Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich sogar ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung (Art. 34 Abs. 1 DSGVO). Auch hier kommt es somit entscheidend auf Ihre eigene Risikoeinstufung an. Helfen können Ihnen hierbei z.B. wieder Leitlinien der Art.-29-Gruppe, diesmal das Papier (Working Paper 248) zum Thema Datenschutzfolgenabschätzung (DSFA), das ebenfalls kostenfrei als Download bereitsteht (z.B. unter www.datenschutz-bayern.de/technik/orient/wp248.pdf ).
Diese Leitlinien behandeln zwar vornehmlich das Thema Datenschutzfolgenabschätzung (DSFA) i.S.v. Art. 35 DSGVO. Allerdings geht es bei der Frage, ob eine DSFA durchgeführt werden muss, ebenfalls um die Einordnung eines Risikos als „hoch” oder als „normal”. Die entsprechenden Aspekte sind insoweit auch für Art. 34 DSGVO anwendbar.
Nach den Vorgaben der Art.-29-Gruppe liegt dann ein hohes Risiko vor, wenn zwei oder mehr der folgenden Punkte zutreffen:
- Durchführung einer systematischen Beobachtung von Betroffenen (z.B. Videoüberwachung am Arbeitsplatz)
- Verarbeitung besonderer Kategorien personenbezogener Daten i.S.v. Art. 9, 10 DSGVO (z.B. in einer Arztpraxis)
- in großem Umfang verarbeitete personenbezogene Daten (z.B. in einer großen Anwaltssozietät)
- Abgleich bzw. Kombination verschiedener Datensätze (z.B. durch Auskunfteien, wie Schufa, Creditreform etc.)
- Verarbeitung personenbezogener Daten von verletzlichen Datensubjekten (z.B. von Prominenten oder Kindern)
- Einsatz neuartiger Lösungen/Technologien (z.B. einer Online-Bewerbungsplattform mit automatisierter Bewerberauswahl)
- Übermittlung von personenbezogenen Daten in unsichere Drittstaaten (z.B. an Dienstleister in China, Indien oder Russland)
- Datenverarbeitungen, die Betroffene davon abhalten, ihre Rechte geltend zu machen oder einen Dienst bzw. Vertrag zu nutzen
Kommen Sie im Ergebnis zu einem hohen Risiko für die Betroffenen, so müssen Sie sie über die Datenpanne benachrichtigen. Diese Mitteilung muss in klarer und einfacher Sprache die Art der Datenpanne beschreiben und zumindest die in Art. 33 Abs. 3 lit. b–d DSGVO genannten Informationen und Maßnahmen enthalten (s.o. IV. 1.).
Wenn eine der Bedingungen aus Art. 34 Abs. 3 DSGVO erfüllt ist, kann die Meldung an die Betroffenen ausnahmsweise entfallen. Es handelt sich hierbei um folgende Konstellationen:
- Es wurden geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen und diese Vorkehrungen wurden auf die von der Verletzung betroffenen personenbezogenen Daten angewandt, insb. solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung (Beispiel: der verlorene USB-Stick war nach der modernsten Methode verschlüsselt).
- Durch nachfolgende Maßnahmen ist sichergestellt, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht (Beispiel: die Daten auf dem verlorenen Smartphone konnten zeitnah per Fernlöschung entfernt werden).
- Die Benachrichtigung wäre mit einem unverhältnismäßigen Aufwand verbunden. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden (Beispiel: von der Datenpanne sind zehntausende Menschen betroffen).