Haufe.de Shop
Service & Support
Sie verwenden eine veraltete Browser-Version. Dies kann unter Umständen zu Einschränkungen in der Funktion sowie Darstellung führen. Daher empfehlen wir Ihnen, einen aktuellen Browser wie z.B. Microsoft Edge zu verwenden.
Anmelden
  • Personal
  • Steuern
  • Finance
  • Immobilien
  • Controlling
  • Öffentlicher Dienst
  • Recht
  • Arbeitsschutz
  • Sozialwesen
  • Sustainability
  • Themen
  • Haufe
  • Recht
  • Deutsches Anwalt Office Premium
  • Kanzleimanagement
  • Arbeits- & Sozialrecht
  • Familien- & Erbrecht
  • Wirtschaftsrecht
  • Miet- & Immobilienrecht
  • Verkehrsrecht
  • allg. Zivilrecht
  • Strafrecht & öffentl. Recht
  • Prozessrecht

§ 5 Informations- und Mitteilungspflichten des Verantwor ... / III. Ausnahmen von der Benachrichtigungspflicht

Anmelden und Beitrag in meinem Produkt lesen

Sie haben den Artikel bereits bewertet.
Dr. Robert Kazemi
 

Rz. 208

Art. 34 Abs. 3 DSGVO und § 29 Abs. 1 S. 3 und 4 BDSG-Neu[177] sehen Fallkonstellationen vor, in denen die Benachrichtigung der betroffenen Person gemäß Art. 34 Abs. 1 DSGVO unter bestimmten Bedingungen nicht erforderlich ist.

[177] Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU.

1. Schutz der betroffenen Daten durch geeignete technische und organisatorische Maßnahmen, Art. 34 Abs. 3 lit. a) DSGVO

 

Rz. 209

Eine Benachrichtigungspflicht entfällt, wenn der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die, von der Verletzung betroffenen personenbezogenen Daten angewandt wurden. Dies sind solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden.

 

Rz. 210

Die Norm hebt die Bedeutung der Etablierung eines hohen Sicherheitsniveaus innerhalb der Verarbeitung personenbezogener Daten hervor und sollte jedem Verantwortlichen ein Anreiz dazu sein, auch und vor allem in diesen Gesichtspunkt zu investieren. Dort, wo die Verletzung des Schutzes personenbezogener Daten zwar zu einem Zugriff durch unberechtigte Dritte geführt hat, die Daten aber vom Dritten nicht oder nur unter unverhältnismäßigem Aufwand ausgewertet oder sichtbar gemacht werden können, erübrigt sich eine Benachrichtigung der betroffenen Personen. Der Verordnungstext nennt hier konkret das Beispiel, dass es sich bei den betroffenen Daten um verschlüsselte Daten handelt. Dabei muss es sich um eine nach dem Stand der Technik sichere Verschlüsselung handeln.[178] Der DES -Algorithmus sollte daher ebenso wenig Verwendung finden wie WEP- und WPA-Verschlüsselungen, die nach Lenhard[179] "selbst von Laien mit einer Anleitung aus dem Internet in wenigen Minuten überwunden werden" können. Neben dem Einsatz von Verschlüsselungstechniken wäre auch der Einsatz bestimmter, nur beim Verantwortlichen eingesetzter und nur diesem bekannter "Dateiformate" denkbar, die sich auch nicht einfach in gängige maschinenlesbare Formate transferieren lassen. Dies wäre eine mögliche Schutzvorkehrung, die eine Benachrichtigungspflicht entfallen lassen könnte. Auch die Möglichkeit "Daten aus der Ferne zu löschen", bspw. beim Verlust oder Abhandenkommen mobiler Endgeräte, wie Laptops, Smart-Phones usw., könnte eine hinreichende Sicherheitsmaßnahme darstellen, soweit der Zugang zum Endgerät und seiner Speichermedien selbst hinreichend gesichert ist.

[178] Lenhard, a.a.O., Fn 979, weist zu Recht darauf hin, dass "der Stand der Technik sich ständig weiter[entwickelt]" und es durchaus denkbar ist, dass eine Methode, die in einem Moment als sicher bezeichnet wird, schon wenige Wochen später als veraltet gilt.
[179] Lenhard, a.a.O., Fn 979.

2. Nachfolgende Maßnahmen des Verantwortlichen, Art. 34 Abs. 3 lit. b) DSGVO

 

Rz. 211

Weiterhin ist eine Benachrichtigung nicht erforderlich, wenn der Verantwortliche durch (der Verletzung) nachfolgende Maßnahmen unverzüglich[180] sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht. Dies kann etwa in der Form passieren, dass bereits unmittelbar nach Bekanntwerden einer Verletzung Passwörter und sonstige Informationen umgehend zurückgesetzt wurden.

[180] Jandt, in: Kühling/Buchner (Hrsg.), DS-GVO, 2017, Art. 34 Rn 15, plädiert hier für eine Anwendung der 72-Stunden-Regel aus Art. 33 Abs. 1 DSGVO.

3. Unverhältnismäßiger Aufwand, Art. 34 Abs. 3 lit. c) DSGVO

 

Rz. 212

Eine individuelle Benachrichtigung der betroffenen Personen ist auch nicht erforderlich, wenn dies mit einem unverhältnismäßigen Aufwand verbunden wäre. Dies kann u.a. anzunehmen sein, wenn die Zahl der potentiell betroffenen Personen sehr hoch und der finanzielle Aufwand für den Verantwortlichen kaum überschaubar ist, sowie, wenn die potentiell betroffenen Personen für den Verantwortlichen (noch) nicht identifizierbar sind (z.B. bei Verlust oder unberechtigtem Zugriff auf Kreditkartendaten bei einem Inkassounternehmer, die mit einem Namen, nicht aber mit einer Anschrift der betroffenen Person verknüpft sind).

 

Rz. 213

In den Fällen, in denen eine individuelle Benachrichtigung jeder potentiell betroffenen Person nicht oder nur mit unverhältnismäßigem Aufwand möglich ist, hat der Verantwortliche stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme vorzunehmen, durch die die betroffenen Personen vergleichbar wirksam informiert werden. Dies kann durch entsprechende Mitteilungen in Tageszeitungen, dem Fernsehen und – je nach Branche – ggf. auch über das Internet geschehen, wobei gerade der letzte Fall deutlich macht, dass eine Beschränkung auf lediglich ein Medium immer die Gefahr birgt, dass betroffene Personen, für die selbiges nicht zugänglich ist, nicht "wirksam informiert" werden.

4. Geheimhaltungsinteressen, § 29 Abs. 1 S. 3 BDSG-Neu

 

Rz. 214

Die Pflicht zur Benachrichtigung gemäß Art. 34 DSGVO besteht ergänzend zu den in Art. 34 Abs. 3 DSGVO genannten Ausnahmen nicht, soweit durch die Benachrichtigung Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insb...

Dieser Inhalt ist unter anderem im Deutsches Anwalt Office Premium enthalten. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen


Meistgelesene Beiträge
  • Haushaltsnahe Dienstleistungen und Handwerkerleistungen / 7.3 Begünstigte Aufwendungen
    3.087
  • § 13 Zinsloses Darlehen unter nahen Angehörigen / B. Schenkungsteuer
    2.322
  • Abgrenzung von Anschaffungskosten, Herstellungskosten un ... / 5 Anschaffungsnaher Aufwand
    2.136
  • Lebensalter / 1 Vollendung eines Lebensjahres
    1.958
  • Kündigungsfristen (Miete) / 3 Kündigungsfrist bei Geschäftsräumen
    1.892
  • § 2 Die Gebühren nach dem RVG / 1. Einigungsgebühr, Nr. 1000, 1003, 1004 VV RVG
    1.886
  • § 57 Zivilprozessrecht / II. Muster: Klageschriften
    1.872
  • Rohrverstopfung (Mietrecht)
    1.729
  • § 4 Arbeitsrecht / 9. Muster: Anschreiben Urlaubsansprüche und deren drohender Verfall
    1.634
  • Schwangerschaft: Beschäftigungsverbot oder Arbeitsunfähigkeit
    1.538
  • Die verbilligte Vermietung von Wohnungen
    1.529
  • Gewerblicher Grundstückshandel / 2.2 Erwerb und Veräußerung innerhalb von 5 Jahren
    1.437
  • § 2 Die Gebühren nach dem RVG / 2. Geschäftsgebühr, Nr. 2300 VV RVG
    1.321
  • Garage/Stellplatz im Mietrecht / 6 Umsatzsteuerbefreiung?
    1.301
  • § 14 Widerruf der Vollmacht / E. Widerrufserklärung
    1.236
  • § 4 Arbeitsrecht / 4. Muster: Urlaubsbescheinigung
    1.230
  • § 4 Arbeitsrecht / b) Muster: Fortbildungsvertrag
    1.199
  • Wohnrecht (Miete) / 5 Beendigung des Wohnrechts
    1.184
  • § 4 Arbeitsrecht / 4. Muster: Kündigungsschutzklage
    1.161
  • § 2 Die Gebühren nach dem RVG / III. Anerkenntnis
    1.160
Top-Themen
Downloads
Zum Haufe Shop
Produktempfehlung

Zum Thema Recht
Datenschutz-Grundverordnung: DSGVO: Grundlagen und Umsetzung
DSGVO+Finger tippen auf smart phone mit EU-Sternen+Schloss
Bild: Pete Linforth/ pixabay.com

Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 wurde das europäische Datenschutzrecht neu ausgestaltet. Verstöße gegen die DSGVO sind mit hohen Bußgeldern belegt (public enforcement). Zudem droht Schadensersatzhaftung bei Inanspruchnahme durch Private (private enforcement). 
Datenschutz-Grundverordnung: DSGVO: Grundlagen und Umsetzung
DSGVO+Finger tippen auf smart phone mit EU-Sternen+Schloss
Bild: Pete Linforth/ pixabay.com

Die europäische Datenschutz-Grundverordnung (DSGVO) gilt seit nunmehr zwei Jahren. Die Datenschutzbehörden kontrollieren die Einhaltung der DSGVO und verhängen zunehmend (hohe) Bußgelder. Es ist deshalb höchste Zeit, die Themen Datenschutz-Compliance anzugehen und voranzutreiben.
Gesetzliche Vorgaben sicher umsetzen: Geldwäscherecht
Geldwäscherecht
Bild: Haufe Shop

Das Buch fokussiert sich auf die wesentlichen Themen des Geldwäscherechts. Anhand von Checklisten, zahlreichen Praxisbeispielen und Arbeitshilfen ermöglicht es eine sichere und effiziente Umsetzung der regulatorischen Anforderungen. 
Asylgesetz / § 8 Übermittlung personenbezogener Daten
Asylgesetz / § 8 Übermittlung personenbezogener Daten

  (1) Öffentliche Stellen haben auf Ersuchen (§ 7 Abs. 1) den mit der Ausführung dieses Gesetzes betrauten Behörden ihnen bekannt gewordene Umstände mitzuteilen, soweit besondere gesetzliche Verarbeitungsregelungen[1] [Bis 25.11.2019: Verwendungsregelungen] ...

4 Wochen testen
Newsletter Recht
Bild: Haufe Online Redaktion
Newsletter Recht - Wirtschaftsrecht

Aktuelle Informationen aus dem Bereich Wirtschaftsrecht frei Haus - abonnieren Sie unseren Newsletter:

  • Handels- und Gesellschaftsrecht
  • Gewerblicher Rechtsschutz
  • Vertriebsrecht
Pflichtfeld: Bitte geben Sie eine gültige E-Mail Adresse ein.
Sie müssen den AGB zustimmen
Haufe Fachmagazine
Zum Recht Archiv
Themensuche A B C D E F G H I J K L M N O P Q R S T U V W X Y Z #
Haufe Group
Haufe Onboarding Software
Haufe Fachwissen
Haufe HR Services
Haufe Digitale Personalakte
Advolux
Haufe Onlinetraining
rudolf.ai - Haufe meets AI
Weiterführende Links
RSS
Newsletter
FAQ
Mediadaten
Presse
Editorial Code of Conduct
Redaktionsrichtlinie zum KI-Einsatz
Netiquette
Sitemap
Buchautor:in werden bei Haufe
Kontakt

Kontakt & Feedback
Datenschutz

AGB
Impressum
Haufe Shop Recht
Anwaltssoftware
Anwaltliches Fachwissen Software
Gesellschafts- & Wirtschaftsrecht Lösungen
Alle Recht Produkte

    Weitere Produkte zum Thema:

    × Profitieren Sie von personalisierten Inhalten, Angeboten und Services!

    Unser Ziel ist es, Ihnen eine auf Ihre Bedürfnisse zugeschnittene Website anzubieten. Um Ihnen relevante und nützliche Inhalte, Angebote und Services präsentieren zu können, benötigen wir Ihre Einwilligung zur Nutzung Ihrer Daten. Wir nutzen den Service eines Drittanbieters, um Ihre Aktivitäten auf unserer Website zu analysieren.

    Mit Ihrer Einwilligung profitieren Sie von einem personalisierten Website-Erlebnis und Zugang zu spannenden Inhalten, die Sie informieren, inspirieren und bei Ihrer täglichen Arbeit unterstützen.

    Wir respektieren Ihre Privatsphäre und schützen Ihre Daten. Sie können sich jederzeit darüber informieren, welche Daten wir erheben und wie wir sie verwenden. Sie können Ihre Einwilligung jederzeit widerrufen. Passen Sie Ihre Präferenzen dafür in den Cookie-Einstellungen an.

    Mehr Informationen Nein, Danke Akzeptieren