Der Europäische Datenschutzausschuss (EDSA) publizierte am 10. Oktober 2022 ihre Leitlinie Version 1.0 zur Meldung von Verletzungen des Schutzes personenbezogener Daten im Rahmen der DSGVO. Mit Datum vom 28. März 2023 publizierte der EDSA am 4. April 2023 die finale Version 2.0 der „Guidelines 9/2022 on personal data breach notification under GDPR“. Die Leitlinie 9/2022 ersetzt damit die von der Artikel-29-Datenschutzgruppe (WP29) am 3. Oktober 2017 verabschiedete Leitlinie zur Meldung Datenschutzverletzungen im Rahmen der DSGVO.

Hauptgegenstand der Anpassungen ist neu die zwingende Meldung von Datenschutzverletzungen durch Verantwortliche, die nicht in der EU/EWR ansässig sind, bei allen zuständigen Aufsichtsbehörden und nicht von einem allfälligen EU-Vertreter an eine Aufsichtsbehörde. Das ist eine Abkehr von der bisherigen Leitlinie, nach welcher die Meldung einer Datenschutzverletzung durch ausserhalb des EWR niedergelassene Verantwortliche am Ort des EU-Vertreters an eine Aufsichtsbehörde erfolgen konnte (sog. One-Stop-Shop). Die angepasste Rz. 73 in Abschnitt II.C.2 der Leitlinie besagt:

the mere presence of a representative in a Member State does not...