| |
Artikel 34
EU DS-GVO
"Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person"
=> Artikel: 4 Nr. 12 (Begriffsbestimmungen)
=> Erwägungsgrund: 75, 86, 87, 88
=> Bußgeldbestimmung: Art. 83 (4) lit a
=> Dossier: Verletzung des Schutzes
=> BDSG: § 29 |
| |
(1) Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.
=> Erwägungsgrund: 75 (Beispiele für Risiken)
=> Dossier: Identifizierung, Pflicht, Risiko für Rechte und Freiheiten, Transparenz |
| |
NEU: Der Praxisleitfaden PrivazyPlan® erklärt Ihnen alle Datenschutz-Pflichten und hilft Ihnen diese einzuhalten. Klicken Sie hier! |
(2) Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen und Maßnahmen.
|
| |
(3) Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
=> BDSG: § 29 Abs. 1 Satz 3 (Keine Benachrichtigung, soweit dadurch Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen. Ausnahme: Die betroffene Person ist nach Artikel 34 zu benachrichtigen, wenn die Interessen der betroffenen Person, insbesondere unter Berücksichtigung drohender Schäden, gegenüber dem Geheimhaltungsinteresse überwiegen.), § 29 Abs. 2 (Keine Informationspflicht bei Aufnahmeanträgen von Berufsgeheimnisträgern, wo die Daten Dritter ganz im Sinne der betroffenen Person gespeichert werden) |
| |
| | a) der Verantwortliche hat geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen und diese Vorkehrungen wurden auf die von der Verletzung betroffenen personenbezogenen Daten angewandt, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung;
=> Dossier: technische und organisatorische Maßnahmen, Verschlüsselung |
|
| |
| | b)
der Verantwortliche hat durch nachfolgende Maßnahmen sichergestellt, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht;
=> Dossier: Risiko für Rechte und Freiheiten |
|
| |
| | c) die Benachrichtigung wäre mit einem unverhältnismäßigen Aufwand verbunden. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
|
|
| |
| (4) Wenn der Verantwortliche die betroffene Person nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann die Aufsichtsbehörde unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von dem Verantwortlichen verlangen, dies nachzuholen, oder sie kann mit einem Beschluss feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfüllt sind.
|
Inhaltsverzeichnis 