Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr

  1. Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.

  2. Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen und Empfehlungen.

  3. Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:

    1. der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung,

    2. der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht,

    3. dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

  4. Wenn der Verantwortliche die betroffene Person nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann die Aufsichtsbehörde unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von dem Verantwortlichen verlangen, dies nachzuholen, oder sie kann mit einem Beschluss feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfüllt sind.

Kommentar zu Art. 34 DSGVO

Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

Was sagt Art. 34 DSGVO aus?

Artikel 34 DSGVO besagt, dass der Verantwortliche den Betroffenen bei Vorliegen bestimmter Voraussetzungen sofort benachrichtigen muss, wenn dessen Rechte verletzt worden sind. Dies gilt dann, wenn diese Verletzung voraussichtlich ein hohes Risiko für die Persönlichkeitsrechte und Freiheiten der betroffenen Person darstellt.

Diese Benachrichtigung enthält neben der Art der Datenschutzverletzung zumindest diese drei Punkte:

  • Kontaktdaten des Datenschutzbeauftragten oder der sonstigen Auskunftsperson

  • die Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung

  • Aufzählung der Maßnahmen, mit denen die Datenschutzverletzung behoben und deren negative Folgen abgeschwächt werden sollen

Welcher Handlungsbedarf ergibt sich aus Art. 34 DSGVO für Ihr Unternehmen?

Grundsätzlich ist eine Benachrichtigung vorgesehen, wenn ein voraussichtlich hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht. Absatz 3 nennt hier jedoch dreiAusnahmen von dieser Benachrichtigungspflicht. In diesen drei Fällen muss der Verantwortliche den Betroffenen nicht über die Datenschutzverletzung benachrichtigen. Demnach sollte Ihr Unternehmen geeignete Maßnahmen einsetzen, damit diese Benachrichtigung unterbleiben kann:

  1. Sicherheitsvorkehrungen zum Schutz personenbezogener Daten treffen Dieser Punkt betrifft organisatorische und technische Sicherheitsvorkehrungen. So kann der Verantwortliche beispielsweise durch eine Verschlüsselung der Daten schon vor einer Verletzung verhindern, dass unbefugte Personen einen Zugriff auf die personenbezogenen Daten erhalten.

  2. Nachträgliche Maßnahmen zur Risikovermeidung einsetzen Von dieser Ausnahme sind nachträgliche Maßnahmen erfasst. Demnach sollte Ihr Unternehmen nach der Verletzung geeignete Maßnahmen durchführen, die das hohe Sicherheitsrisiko für die Persönlichkeits- und Freiheitsrechte des Betroffenen ausschalten.

  3. Datenschutzverletzung öffentlich bekannt machen

Wäre der Aufwand für die Benachrichtigung der betroffenen Person zu hoch, sollte der Verantwortliche die Datenschutzverletzung öffentlich bekannt machen. Es ist jede Maßnahme zulässig, die den Betroffenen wirksam informiert.

Wenn Sie unsicher sind, welche technischen und organisatorischen Maßnahmen Sie nach Art. 34 DSGVO einsetzen sollen, helfen wir Ihnen als Datenschutzexperten weiter.