Recht:Artikel 34 DSGVO Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

Aus Datenschutzhandbuch
Wechseln zu: Navigation, Suche
Artikel Nr. 34
Kapitel IV Verantwortlicher und Auftragsverarbeiter
Abschnitt 2 Sicherheit personenbezogener Daten
Erwägungsgründe Recht:Erwägungsgrund 86 DSGVO, Recht:Erwägungsgrund 87 DSGVO, Recht:Erwägungsgrund 88 DSGVO
Inkrafttretensdatum
Letzte Änderung
Historie
Außerkrafttretensdatum
Vorhergehende Seite Artikel 33 DSGVO Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
Folgende Seite Artikel 35 DSGVO Datenschutz-Folgenabschätzung
Entscheidungen DatenschutzbehördeBezeichnung
ATDSB 018Entscheidung bezüglich eingeleitetem Verfahren aufgrund Verletzung des Schutzes personenbezogener Daten (Gesundheitsdaten)
ATDSB 117Bescheid im amtswegigen Prüfverfahren eines Datenschutzvorfalls beim Wiener Gesundheitsverbunds, der die Stadt Wien im Ergebis zur benachrichtigung der betroffenen Patientin verpdlichtet
NachrichtenTitel
06.04.2021 4Niederlande: Reiseportal Booking.com muss 475.000€ wegen Verstoßes gegen die DSGVO bezahlen
06.10.2023 1Kundendaten von Motel-One Kunden im Darknet veröffentlicht
09-11-2020 1EU Ministerrat plant Verschlüsselungsverbot
09.08.2021 1Deutschland: Datenschutzbehörde prüft mögliche DSGVO-Verstöße durch CDU/CSU Wahlkampf-App
11.11.2020 1Widerstand gegen geplante Aufweichung der Verschlüsselung durch EU-Minsterrat
13.10.2021 1Uniklinik Magdeburg meldete Databreach erst nach Monaten
14.07.2021 1Deutschland: Comdirect-Kunden bekamen fremde Kontoauszüge zu sehen
15.12.2021 2EDSA verabschiedet finale Version der Leitlinien zu Beispielen für Benachrichtigungen über Datenschutzverletzungen
18.05.2021 1Polnisches Medien- und Telekommunikationsunternehmen Cyfrowy Polsat S.A muss 1,1 Mio PLN (~ 241 000€) zahlen
20.01.2021 1EDSA verabschiedet Leitlinien zu Beispielen für die Benachrichtigung beim Data-Breach
Weitere Einträge ...

(1) Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.

(2) Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen und Maßnahmen.

(3) Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:

a) der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung;

b) der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht;

c) dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

(4) Wenn der Verantwortliche die betroffene Person nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann die Aufsichtsbehörde unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von dem Verantwortlichen verlangen, dies nachzuholen, oder sie kann mit einem Beschluss feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfüllt sind.