Datenschutz: Diese Regeln sollten im Unternehmen eingeha ... / 9.1 Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten

Birgt eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen, müssen diese unverzüglich über den Vorfall benachrichtigt werden.

Die Benachrichtigungspflicht dient dazu, die Betroffenen über Datenschutzverletzungen zu informieren und ihnen die Möglichkeit zu geben, Maßnahmen zum Schutz ihrer Rechte zu ergreifen. Die Benachrichtigung muss unverzüglich und gem. Art. 12 DSGVO in klarer und einfacher Sprache erfolgen, also nicht im rechtlichen Fachjargon.

Ebenso muss sie so übersichtlich sein, dass sich der Inhalt direkt zur Kenntnis nehmen lässt. Die Benachrichtigung darf sich daher nur auf Informationen beziehen, die die Schutzverletzung betreffen, und keine Werbung oder ähnliche sachfremde Bezüge beinhalten.

In der Benachrichtigung müssen folgende Informationen enthalten sein:

• Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten.
• Name und Kontaktdaten der Datenschutzbeauftragten oder einer anderen Anlaufstelle.
• Beschreibung der wahrscheinlichen Folgen der Verletzung.
• Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Abmilderung der Verletzung.
• Wenn eine Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, kann stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme ergriffen werden.

Von der Benachrichtigung kann laut Art. 34 DSGVO abgesehen werden,

• wenn der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung des Schutzes personenbezogener Daten betroffenen Daten angewandt wurden; dies gilt insbesondere für Vorkehrungen wie Verschlüsselungen, durch die die Daten für unbefugte Personen unzugänglich gemacht wurden oder

• wenn der Verantwortliche im Nachgang Maßnahmen ergreift, die nach aller Wahrscheinlichkeit sicherstellen, dass das (hohe) Risiko für die Betroffenen nicht mehr besteht.

  Hiermit sind Maßnahmen gemeint, die das Risiko nachträglich minimieren, wie

  • eine Wiederherstellung gelöschter Daten,
  • eine Fernlöschung von verlorenen Speichermedien,
  • der Abschluss einer Vertraulichkeitsvereinbarung mit dem Empfänger, der Daten unrechtmäßig erhalten hat oder
  • die vollständige Sperrung des Zugangs zu einem Online-Konto nach einem Zugriff von unberechtigten Personen).