Bei einer Datenschutzverletzung, die voraußichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt, muss der Verantwortliche die betroffenen Personen unverzüglich benachrichtigen (Art. 34 Abs. 1 DSGVO).
Wann besteht die Pflicht?
Nicht bei jeder Datenpanne, sondern nur wenn ein hohes Risiko für die Betroffenen besteht - etwa bei Identitätsdiebstahl, finanziellem Verlust, Rufschädigung oder Diskriminierung (ErwGr. 85).
Was muss mitgeteilt werden? (Art. 34 Abs. 2 i.V.m. Art. 33 Abs. 3 DSGVO):
- Art der Datenschutzverletzung in klarer und einfacher Sprache
- Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle
- Beschreibung der wahrscheinlichen Folgen
- Beschreibung der ergriffenen oder vorgeschlagenen Abhilfemassnahmen
Wann entfällt die Pflicht? (Art. 34 Abs. 3 DSGVO):
a) Geeignete Schutzvorkehrungen wurden getroffen (z.B. Verschlüßelung), sodass die Daten für Unbefugte unbrauchbar sind. b) Nachträgliche Maßnahmen stellen sicher, dass das hohe Risiko aller Wahrscheinlichkeit nach nicht mehr besteht. c) Die individuelle Benachrichtigung würde einen unverhältnismäßigen Aufwand erfordern - in diesem Fall genügt eine öffentliche Bekanntmachung.
Zusätzlich: Die Aufsichtsbehörde kann die Benachrichtigung der Betroffenen anordnen, auch wenn der Verantwortliche meint, dies sei nicht erforderlich (Art. 34 Abs. 4 DSGVO).