Die Informationspflicht des Verantwortlichen

Bei einer Datenpanne können zum Beispiel finanzielle Verluste oder die Offenlegung privater Informationen drohen. Daher trifft den Verantwortlichen nach Maßgabe des Art. 34 Abs. 1 DSGVO eine Benachrichtigungspflicht gegenüber dem Betroffenen. Um erhebliche wirtschaftliche und immatrielle Konsequenzen durch die Verletzung des Schutzes personenbezogener Daten abzuwenden, können Betroffene durch die Benachrichtigung auf bestehende Risiken präventiv tätig werden. Art. 34 Abs. 1 DSGVO beinhaltet die vom Gesetzgeber vorgeschriebene Informationspflicht und konkretisiert die Anforderungen an diese.

Der Zeitpunkt der Benachrichtigung

In Art. 34 Abs.1 DSGVO heißt es:

Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.

Wie so oft werden dabei vom Gesetzgeber unbestimmte Rechtsbegriffe wie hohes Risiko benutzt. Es ist nicht genau bestimmt, wann ein hohes Risiko vorliegt. Mit Hilfe einer Prognose wird ein hohes Risiko jedenfalls regelmäßig dann anzunehmen sein, wenn mit hoher Wahrscheinlichkeit ein Schaden für die Rechte und Freiheiten der betroffenen Person eintreten können. In Betracht zu ziehen sind dabei auch die Möglichkeiten, wie weit der eintreffende Schaden durch Benachrichtigung an den Betroffenen vermieden werden kann.

Unter gewissen Umständen kann eine Benachrichtigung an den Betroffenen entbehrlich sein, sodass dieser nicht benachrichtigt werden muss.Eine Informationspflicht darf unterbleiben, wenn der Verantwortliche

  • gemäß Abs. 3 lit. a) vorab durch eine Verschlüsselung
  • oder gemäß Abs. 3 lit. b) nachträglich durch geeignete Sicherheitsmaßnahmen dafür gesorgt hat, dass das hohe Risiko „aller Wahrscheinlichkeit nach“ nicht mehr besteht.
  • nach Abs. 3 lit. c) diese nur mit einem unverhältnismäßigen Aufwand umgesetzen kann

In diesen Fällen reicht eine öffentliche Bekanntmachung durch den Verantwortlichen in den Medien wie zB. in der Zeitungsanzeige aus.

Durch den Verantwortlichen hat eine eigene Risikoabschätzung zu erfolgen. Sollte er das Risiko unterschätzen und kommt er bei einer Datenpanne seiner Informationspflicht nicht nach, kann er sich nach Art. Art. 83 Abs. 4 lit. a) DSGVO schadensersatzpflichtig machen.

Änderungen für den Verantwortlichen

Im Gegensatz zum BDSG ergeben sich für den Verantwortlichen bei der DSGVO zwei wesentliche Unterschiede. Mit Inkrafttreten der DSGVO am 25. Mai 2018

  • gilt die Informationspflicht für alle (nicht nur Risikodaten) personenbezogenen Daten
  • wird die Informationspflicht nicht nur durch Offenlegung an einen Dritten ausgelöst, sondern auch bei internen und nicht zwangsläufig unrechtmäßigen Pannen wie zB. einen Datenverlust.

Art und Weise der Informationspflicht

Generell hat die Information in einfacher Weise, also für jeden verständlich, zu erfolgen. Der Betroffene soll durch die Information die Risiken für seine Daten verstehen und selbst einschätzen können. Zudem soll er selbst entscheiden können, welche Maßnahmen er ergreifen kann, um eventuell eintretende Schäden zu verhindern.

Hinsichtlich des genauen Umfangs dieser Informationen kann die zuständige Aufsichtsbehörde konsultiert werden. Mit einem Verweis auf Art. 33 Abs. 3 lit. b), c) und d) DSGVO sind die dort genannten Informationen erforderlich:

  • Art der Verletzung
  • die Benennung des Datenschutzbeauftragten oder einer anderen Kontaktperson
  • die Beschreibung der wahrscheinlichen Folgen
  • und schließlich die Beschreibung der ergriffenen Maßnahmen zur Begegnung und Behebung des Problems.

Eine Information soll nach Art. 33 Abs. 1 DSGVO unverzüglich und nach spätestens 72 Stunden erfolgt sein.

Rückfragen ?

Sollten Sie noch Fragen zu den Informationspflichten haben oder selbst einen Datenschutzhandlungsbedarf in Ihrem Unternehmen sehen, kontaktieren Sie uns über dsb@anka.eu oder rufen Sie uns 0201-2463660 an.