Wenn eine Informationspflicht vorliegt, sind folgende Stellen zu benachrichtigen:
- die zuständige Aufsichtsbehörde
- die Betroffenen (also diejenigen, um deren Daten es geht)
Die Aufsichtsbehörde muss unverzüglich, das heißt ohne schuldhaftes Zögern, informiert werden. Ihr ist zudem mitzuteilen, welche Folgen die Datenpanne nach sich zieht und welche Maßnahmen ergriffen werden.
Die Betroffenen sind zu informieren, sobald angemessene Sicherungsmaßnahmen ergriffen worden und Strafverfolgungsmaßnahmen nicht mehr gefährdet sind. Sie sind auch darüber aufzuklären, welcher Art die Datenpanne war und mit welchen Maßnahmen sie selbst negative Folgen mindern können.
Falls die persönliche Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordert, insbesondere aufgrund der Vielzahl der betroffenen Fälle, muss stattdessen die Öffentlichkeit informiert werden. Dies kann durch mindestens halbseitige Anzeigen in mindestens zwei bundesweit erscheinenden Tageszeitungen erfolgen oder durch eine andere gleich geeignete Maßnahmen (etwa durch eine Verbreitung in Radio, TV oder Internet).
Ordnungwidrigkeiten- oder Strafverfahren
Falls es aufgrund der Datenpanne zu einem Ordnungswidrigkeiten- oder Strafverfahren gegen den Informationsverpflichteten kommt, darf ihm der Inhalt seiner Benachrichtigung nicht zur Last gelegt werden. Dadurch soll er seiner Informationspflicht umfassend und ohne Druck nachkommen können.
Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen