% MwSt.Lieferzeit: keine Lieferzeit (z.B. Download) -
Datenschutzrecht kompakt (4. Auflage 2021)€29,90Enthält 10% MwStzzgl. VersandLieferzeit: ca. 14 Werktage -
![Das berechtigte Interesse (PDF-Datei) [Digital]](https://www.netsystem.at/wp-content/uploads/2019/01/Buch_berechtigtes-Interesse_Vorschau_PDF-420x420.jpg)
Das berechtigte Interesse (PDF-Datei) [Digital]€12,90Enthält 20% MwSt.Lieferzeit: keine Lieferzeit (z.B. Download) -
Das berechtigte Interesse€29,90Enthält 10% MwStzzgl. Versand
[1] Vgl König/Schaupp in Knyrim, DatKomm Art 33 DSGVO Rz 65 (Stand 1.10.2018, rdb.at).