Rz. 18
Der Verantwortliche sollte die betroffene Person laut EG 86 DSGVO unverzüglich benachrichtigen, wenn eine "Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt, damit diese die erforderlichen Vorkehrungen treffen können".
Wann dieses Risiko eintreten kann und wie diese Prüfung des Verantwortlichen vorzunehmen ist kann den Rz. 7 bis 9 entnommen werden.
Rz. 19
Nicht erforderlich ist die Benachrichtigung der betroffenen Person nach Art. 34 Abs. 3 DSGVO, wenn eine der folgenden Bedingungen erfüllt ist:
der Verantwortliche hat geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen und diese Vorkehrungen wurden auf die von der Verletzung betroffenen personenbezogenen Daten angewandt, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung;
- Die Anforderungen an zu treffenden technischen und organisatorischen Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten, ergeben sich unmittelbar aus Art. 32 DSGVO (Näheres in der Komm. zu § 35 SGB I).
der Verantwortliche hat durch nachfolgende Maßnahmen sichergestellt, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Abs. 1 aller Wahrscheinlichkeit nach nicht mehr besteht;
- Dies betrifft insbesondere Einzelfälle, deren Wiederholung durch sofortige Maßnahmen ausgeschlossen wurde.
dies wäre mit einem unverhältnismäßigen Aufwand verbunden. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
- Hiermit dürften insbesondere Verletzungen in einer Vielzahl gleichgelagerter Fälle gemeint sein. Hierfür spricht auch EG 86 DSGVO, der eine längere Benachrichtigungsfrist dann für gerechtfertigt hält, wenn es darum geht, geeignete Maßnahmen gegen fortlaufende oder vergleichbare Verletzungen des Schutzes personenbezogener Daten zu treffen.
Rz. 20
Es reicht aus, wenn eine der 3 Ausnahmetatbestände vorliegt, damit zunächst keine Verpflichtung für den Verantwortlichen besteht, die betroffene Person über die Verletzung des Schutzes personenbezogener Daten zu benachrichtigen. Der Sinn dieser Benachrichtigung, nämlich die betroffene Person in die Lage zu versetzen, entsprechende Vorkehrungen zu treffen, kann in diesen Fällen als bereits durch den Verantwortlichen erfüllt angesehen werden.
Rz. 21
Kommt die Aufsichtsbehörde (vgl. Rz. 16) zu einem anderen Ergebnis bei der Bewertung der Risiken, kann sie nach Art. 34 Abs. 4 DSGVO von dem Verantwortlichen verlangen, die Benachrichtigung nachzuholen. Diese Befugnis der Aufsichtsbehörde ergibt sich unmittelbar aus Art. 58 Abs. 2 Buchst. e DSGVO.
Alternativ kann sie mit einem Beschluss feststellen, dass bestimmte der in Abs. 3 genannten Voraussetzungen (Rz. 19) erfüllt sind, so dass der Verantwortliche darüber dann verpflichtet ist, die Benachrichtigung der betroffenen Person vorzunehmen.