Rz. 199
Art. 34 DSGVO normiert besondere Informationspflichten des Verantwortlichen gegenüber dem Betroffenen im Falle der Verletzung des Schutzes personenbezogener Daten ("Datensicherheit"). Mit Art. 34 DSGVO soll Sicherheitsrisiken begegnet werden, die z.B. bei Manipulation, Verlust oder unberechtigter Kenntnisnahme personenbezogener Daten für die betroffene Person entstehen oder entstehen könnten. Es geht hier also weder um die Frage, ob personenbezogene Daten überhaupt erhoben und verarbeitet werden dürfen, noch um die Frage, welche Maßnahmen zum Schutz der Daten vom Verantwortlichen erhoben werden müssen. Im Kontext des Art. 34 DSGVO ist es vielmehr bereits zu einem Verstoß gegen Datensicherheitsaspekte gekommen. Dies kann für den Verantwortlichen auch gegenüber den hiervon betroffenen Personen Mitteilungs- und Informationspflichten auslösen, die in Art. 34 DSGVO normiert und im Folgenden näher dargestellt werden.
I. Voraussetzung – Voraussichtlich hohes Risiko
Rz. 200
Jede Datenverarbeitung birgt für die betroffene Person ein gewisses Risiko. Doch nicht jedes Risiko löst auf Seiten des Verantwortlichen für den Fall seiner Realisierung eine Informationspflicht gegenüber der betroffenen Person aus. Sofern eine Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt, ist der für die Verarbeitung Verantwortliche grundsätzlich verpflichtet, die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, damit diese die erforderlichen Vorkehrungen treffen können, um einen Schadenseintritt auch selbst zu verhindern.
Rz. 201
Ob ein hohes Risiko vorliegt, beurteilt sich danach, ob die Verletzung des Schutzes personenbezogener Daten – sofern nicht rechtzeitig und angemessen reagiert wird – einen schwerwiegenden physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich zieht, der etwa im Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkungen ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanziellen Verlusten, der unbefugten Aufhebung der Pseudonymisierung, einer Rufschädigung, dem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteile für die betroffene natürliche Person liegen kann. Ein "hohes Risiko" bei einer Verletzung des Schutzes kann auch vorliegen, wenn personenbezogene Daten betroffen sind, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen. Dies gilt ebenso bei genetischen Daten, Gesundheitsdaten oder bei strafrechtlichen Verurteilungen und Straftaten oder damit zusammenhängenden Sicherungsmaßregeln. Ein "hohes Risiko" i.S.d. des Art. 34 Abs. 1 DSGVO kommt damit in erster Line im Zusammenhang mit der vom Verantwortlichen nicht beabsichtigten Offenlegung personenbezogener Daten in Betracht. Weiterhin zu berücksichtigten ist der Schutzbedarf des oder der betroffenen Daten und das potentielle Schadensrisiko auf Seiten der betroffenen Person(en).
Rz. 202
So kann der Verlust von Bankdaten oder das Hacking von Passwörtern zu Kundenkonten sicherlich als mit einem "hohen Risiko" verbunden angesehen werden, während die unbeabsichtigte Offenlegung einer listenmäßigen Zusammenstellung öffentlicher Adressdaten zwar ebenfalls ein gewisses Risiko für die betroffene Person beinhaltet, welches aber keinesfalls als hoch, sondern – schon aufgrund der Öffentlichkeit der betroffenen Daten – eher als gering zu qualifizieren wäre.
Rz. 203
Art. 34 Abs. 1 DSGVO sieht hinsichtlich des Vorliegens eines "hohen Risikos" sowohl einen Beurteilungsspielraum, als auch eine Beurteilungspflicht allein des Verantwortlichen vor, d.h. dieser hat – unter Berücksichtigung der konkret eingetretenen oder drohenden Verletzung des Schutzes personenbezogener Daten eigenständig zu bestimmen, ob ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen besteht oder nicht. Vor dem Hintergrund, dass gemäß Art. 83 Abs. 4 lit. a) DSGVO im Falle einer Missachtung der Vorgaben in Art. 34 Geldbußen von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahre...