Artikel 24 EU-DSGVO: Verantwortung des für die Verarbeitung Verantwortlichen
- Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.
- Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen.
- Die Einhaltung der genehmigten Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Gesichtspunkt herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen.
Kommentar zu Art. 34 DSGVO
Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
Was sagt Art. 34 DSGVO aus?
Artikel 34 DSGVO besagt, dass der Verantwortliche den Betroffenen bei Vorliegen bestimmter Voraussetzungen sofort benachrichtigen muss, wenn dessen Rechte verletzt worden sind. Dies gilt dann, wenn diese Verletzung voraussichtlich ein hohes Risiko für die Persönlichkeitsrechte und Freiheiten der betroffenen Person darstellt.
Diese Benachrichtigung enthält neben der Art der Datenschutzverletzung zumindest diese drei Punkte:
Welcher Handlungsbedarf ergibt sich aus Art. 34 DSGVO für Ihr Unternehmen?
Grundsätzlich ist eine Benachrichtigung vorgesehen, wenn ein voraussichtlich hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht. Absatz 3 nennt hier jedoch drei Ausnahmen von dieser Benachrichtigungspflicht. In diesen drei Fällen muss der Verantwortliche den Betroffenen nicht über die Datenschutzverletzung benachrichtigen. Demnach sollte Ihr Unternehmen geeignete Maßnahmen einsetzen, damit diese Benachrichtigung unterbleiben kann:
Wäre der Aufwand für die Benachrichtigung der betroffenen Person zu hoch, sollte der Verantwortliche die Datenschutzverletzung öffentlich bekannt machen. Es ist jede Maßnahme zulässig, die den Betroffenen wirksam informiert.
Wenn Sie unsicher sind, welche technischen und organisatorischen Maßnahmen Sie nach Art. 34 DSGVO einsetzen sollen, helfen wir Ihnen als Datenschutzexperten weiter.