Dritter Abschnitt: Bestimmungen für Verarbeitungen zu Zwecken nach Artikel 1 Abs. 1 der Richtlinie (EU) 2016/680
Vierter Unterabschnitt: Datensicherheit
§ 56 Benachrichtigung der betroffenen Person bei Verletzungen des Schutzes personenbezogener Daten (Artikel 31 der Richtlinie (EU) 2016/680)
(1) Wenn eine Verletzung des Schutzes personenbezogener Daten voraussichtlich eine hohe Gefährdung für die Rechtsgüter natürlicher Personen zur Folge hat, so hat der Verantwortliche die betroffenen Personen unverzüglich von der Verletzung zu benachrichtigen.
(2) Die Benachrichtigung der betroffenen Personen nach Absatz 1 beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in § 55 Abs. 3 Nr. 2 bis 4 genannten Informationen und Maßnahmen.
(3) Die Benachrichtigung der betroffenen Personen nach Absatz 1 ist nicht erforderlich, wenn
der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen und diese Vorkehrungen auf die von der Verletzung des Schutzes betroffenen personenbezogenen Daten angewandt hat, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung,
der Verantwortliche durch im Anschluss an die Verletzung getroffene Maßnahmen sichergestellt hat, dass die erhebliche Gefahr für die Rechtsgüter der betroffenen Personen nach Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht, oder
dies mit einem unverhältnismäßigen Aufwand verbunden wäre; in diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
(4) Wenn der Verantwortliche die betroffenen Personen nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann der Landesbeauftragte für den Datenschutz unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einer erheblichen Gefahr führt, von dem Verantwortlichen verlangen, dies nachzuholen oder förmlich feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfüllt sind.
(5) Die Benachrichtigung der betroffenen Personen nach Absatz 1 kann unter den in § 41 Abs. 2 genannten Voraussetzungen aufgeschoben, eingeschränkt oder unterlassen werden.
Fundstelle(n):
zur Änderungsdokumentation
JAAAG-89457