Haufe.de Shop
Service & Support
Sie verwenden eine veraltete Browser-Version. Dies kann unter Umständen zu Einschränkungen in der Funktion sowie Darstellung führen. Daher empfehlen wir Ihnen, einen aktuellen Browser wie z.B. Microsoft Edge zu verwenden.
Anmelden
  • Personal
  • Steuern
  • Finance
  • Immobilien
  • Controlling
  • Öffentlicher Dienst
  • Recht
  • Arbeitsschutz
  • Sozialwesen
  • Sustainability
  • Themen
  • Haufe
  • Recht
  • Deutsches Anwalt Office Premium
  • Kanzleimanagement
  • Arbeits- & Sozialrecht
  • Familien- & Erbrecht
  • Wirtschaftsrecht
  • Miet- & Immobilienrecht
  • Verkehrsrecht
  • allg. Zivilrecht
  • Strafrecht & öffentl. Recht
  • Prozessrecht

§ 5 Informations- und Mitteilungspflichten des Verantwor ... / G. Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Art. 33 DSGVO

Anmelden und Beitrag in meinem Produkt lesen

Sie haben den Artikel bereits bewertet.
Dr. Robert Kazemi
 

Rz. 216

Wesentlich weitreichender als die Benachrichtigungspflichten gegenüber der betroffenen Person, sind die Mitteilungspflichten gegenüber der Aufsichtsbehörde im Fall der Verletzung des Schutzes personenbezogener Daten ausgestaltet.

I. Voraussetzung – Voraussichtliches Risiko

 

Rz. 217

Im Falle einer Verletzung des Schutzes personenbezogener Daten hat der Verantwortliche den Verstoß der gemäß Art. 51 DSGVO für ihn zuständigen Aufsichtsbehörde zu melden, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

 

Rz. 218

Anders als in Art. 34 Abs. 1 DSGVO[182] besteht die Meldepflicht unabhängig davon, ob das mit der Verletzung eingetretene Risiko hoher, mittlerer oder geringer Natur ist. Eine Meldepflicht ist nur dann nicht gegeben, wenn die Verletzung voraussichtlich gar kein Risiko für die Rechte und Freiheiten natürlicher Personen beinhaltet, was bei einem Datensicherheitsverstoß[183] in der Regel nur anzunehmen sein dürfte, wenn ausschließlich frei zugängliche Daten[184] betroffen sind.

[182] Hierzu oben Rdn 131 ff.
[183] Zum Begriffsverständnis Rdn 130.
[184] Vgl. Schutzstufenkonzept des LfD Niedersachsen, 2010, abrufbar unter: http://www.lfd.niedersachsen.de/download/52033/Schutzstufenkonzept_LfD_Niedersachsen_.pdf; hierzu oben Rdn 135.

II. Inhalt der zu übermittelnden Informationen

 

Rz. 219

Der Inhalt der im Falle einer Verletzung des Schutzes personenbezogener Daten mit einem Risiko für die Rechte und Freiheiten natürlicher Personen vom Verantwortlichen an die zuständige Aufsichtsbehörde mitzuteilenden Informationen bestimmt sich nach Art. 33 Absatz 2 DSGVO.

1. Art der Verletzung

 

Rz. 220

Die Mitteilung hat eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten zu enthalten (Art. 33 Abs. 2 lit. a) 1. Alt. DSGVO). Dies erfordert eine genaue Information zum Hergang des die Verletzung bedingenden Ereignisses, die auch darüber aufklären muss, ob sich ein "internes Risiko" (bspw. unberechtigter Zugriff auf Daten durch Mitarbeiter des Verantwortlichen) oder ein "externes Risiko" (z.B. ein Hackerangriff, wg. Lücken in der Firewall; ein Verlust von Datenträgern; Angriff über Trojaner, Viren, Key-Logger, Sniffler usw.[185]) verwirklicht hat. Entscheidend dürfte sein, dass das Verletzungsszenario für die Aufsichtsbehörde in einer Art und Weise nachvollziehbar wird, die es ihr möglich macht, die damit verbundene Risikoeinschätzung selbst vorzunehmen.

[185] Zu den möglichen Angriffsszenarien auch Lenhard, Datensicherheit (2017).

2. Kategorien und ungefähre Zahl von betroffenen Personen

 

Rz. 221

Weiterhin muss die Mitteilung – soweit möglich – Angaben zu den Kategorien und der ungefähren Zahl der betroffenen Personen sowie der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze enthalten (Art. 33 Abs. 2 lit. a) 2. Alt. DSGVO). Die Einschränkung "soweit möglich" ist – vor dem Hintergrund des Schutzzwecks der Norm – restriktiv anzuwenden.

3. Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen

 

Rz. 222

Zusätzlich sind der Name und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen anzugeben (Art. 33 Abs. 2 lit. b) DSGVO).

4. Beschreibung der wahrscheinlichen Folgen der Verletzung

 

Rz. 223

Weiterhin hat die Mitteilung eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten zu enthalten. Diese können etwa in der Gefahr eines Identitätsbetrugs oder anderer (genau zu beschreibender) Formen des Datenmissbrauchs liegen. Soweit der Verantwortliche im Rahmen einer Datenschutzfolgenabschätzung[186] die Folgen möglicher Verletzungen bereits beschrieben hat, kann ergänzend auf diese verwiesen werden.

[186] Hierzu § 7 Rdn 78 ff.

5. Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung

 

Rz. 224

Weiterhin ist eine Beschreibung der vom Verantwortlichen ergriffenen oder beabsichtigten Maßnahmen zur Behebung der Risiken an die Aufsichtsbehörde zu übermitteln. Derartige Maßnahmen können etwa im Zurücksetzen von Passwörtern, der Durchführung von Updates, dem Neuaufsetzen der Systeme, der Schließung von Lücken in der Firewall, der Suche nach und dem Entfernen von Schadprogrammen usw. liegen. Soweit der Verantwortliche die Maßnahmen, die zu einer Behebung erforderlich sind, nicht selbst bestimmen und/oder ergreifen kann, ist er gehalten, sich fachkundiger Unterstützung zu bedienen.

III. Form und Frist der Mitteilung

 

Rz. 225

Die Mitteilung an die Aufsichtsbehörde ist grundsätzlich an keine besondere Form gebunden und kann mündlich, schriftlich oder auch auf elektronischem Wege erfolgen, soweit die Aufsichtsbehörde entsprechende Kommunikationskanäle eröffnet hat. Mit Blick auf die in Art. 33 Abs. 4 DSGVO dem Betroffenen auferlegte Dokumentationspflicht sind die nach Art. 33 Abs. 3 DSGVO an die Aufsichtsbehörde mitzuteilenden Informationen jedenfalls in Textform zu übermitteln. Die Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen des Art. 33 DSGVO ermöglichen, so dass eine für einen außenstehenden Dritten aus sich heraus verständliche Darstellung erforderlich ist. Lediglich intern verwandte Kürzel, Abkürzungen, Begrifflichkeiten usw. reichen nicht aus.

 

Rz. 226

Die Mitteilung einer eingetretenen Verletzung des Schutzes personenbezogener Daten ist ...

Dieser Inhalt ist unter anderem im Deutsches Anwalt Office Premium enthalten. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen


Meistgelesene Beiträge
  • Haushaltsnahe Dienstleistungen und Handwerkerleistungen / 7.3 Begünstigte Aufwendungen
    3.087
  • § 13 Zinsloses Darlehen unter nahen Angehörigen / B. Schenkungsteuer
    2.322
  • Abgrenzung von Anschaffungskosten, Herstellungskosten un ... / 5 Anschaffungsnaher Aufwand
    2.136
  • Lebensalter / 1 Vollendung eines Lebensjahres
    1.958
  • Kündigungsfristen (Miete) / 3 Kündigungsfrist bei Geschäftsräumen
    1.892
  • § 2 Die Gebühren nach dem RVG / 1. Einigungsgebühr, Nr. 1000, 1003, 1004 VV RVG
    1.886
  • § 57 Zivilprozessrecht / II. Muster: Klageschriften
    1.872
  • Rohrverstopfung (Mietrecht)
    1.729
  • § 4 Arbeitsrecht / 9. Muster: Anschreiben Urlaubsansprüche und deren drohender Verfall
    1.634
  • Schwangerschaft: Beschäftigungsverbot oder Arbeitsunfähigkeit
    1.538
  • Die verbilligte Vermietung von Wohnungen
    1.529
  • Gewerblicher Grundstückshandel / 2.2 Erwerb und Veräußerung innerhalb von 5 Jahren
    1.437
  • § 2 Die Gebühren nach dem RVG / 2. Geschäftsgebühr, Nr. 2300 VV RVG
    1.321
  • Garage/Stellplatz im Mietrecht / 6 Umsatzsteuerbefreiung?
    1.301
  • § 14 Widerruf der Vollmacht / E. Widerrufserklärung
    1.236
  • § 4 Arbeitsrecht / 4. Muster: Urlaubsbescheinigung
    1.230
  • § 4 Arbeitsrecht / b) Muster: Fortbildungsvertrag
    1.199
  • Wohnrecht (Miete) / 5 Beendigung des Wohnrechts
    1.184
  • § 4 Arbeitsrecht / 4. Muster: Kündigungsschutzklage
    1.161
  • § 2 Die Gebühren nach dem RVG / III. Anerkenntnis
    1.160
Top-Themen
Downloads
Zum Haufe Shop
Produktempfehlung

Zum Thema Recht
Datenschutz: Eine Datenpanne melden
Hand verknüpft Big Data visuell auf Screen
Bild: mauritius images / Denis Putilov / Alamy

Eine Datenpanne passiert schneller, als man denkt und kann schwerwiegende Konsequenzen mit sich bringen. Deshalb ist es für Unternehmen wichtig zu wissen, wie sie sich bei einer Datenpanne zu verhalten haben.
DSGVO: Hohe Bußgelder für offene E-Mail-Verteiler
Mehrere @-Zeichen auf abstraktem Hintergrund
Bild: Corbis

Ein lässiger Umgang mit E-Mail-Adressen kann teuer werden: Immer wieder werden hohe Bußgelder verhängt, weil personenbezogene E-Mail-Adressen in einem offenen Verteiler an zahlreiche Adressaten verschickt werden. Da Bußgelder nach der DSGVO wirksam, abschreckend und verhältnismäßig sein müssen, dürfen auch Privatpersonen bei Verstößen nicht mit Milde rechnen.
DSGVO: Hohe Bußgelder für offene E-Mail-Verteiler
Mehrere @-Zeichen auf abstraktem Hintergrund
Bild: Corbis

Ein lässiger Umgang mit E-Mail-Adressen kann teuer werden: Immer wieder werden hohe Bußgelder verhängt, weil personenbezogene E-Mail-Adressen in einem offenen Verteiler an zahlreiche Adressaten verschickt werden. Da Bußgelder nach der DSGVO wirksam, abschreckend und verhältnismäßig sein müssen, dürfen auch Privatpersonen bei Verstößen nicht mit Milde rechnen.
Seminare der Haufe Akademie: Recht, Datenschutz und Compliance
Seminare der Haufe Akademie
Bild: Shutterstock

Mehr als 90 Veranstaltungsthemen, aktuell und auf Basis der neuesten Rechtsprechung. Der Grundstein für Ihren Erfolg.
Datenschutz, Meldung einer Verletzung des Schutzes personenbezogener Daten an die zuständige Behörde, Art. 33 DSGVO
Datenschutz, Meldung einer Verletzung des Schutzes personenbezogener Daten an die zuständige Behörde, Art. 33 DSGVO

Kurzbeschreibung Wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt, muss der Verarbeiter dies gem. Art. 33 DSGVO an die zuständige Behörde melden. Vorbemerkung Ab dem 25.5.2018 entfaltet die Europäische Datenschutz-Grundverordnung ...

4 Wochen testen
Newsletter Recht
Bild: Haufe Online Redaktion
Newsletter Recht - Wirtschaftsrecht

Aktuelle Informationen aus dem Bereich Wirtschaftsrecht frei Haus - abonnieren Sie unseren Newsletter:

  • Handels- und Gesellschaftsrecht
  • Gewerblicher Rechtsschutz
  • Vertriebsrecht
Pflichtfeld: Bitte geben Sie eine gültige E-Mail Adresse ein.
Sie müssen den AGB zustimmen
Haufe Fachmagazine
Zum Recht Archiv
Themensuche A B C D E F G H I J K L M N O P Q R S T U V W X Y Z #
Haufe Group
Haufe Onboarding Software
Haufe Fachwissen
Haufe HR Services
Haufe Digitale Personalakte
Advolux
Haufe Onlinetraining
rudolf.ai - Haufe meets AI
Weiterführende Links
RSS
Newsletter
FAQ
Mediadaten
Presse
Editorial Code of Conduct
Redaktionsrichtlinie zum KI-Einsatz
Netiquette
Sitemap
Buchautor:in werden bei Haufe
Kontakt

Kontakt & Feedback
Datenschutz

AGB
Impressum
Haufe Shop Recht
Anwaltssoftware
Anwaltliches Fachwissen Software
Gesellschafts- & Wirtschaftsrecht Lösungen
Alle Recht Produkte

    Weitere Produkte zum Thema:

    × Profitieren Sie von personalisierten Inhalten, Angeboten und Services!

    Unser Ziel ist es, Ihnen eine auf Ihre Bedürfnisse zugeschnittene Website anzubieten. Um Ihnen relevante und nützliche Inhalte, Angebote und Services präsentieren zu können, benötigen wir Ihre Einwilligung zur Nutzung Ihrer Daten. Wir nutzen den Service eines Drittanbieters, um Ihre Aktivitäten auf unserer Website zu analysieren.

    Mit Ihrer Einwilligung profitieren Sie von einem personalisierten Website-Erlebnis und Zugang zu spannenden Inhalten, die Sie informieren, inspirieren und bei Ihrer täglichen Arbeit unterstützen.

    Wir respektieren Ihre Privatsphäre und schützen Ihre Daten. Sie können sich jederzeit darüber informieren, welche Daten wir erheben und wie wir sie verwenden. Sie können Ihre Einwilligung jederzeit widerrufen. Passen Sie Ihre Präferenzen dafür in den Cookie-Einstellungen an.

    Mehr Informationen Nein, Danke Akzeptieren