HDSIG § 61

Dritter Teil: Bestimmungen für Verarbeitungen zu Zwecken nach Artikel 1 Absatz 1 der Richtlinie (EU) Nr. 2016/680

Vierter Abschnitt: Pflichten der Verantwortlichen und Auftragsverarbeiter

§ 61 Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten

(1)  1Hat eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so hat der Verantwortliche die betroffenen Personen unverzüglich von der Verletzung zu benachrichtigen. 2§ 59 Abs. 1 Satz 2 gilt entsprechend.

(2) Die Benachrichtigung nach Abs. 1 hat in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten zu beschreiben und zumindest die in § 60 Abs. 3 Nr. 2 bis 4 genannten Informationen und Maßnahmen zu enthalten.

(3) Die Benachrichtigung der betroffenen Person nach Abs. 1 ist nicht erforderlich, wenn

  1. der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung des Schutzes personenbezogener Daten betroffenen Daten angewandt wurden; dies gilt insbesondere für Vorkehrungen wie Verschlüsselungen, durch die die Daten für unbefugte Personen unzugänglich gemacht werden;

  2. der Verantwortliche durch im Anschluss an die Verletzung getroffene Maßnahmen sichergestellt hat, dass aller Wahrscheinlichkeit nach das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen im Sinne des Abs. 1 nicht mehr besteht, oder

  3. dies mit einem unverhältnismäßigen Aufwand verbunden wäre; in diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

(4)  1Wenn der Verantwortliche die betroffenen Personen über eine Verletzung des Schutzes personenbezogener Daten nicht benachrichtigt hat, kann die oder der Hessische Datenschutzbeauftragte verlangen, dies nachzuholen, oder verbindlich feststellen, dass bestimmte der in Abs. 3 genannten Voraussetzungen erfüllt sind. 2Hierbei hat sie oder er die Wahrscheinlichkeit zu berücksichtigen, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko im Sinne des Abs. 1 führt.

(5) Die Benachrichtigung der betroffenen Personen nach Abs. 1 kann unter den in § 51 Abs. 2 genannten Voraussetzungen aufgeschoben, eingeschränkt oder unterlassen werden, soweit nicht die Interessen der betroffenen Person aufgrund des von der Verletzung ausgehenden hohen Risikos im Sinne des Abs. 1 überwiegen.

(6) § 37 Abs. 4 findet entsprechende Anwendung.

Fundstelle(n):
zur Änderungsdokumentation
LAAAG-89452