Rz. 206
Gelangt der Verantwortliche im Rahmen des vorbeschriebenen Abwägungsvorganges zu dem Ergebnis, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat, sind die betroffenen Personen grundsätzlich unverzüglich, d.h. ohne schuldhaftes Zögern, von der Verletzung zu benachrichtigen (Art. 34 Abs. 1 DSGVO). Jede unentschuldbare Verzögerung bei der Benachrichtigung der betroffenen Personen ist als pflichtwidrig anzusehen. Bei der Beurteilung der Frage, ob eine Verzögerung ungerechtfertigt oder unentschuldbar? ist, sind neben der Schwere des Verstoßes, der Lage des Falles und der Komplexität des Vorgangs, auch die möglichen Folgen für die betroffenen Personen zu berücksichtigen. Dabei darf nicht verkannt werden, dass auch der Verantwortliche über eine angemessene Zeitspanne verfügen muss, um den Sachverhalt genau zu ermitteln und das Risiko im Rahmen des Abwägungsvorganges zu bestimmen.
Zitat
"Um beispielsweise das Risiko eines unmittelbaren Schadens mindern zu können, müssten betroffene Personen sofort benachrichtigt werden, wohingegen eine längere Benachrichtigungsfrist gerechtfertigt sein kann, wenn es darum geht, geeignete Maßnahmen gegen fortlaufende oder vergleichbare Verletzungen des Schutzes personenbezogener Daten zu treffen".
Insoweit fordert ein unverzügliches Benachrichtigen jedenfalls die sofortige Aufnahme von Ermittlungsmaßnahmen ab Kenntnis eines möglichen Verstoßes.
Rz. 207
Besteht eine Benachrichtigungspflicht muss die Benachrichtigung der betroffenen Person in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten beschreiben und zumindest die in Art. 33 Abs. 3 lit. b), c) und d) DSGVO genannten Informationen und Maßnahmen enthalten (Art. 34 Abs. 2 DSGVO). Hinsichtlich der Anforderungen an eine klare und einfache Sprachgestaltung kann auf die Ausführungen zu den allgemeinen Anforderungen für die Erfüllung von Informationspflichten (Art. 12 DSGVO) verwiesen werden. Die Benachrichtigung muss eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten sowie an die betroffene natürliche Person gerichtete Empfehlungen zur Minderung etwaiger nachteiliger Auswirkungen dieser Verletzung enthalten. Dies ergibt sich aus dem Verweis auf § 33 Abs. 3 lit. d) DSGVO. Zusätzlich sind der Name und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen (§ 33 Abs. 3 lit b) DSGVO) und eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten für die betroffene Person (§ 33 Abs. 3 lit. c) DSGVO) mitzuteilen.