Die Verpflichtung, die Aufsichtsbehörde über Datenschutzverletzungen zu informieren und diese an die betroffenen Personen weiterzugeben, obliegt in erster Linie dem Verantwortlichen. Er ist verpflichtet, alle Datenschutzverletzungen zu dokumentieren, welche die relevanten Fakten über die Verletzung, ihre Auswirkungen und die ergriffenen Abhilfemaßnahmen umfassen. Außerdem muss der Verarbeiter, wenn er von einer Datenschutzverletzung erfährt, den Verantwortlichen “ohne unangemessene Verzögerung” informieren.
Datenverletzungsmeldung an die Aufsichtsbehörde
Wenn der Verantwortliche von einer Datenschutzverletzung Kenntnis erlangt, hat er 72 Stunden Zeit, um die zuständige Aufsichtsbehörde zu informieren. Wurde eine Aufsichtsbehörde nicht rechtzeitig benachrichtigt, muss der Verantwortliche die Gründe für die Verzögerung angeben. Diese Verpflichtung gilt nur dann nicht, wenn die Verletzung wahrscheinlich keine Gefahr für die Rechte und Freiheiten des Einzelnen darstellt.
Eine solche Meldung muss die folgenden Mindestanforderungen an den Inhalt erfüllen:
- Beschreibung der Art der Datenschutzverletzung (einschließlich der Kategorien und der ungefähren Anzahl der betroffenen Personen und Datensätze)
- Name und Kontaktdaten des DSB/anderer Kontaktstelle, bei der weitere Informationen erhältlich sind
- Beschreibung der wahrscheinlichen Auswirkungen der Verletzung personenbezogener Daten
- Beschreibung der Maßnahmen, welcher der Verantwortliche getroffen/vorgeschlagen hat, um die Verletzung personenbezogener Daten zu beheben (einschließlich der Maßnahmen zur Minderung der möglichen negativen Auswirkungen)
Datenverstöße bei der Kommunikation mit den betroffenen Personen
Art. 34 DSGVO gilt für Situationen, bei denen ein Verstoß gegen die Datenschutzbestimmungen ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen kann. Diese Mitteilung muss die Art einer solchen Verletzung klar und deutlich beschreiben und mindestens die folgenden inhaltlichen Anforderungen enthalten:
- Name und Kontaktdaten des DSB/anderer Kontaktstelle, bei der weitere Informationen erhältlich sind
- Beschreibung der wahrscheinlichen Auswirkungen der Verletzung personenbezogener Daten
- Beschreibung der Maßnahmen, welcher der Verantwortliche getroffen/vorgeschlagen hat, um die Verletzung personenbezogener Daten zu beheben (einschließlich der Maßnahmen zur Minderung der möglichen negativen Auswirkungen)
Die Verpflichtung zur Übermittlung der Datenverletzung an die betroffenen Personen gilt nur dann nicht, wenn:
- der Verantwortliche geeignete technische und organisatorische Schutzmaßnahmen getroffen hat, welche auf die von der Verletzung betroffenen personenbezogenen Daten angewendet wurden (z.B. Verschlüsselung)
- der Verantwortliche nachträgliche Maßnahmen ergriffen hat, die sicherstellen, dass das Risiko für die Rechte und Freiheiten der betroffenen Person nicht mehr besteht
- es einen unverhältnismäßigen Aufwand erfordern würde; in solchen Fällen muss es eine öffentliche Kommunikation/ähnliche Maßnahme geben, bei der die betroffenen Personen gleichermaßen wirksam informiert werden
- der Verantwortliche die Verletzung nicht bereits der betroffenen Person mitgeteilt hat; die Aufsichtsbehörde kann entweder den Verantwortlichen dazu auffordern oder entscheiden, dass eine in Art. 34(3) DSGVO genannten Bedingung erfüllt ist