Datenschutz-Grundverordnung – DSGVO :
Artikel 34 – Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen
Person
Kapitel 1 – Allgemeine Bestimmungen
Kapitel 3 – Rechte der betroffenen Personen
Kapitel 4 – Verantwortlicher und Auftragsverarbeiter
- Artikel 24 – Verantwortung des für die Verarbeitung Verantwortlichen
- Artikel 25 – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
- Artikel 26 – Gemeinsam Verantwortliche
- Artikel 27 – Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern
- Artikel 28 – Auftragsverarbeiter
- Artikel 29 – Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters
- Artikel 30 – Verzeichnis von Verarbeitungstätigkeiten
- Artikel 31 – Zusammenarbeit mit der Aufsichtsbehörde
- Artikel 32 – Sicherheit der Verarbeitung
- Artikel 33 – Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
- Artikel 34 – Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
- Artikel 35 – Datenschutz-Folgeabschätzung
- Artikel 36 – Vorherige Konsultation
- Artikel 37 – Benennung eines Datenschutzbeauftragten
- Artikel 38 – Stellung des Datenschutzbeauftragten
- Artikel 39 – Aufgaben des Datenschutzbeauftragten
- Artikel 40 – Verhaltensregeln
- Artikel 41 – Überwachung der genehmigten Verhaltensregeln
- Artikel 42 – Zertifizierung
- Artikel 43 – Zertifizierungsstellen
Kapitel 6 – Unabhängige Aufsichtsbehörden
Kapitel 7 – Zusammenarbeit und Kohärenz
Kapitel 8 – Rechtsbehelfe, Haftung und Sanktionen
Kapitel 9 – Vorschriften für besondere Verarbeitungssituationen
Kapitel 10 – Delegierte Rechtsakte und Durchführungsrechtsakte
(1) Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.
(2) Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen und Empfehlungen.
(3) Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
a) der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung,
b) der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht,
c) dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
(4) Wenn der Verantwortliche die betroffene Person nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann die Aufsichtsbehörde unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von dem Verantwortlichen verlangen, dies nachzuholen, oder sie kann mit einem Beschluss feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfüllt sind.