Art. 34 DSGVO: Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
| veröffentlicht am |
12.11.2019 |
|---|---|
| Änderung | Neu aufgenommen |
| Stand | 06.03.2018 |
|---|---|
| Erstellungsgrundlage | in der Fassung der Datenschutz-Grundverordnung vom 27.04.2016 in Kraft getreten am 25.05.2018 |
| Rechtsgrundlage | |
| Version | 001.01 |
- Inhalt der Regelung
- Benachrichtigungspflicht (Abs. 1)
- Form und Inhalt der Meldung (Abs. 2)
- Ausschluss von der Benachrichtigungspflicht (Abs. 3)
- Aufforderung zur Benachrichtigung durch die Aufsichtsbehörde (Abs. 4)
Inhalt der Regelung
Mit Art. 34 DSGVO wird der Verantwortliche dazu verpflichtet, die von Verletzungen des Schutzes personenbezogener Daten (sogenannte data (protection) breach) Betroffenen zu benachrichtigen, sofern die in dieser Vorschrift normierten Tatbestandsmerkmale erfüllt sind.
Die Vorschrift dient insbesondere dem Grundsatz der Transparenz des Verwaltungshandelns in Bezug auf Datenschutzverletzungen. Damit einher geht das Bestreben, aus Datenschutzverletzungen resultierende Folgeschäden zu vermeiden beziehungsweise zu minimieren.
Ergänzende/korrespondierende Regelungen
Art. 8 der Charta der Grundrechte der Europäischen Union - GRCh - vom 26.10.2012 (2012/ C 326/02) dient dem Schutz vor willkürlichen und rechtswidrigen Eingriffen in die Privatsphäre (Schutz personenbezogener Daten). Dieses europäisch garantierte Recht entspricht auf nationaler Ebene dem in Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 des Grundgesetzes verankerten Recht auf informationelle Selbstbestimmung.
Art. 16 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV) bestätigt in Abs. 1 das in Art. 8 GRCh niedergelegte Recht auf informationelle Selbstbestimmung (Datenschutz) und enthält in Abs. 2 die Rechtsgrundlage für die Konkretisierung des Datenschutzes bei der Anwendung des Unionsrechts.
Art. 288 Abs. 2 AEUV bildet die rechtliche Grundlage für die verbindliche und unmittelbare Geltung der Regelungen der EU-Datenschutzgrundverordnung (DSGVO) in jedem Mitgliedstaat der Europäischen Union (EU).
ErwG 86 DSGVO bekräftigt, dass die von einer Verletzung der Schutzes personenbezogener Daten betroffenen Personen unverzüglich, das heißt ohne schuldhaftes Zögern im Sinne von § 121 Abs. 1 S. 1 BGB, zu benachrichtigen sind, wenn die Tatbestandsmerkmale des Art. 34 DSGVO erfüllt sind. Dies dient dazu, betroffenen Personen zeitnah zu ermöglichen, Vorkehrungen zu treffen, um materielle beziehungsweise immaterielle Schäden vermeiden oder zumindest minimieren zu können.
Art. 4 Nrn. 1 bis 26 DSGVO enthält unter anderem Begriffsdefinitionen wie zum Beispiel „personenbezogene Daten“ (Art. 4 Nr. 1 DSGVO), „Verarbeitung“ (Art. 4 Nr. 2 DSGVO), „Verantwortlicher“ (Art. 4 Nr. 7 DSGVO) oder „Verletzung des Schutzes personenbezogener Daten“ (Art. 4 Nr. 12 DSGVO).
Art. 5 DSGVO legt die Grundsätze für die Verarbeitung personenbezogener Daten fest. Insbesondere ist hier im Hinblick auf deren Bedeutung für die sich aus Art. 34 DSGVO ergebenden Anforderungen die Rechenschaftspflicht zu nennen (Art. 5 Abs. 2 DSGVO).
Art. 23 DSGVO legt als Öffnungsklausel fest, unter welchen Rahmenbedingungen die sich aus Art. 34 DSGVO für den Verantwortlichen ergebende Benachrichtigungspflicht eingeschränkt werden darf.
Art. 24 DSGVO statuiert die Rechenschaftspflicht der Verantwortlichen und legt diesen die Verpflichtung auf, in Abhängigkeit der Eintrittswahrscheinlichkeit und Schwere von potentiellen physischen, materiellen oder immateriellen Schadensszenarien geeignete technische und organisatorische Maßnahmen zu treffen, um eine mit der DSGVO konforme Verarbeitung personenbezogener Daten sicherstellen und nachweisen zu können.
Art. 33 DSGVO legt fest, unter welchen Rahmenbedingungen der Verantwortliche bei Datenschutzverletzungen seine Aufsichtsbehörden einzubinden hat und welche damit zusammenhängenden Dokumentationspflichten ihm obliegen. Diese Vorschrift bildet eine Grundlage für die weitere Anwendbarkeit des Art. 34 DSGVO.
Art. 82 DSGVO begründet die Haftung und den Schadenersatzanspruch für materielle und immaterielle Schäden, die aus einer Verletzung des Schutzes von personenbezogenen Daten erwachsen sind.
Art. 83 DSGVO veranschaulicht die allgemeinen Rahmenbedingungen, unter denen die Aufsichtsbehörde befugt ist, Geldbußen für Verstöße gegen die DSGVO zu verhängen.
Art. 84 DSGVO verpflichtet die Mitgliedstaaten, Festlegungen über andere Sanktionen für Verstöße festzulegen, die nicht von Art. 83 DSGVO erfasst werden.
§ 42 des Bundesdatenschutzgesetzes (BDSG) in der Fassung von Art. 1 des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU - DSAnpUG-EU) vom 30. Juni 2017 (BGBl. I, S. 2097) regelt ab dem 25.05.2018 die sich aus Verstößen gegen das BDSG ergebenden Straftatbestände und deren Ahndung.
§ 43 BDSG in der Fassung von Art. 1 des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU - DSAnpUG-EU) legt für die Zeit ab dem 25.05.2018 fest, unter welchen Rahmenbedingungen die im Zusammenhang mit dem BDSG stehenden Bußgeldtatbestände verfolgt werden. Zudem nimmt er Behörden und andere öffentliche Stellen von der Verhängung von Bußgeldern aus.
§ 83a SGB X in der Fassung von Art. 24 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften - BVGÄndG - vom 17. Juli 2017 (BGBl. I, S. 2541) regelt ab dem 25.05.2018 in Ergänzung zu Art. 33 DSGVO die Benachrichtigung der Rechts- oder Fachaufsichtsbehörde im Falle der Verletzung des Schutzes von Sozialdaten.
§ 85 SGB X in der Fassung von Art. 24 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften konkretisiert ab dem 25.05.2018 die sich ergebenden Straftatbestände und regelt die analoge Anwendung des § 42 Abs. 1 und 2 BDSG.
§ 85a SGB X in der Fassung des Art. 24 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften konkretisiert ab dem 25.05.2018 die sich ergebenden Bußgeldtatbestände und erklärt § 41 Abs. 1 und 2 BDSG für entsprechend anwendbar. Zudem nimmt er Behörden und andere öffentliche Stellen von der Verhängung von Bußgeldern aus.
Benachrichtigungspflicht (Abs. 1)
Abs. 1 legt fest, unter welchen Rahmenbedingungen der Verantwortliche verpflichtet ist, Betroffene über eine Verletzung des Schutzes personenbezogener Daten zu benachrichtigen.
Verantwortlicher
Normadressat ist der für die Datenverarbeitung Verantwortliche. Dieser ist verpflichtet, Betroffene über eine Datenschutzverletzung zu informieren.
Zur Definition des Begriffs „Verantwortlicher“ und für weitere Erläuterungen darf auf die GRA zu Art. 33 DSGVO, Abschnitt 2.1, verwiesen werden.
Verletzung des Schutzes personenbezogener Daten
Zur Definition des Begriffs „Verletzung des Schutzes personenbezogener Daten“ und für weitere Erläuterungen darf auf die GRA zu Art. 33 DSGVO, Abschnitt 2.2, verwiesen werden.
Risikoprognose
Eine Benachrichtigungspflicht kann sich grundsätzlich nur dann ergeben, wenn die Datenschutzverletzung unter Anwendung allgemein gültiger Maßstäbe für eine abgestufte Risikoprognose voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten der betroffenen natürlichen Person führt. Diese Entscheidung durch den Verantwortlichen kann durch die Aufsichtsbehörde überprüft werden.
Form und Inhalt der Meldung (Abs. 2)
Art. 34 Abs. 2 DSGVO legt fest, dass die Benachrichtigung im Sinne des Abs. 1 in klarer und einfacher Sprache abzufassen ist. Dies entspricht dem Grundsatz der bürgernahen Verwaltungssprache und dient insbesondere der Transparenz des Verwaltungshandelns des Verantwortlichen. Neben einer Beschreibung über die Art der Verletzung des Schutzes personenbezogener Daten fordert Abs. 2 als Mindestinhalt der Benachrichtigung Angaben über folgende Informationen und Maßnahmen:
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen (Art. 33 Abs. 3 Buchst. b DSGVO),
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 3 Buchst. c DSGVO) und
- eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen (Art. 33 Abs. 3 Buchst. d DSGVO).
Die Benachrichtigung sollte zudem an die betroffene Person gerichtete Empfehlungen zur Minderung etwaiger nachteiliger Auswirkungen dieser Verletzung enthalten (ErwG 86 DSGVO).
Ausschluss von der Benachrichtigungspflicht (Abs. 3)
Abs. 3 regelt, unter welchen Voraussetzungen der Verantwortliche von der Pflicht zur Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten gegenüber den Betroffenen befreit ist. Dies ist dann der Fall, wenn
- der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht worden sind, etwa durch Verschlüsselung (Abs. 3 Buchst. a),
- der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß aller Wahrscheinlichkeit nach nicht mehr besteht (Abs. 3 Buchst. b) und
- die Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat gegebenenfalls eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, mit der die betroffenen Personen vergleichbar wirksam informiert werden (zum Beispiel Veröffentlichung auf der Homepage beziehungsweise in der RVaktuell, et cetera, vgl. Abs. 3 Buchst. c).
Aufforderung zur Benachrichtigung durch die Aufsichtsbehörde (Abs. 4)
Abs. 4 bildet die Ermächtigungsgrundlage dafür, dass die Aufsichtsbehörde Maßnahmen zur Durchsetzung der für den Verantwortlichen bestehenden Benachrichtigungspflicht ergreifen darf, sofern dieser seiner Verpflichtung gemäß Abs. 1 nicht nachgekommen ist. Es handelt sich hierbei um einen Mechanismus zur aufsichtsrechtlichen Durchsetzung eines hohen Datenschutzstandards, der in Bezug auf das Datenschutzrecht in Deutschland bislang in dieser Form nicht existierte.
Kommt die Aufsichtsbehörde zu dem Ergebnis, dass entgegen den bisherigen Feststellungen eine Benachrichtigung des Betroffenen geboten ist, kann sie den Verantwortlichen dazu verpflichten. Auch wenn sich aus dieser Vorschrift keine ausdrückliche Verpflichtung dazu ergibt, besteht seitens der Aufsichtsbehörde die Möglichkeit einer Ersatzvornahme für den Fall, dass der Verantwortliche seiner Benachrichtigungspflicht nicht oder nur verzögert nachkommt.
Anderseits besteht für die Aufsichtsbehörde die Möglichkeit, zugunsten des Verantwortlichen rechtssicher festzustellen, dass die Ausnahmetatbestände des Art. 34 Abs. 3 DSGVO vorliegen und deshalb eine Benachrichtigungspflicht für den Verantwortlichen nicht gegeben ist.
| Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) |
Inkrafttreten: 24.05.2016, Gültigkeit: 25.05.2018 Quelle: Amtsblatt der Europäischen Union vom 04. Mai 2016 unter L 119/1 |
Die Vorschriften der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind mit Wirkung vom 24.05.2016 in Kraft getreten. Sie sind ab dem 25.05.2018 unmittelbar in allen Mitgliedstaaten der Europäischen Union anzuwenden.