Kurzbeschreibung

Wenn es zu einer Verletzung des Schutzes personenbezogener Daten gekommen ist, muss die entsprechende Person nach Art. 34 DSGVO informiert werden.

Vorbemerkung

Dem Verantwortlichen für die Verarbeitung personenbezogener Daten obliegt die Pflicht, bei der Datenverarbeitung das Risiko für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Kommt es dennoch zu einer Verletzung des Schutzes personenbezogener Daten, so ist der Verantwortliche nach Art. 34 DSGVO verpflichtet, den Betroffenen einer solchen Verletzung zu benachrichtigen.

Definition "Verletzung des Schutzes personenbezogener Daten"

Eine Verletzung des Schutzes personenbezogener Daten ist nach Art. 4 Nr. 12 DSGVO eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

(Kein) Risiko für die Rechte und Freiheiten natürlicher Personen

Eine Verpflichtung zur Benachrichtigung besteht allerdings dann nicht, wenn die Verletzung zumindest voraussichtlich zu keinem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Nach Erwägungsgrund 85 der DSGVO liegt ein Risiko für die Rechte und Freiheiten natürlicher Personen dann vor, wenn bei Betroffenen ein physischer, materieller oder immaterieller Schaden entsteht. Als nicht abschließende Beispiele werden genannt:

  • Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte
  • Diskriminierung
  • Identitätsdiebstahl oder -betrug
  • finanzielle Verluste
  • unbefugte Aufhebung der Pseudonymisierung
  • Rufschädigung
  • Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten
  • andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile

Ausnahmen von der Verpflichtung zur Benachrichtigung

Sofern eine der folgenden Bedingungen erfüllt ist, kann ausnahmsweise von einer Benachrichtigung abgesehen werden.

  • Es wurden geeignete technische und/oder organisatorische Maßnahmen wie eine Verschlüsselung oder Pseudonymisierung getroffen, die einen Zugang zu den personenbezogenen Daten durch Unbefugte ausschließen.
  • Es wurde sichergestellt, dass ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen nach aller Wahrscheinlichkeit nicht mehr besteht.
  • Die Benachrichtigung wäre mit einem unverhältnismäßig hohen Aufwand verbunden. In einem solchen Fall muss die Benachrichtigung aber mittels öffentlicher Bekanntmachung oder durch eine andere ähnliche Maßnahme erfolgen.

Mindestinhalt einer Benachrichtigung

Art. 34 Abs. 2 DSGVO verweist bezüglich des Inhaltes der Benachrichtigung auf Art. 33 Abs. 3 Buchstaben b, c und d. Mindestinhalt einer Benachrichtigung ist:

  • Beschreibung der Verletzung
  • Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Ansprechperson
  • Beschreibung der wahrscheinlichen Folgen der Verletzung
  • Beschreibung der getroffenen Abhilfemaßnahmen zur Behebung der Verletzung und gegebenenfalls getroffene Abmilderungsmaßnahmen

Wichtig

Die Benachrichtigung nach Art. 34 DSGVO muss in klarer und einfacher Sprache erfolgen. Daher sollte bei der Benachrichtigung auf Fremdwörter und technische Begriffe verzichtet werden. Die Benachrichtigung sollte so geschrieben werden, dass diese von jedem Empfänger verstanden werden kann.

Formular für Benachrichtigung nach Art. 34 DSGVO

Verantwortlicher:

[Name des Verantwortlichen samt ladungsfähiger Anschrift]

An:

[Name des Betroffenen]

Benachrichtigung über eine Verletzung des Schutzes Ihrer personenbezogenen Daten

  1. Beschreibung der Verletzungshandlung

    [Beispiel: Am 26.5.2018 drang ein bislang unbekannter Angreifer in unser Firmennetzwerk ein und verschaffte sich Zugang zu unserer Kundendatenbank. In unserer Kundendatenbank haben wir Ihren Namen und ihre beruflichen Kontaktdaten gespeichert. Dem Angreifer war es möglich, eine komplette Kopie ihres Datensatzes zu erstellen und auf einem fremden Speichermedium abzulegen.]

  2. Beschreibung der wahrscheinlichen Folgen der Verletzung

    [Beispiel: Durch das Kopieren bzw. die Kenntnisnahme der Daten steht zu befürchten, dass der Angreifer Ihre personenbezogenen Daten entweder an Interessenten veräußert oder für anderweitige Zwecke direkt nutzt ...........]

  3. Beschreibung der getroffenen Abhilfemaßnahmen zur Behebung der Verletzung und gegebenenfalls getroffene Abmilderungsmaßnahmen

    [Beispiel: Als erste Maßnahme haben wir gemeinsam mit unserem Datenschutzbeauftragten und dem IT-Sicherheitsbeauftragten den Sicherheitsverstoß analysiert und haben folgenden Maßnahmen ergriffen, dass sich ein solcher nicht mehr wiederholen kann: ..........]

  4. Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Ansprechperson

    [Beispiel: Unsere Datenschutzbeauftragte (Name) steht Ihnen für weitere Rückfragen zur Verfügung]

..........

Ort, Datum

..........

Name und Position des Meldenden

Das ist nur ein Ausschnitt aus dem Produkt Personal Office Premium. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Personal Office Premium 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge