Rz. 17
Kommt der Verantwortliche bei der Prüfung nach Art. 33 Abs. 1 Satz 1 DSGVO (vgl. Rz. 7 bis 9) zu dem Ergebnis, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat, so hat er die betroffene Person unverzüglich von der Verletzung zu benachrichtigen (Art. 34 Abs. 1 DSGVO), sofern nicht eine Ausnahme nach Abs. 3 gegeben ist.
2.3.1 Eintritt der Benachrichtigungspflicht
Rz. 18
Der Verantwortliche sollte die betroffene Person laut EG 86 DSGVO unverzüglich benachrichtigen, wenn eine "Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt, damit diese die erforderlichen Vorkehrungen treffen können".
Wann dieses Risiko eintreten kann und wie diese Prüfung des Verantwortlichen vorzunehmen ist kann den Rz. 7 bis 9 entnommen werden.
Rz. 19
Nicht erforderlich ist die Benachrichtigung der betroffenen Person nach Art. 34 Abs. 3 DSGVO, wenn eine der folgenden Bedingungen erfüllt ist:
der Verantwortliche hat geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen und diese Vorkehrungen wurden auf die von der Verletzung betroffenen personenbezogenen Daten angewandt, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung;
- Die Anforderungen an zu treffenden technischen und organisatorischen Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten, ergeben sich unmittelbar aus Art. 32 DSGVO (Näheres in der Komm. zu § 35 SGB I).
der Verantwortliche hat durch nachfolgende Maßnahmen sichergestellt, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Abs. 1 aller Wahrscheinlichkeit nach nicht mehr besteht;
- Dies betrifft insbesondere Einzelfälle, deren Wiederholung durch sofortige Maßnahmen ausgeschlossen wurde.
dies wäre mit einem unverhältnismäßigen Aufwand verbunden. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
- Hiermit dürften insbesondere Verletzungen in einer Vielzahl gleichgelagerter Fälle gemeint sein. Hierfür spricht auch EG 86 DSGVO, der eine längere Benachrichtigungsfrist dann für gerechtfertigt hält, wenn es darum geht, geeignete Maßnahmen gegen fortlaufende oder vergleichbare Verletzungen des Schutzes personenbezogener Daten zu treffen.
Rz. 20
Es reicht aus, wenn eine der 3 Ausnahmetatbestände vorliegt, damit zunächst keine Verpflichtung für den Verantwortlichen besteht, die betroffene Person über die Verletzung des Schutzes personenbezogener Daten zu benachrichtigen. Der Sinn dieser Benachrichtigung, nämlich die betroffene Person in die Lage zu versetzen, entsprechende Vorkehrungen zu treffen, kann in diesen Fällen als bereits durch den Verantwortlichen erfüllt angesehen werden.
Rz. 21
Kommt die Aufsichtsbehörde (vgl. Rz. 16) zu einem anderen Ergebnis bei der Bewertung der Risiken, kann sie nach Art. 34 Abs. 4 DSGVO von dem Verantwortlichen verlangen, die Benachrichtigung nachzuholen. Diese Befugnis der Aufsichtsbehörde ergibt sich unmittelbar aus Art. 58 Abs. 2 Buchst. e DSGVO.
Alternativ kann sie mit einem Beschluss feststellen, dass bestimmte der in Abs. 3 genannten Voraussetzungen (Rz. 19) erfüllt sind, so dass der Verantwortliche darüber dann verpflichtet ist, die Benachrichtigung der betroffenen Person vorzunehmen.
2.3.2 Benachrichtigungsfrist
Rz. 22
Art. 34 Abs. 1 DSGVO fordert – wie bereits Art. 33 Abs. 1 DSGVO – eine "unverzügliche" Benachrichtigung (vgl. Rz. 11).
Nach EG 86 DSGVO sollte die Benachrichtigung der betroffenen Person "stets so rasch wie nach allgemeinem Ermessen möglich, in enger Absprache mit der Aufsichtsbehörde und nach Maßgabe der von dieser oder von anderen zuständigen Behörden wie beispielsweise Strafverfolgungsbehörden erteilten Weisungen erfolgen".
Auch um das Risiko eines unmittelbaren Schadens mindern zu können, müssten betroffene Personen sofort benachrichtigt werden, wohingegen eine längere Benachrichtigungsfrist gerechtfertigt sein kann, wenn es darum geht, geeignete Maßnahmen gegen fortlaufende oder vergleichbare Verletzungen des Schutzes personenbezogener Daten zu treffen (EG 86 DSGVO).
Rz. 23
Daraus folgt, dass zunächst der Grundsatz der schnellstmöglichen Benachrichtigung der betroffenen Person gilt, es aber durchaus Ausnahmen davon gibt, insbesondere wenn es darum geht, vorrangig weitere Verletzungen durch geeignete Maßnahmen zu verhindern, mit den Aufsichtsbehörden Abstimmungen zu treffen oder Weisungen dieser oder der Strafverfolgungsbehörden abzuwarten.
2.3.3 Inhalt der Benachrichtigung
Rz. 24
Die Benachrichtigung der betroffenen Person hat nach Art. 34 Abs. 2 DSGVO"in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezog...