Es ist zu beachten, dass einer der beiden Beteiligten zu benachrichtigen ist: die Aufsichtsbehörde und/oder die betroffenen Personen. Mit der DSGVO-Compliance-Software können Sie diesen Prozess unterstützen und Ihre Fähigkeit verbessern, die DSGVO-Anforderungen zu erfüllen.
Benachrichtigung der Betroffenen im Falle einer Datenschutzverletzung
In den Artikeln 33 und 34 der Datenschutz-Grundverordnung werden drei Arten von Fällen unterschieden. Es ist unwahrscheinlich, dass ein Verstoß zu einem Risiko für die Rechte und Freiheiten von Personen führt (Artikel 33 Absatz 1 der DSGVO). In diesem Fall ist keine Benachrichtigung erforderlich, aber der Verstoß sollte zu Zwecken der Rechenschaftspflicht innerhalb Ihrer Organisation registriert werden.
Eine Verletzung stellt wahrscheinlich ein Risiko für die Rechte und Freiheiten natürlicher Personen dar (Artikel 33 Absatz 1 der Datenschutz-Grundverordnung). In dieser Situation ist es angebracht, die Aufsichtsbehörde zu informieren.
Ein Verstoß stellt wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten von Personen dar. In diesem Fall muss auch die betroffene Person informiert werden und die Meldung an die Aufsichtsbehörde erfolgen (Artikel 34 Absatz 1 DSGVO).
Meiner Meinung nach handelt es sich bei diesen Verstößen jedoch nicht um Ausnahmen, da die ersten beiden das „große“ von dem „hohen Risiko für die betroffene Person“ effektiv eliminieren. Und die dritte ist immer eine Ankündigung, wenn auch mit unterschiedlichen Mitteln.
Bitte beachten Sie, dass die Aufsichtsbehörde die Notwendigkeit einer Benachrichtigung der betroffenen Person bestimmen und den Begriff „hohes Risiko“ sowie die Ausnahmen auslegen kann.
Inhalt der Mitteilung der Aufsichtsbehörde
Gemäß Artikel 33 der Datenschutz-Grundverordnung erfolgt die Meldung an die Aufsichtsbehörde. Diesem Bericht zufolge müssen die folgenden Bestandteile in die Meldung aufgenommen werden.
Das Ausmaß des Verstoßes, einschließlich, wenn möglich:
Bitte beachten Sie, dass Sie ein Protokoll über Verstöße führen müssen, auch wenn Sie sich entschieden haben, einen Verstoß nicht zu melden.
Inhalt der Benachrichtigung der betroffenen Person
Hinsichtlich des Inhalts einer Mitteilung an den Betroffenen sind die folgenden Vorgaben zu beachten (Art. 34 DSGVO):
Diese spiegeln die Kriterien von Artikel 33 Absatz 3 wider, mit Ausnahme des Kerns der Verletzung. Dies ist ungewöhnlich, da von der betroffenen Person erwartet werden sollte, dass sie sich zumindest der Arten personenbezogener Daten bewusst ist, die Teil der Verletzung sind, um daraufhin zu handeln (z. B. ein geleaktes Passwort zu ändern).
Wichtig ist auch, dass die Artikel 33 und 34 der Datenschutz-Grundverordnung zwar keine Abweichungen von den nationalen Rechtsvorschriften vorsehen, die Aufsichtsbehörden aber über ein Mittel verfügen können, um sie über Verstöße zu informieren, und dass ihnen bei der Entwicklung der entsprechenden (Web-)Formulare ein großer Spielraum bei der Beantwortung der ihnen gestellten Fragen eingeräumt werden sollte. Dies könnte dazu führen, dass in der Praxis mehr Fragen gestellt werden als in den Artikeln 33 und 34 vorgesehen.