Artikel 34 EU-DSGVO: Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
- Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.
- Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen und Empfehlungen.
- Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
- der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung,
- der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht,
- dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
- Wenn der Verantwortliche die betroffene Person nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann die Aufsichtsbehörde unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von dem Verantwortlichen verlangen, dies nachzuholen, oder sie kann mit einem Beschluss feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfüllt sind.
Kommentar zu Art. 43 DSGVO
Was sagt Art. 43 DSGVO aus?
Artikel 43 DSGVO regelt, dass speziell dazu ermächtigte Zertifizierungsstellen die Datenschutz-Zertifikate und -siegel ausstellen und verlängern können. Im Vorfeld müssen sie die Aufsichtsbehörde über die Zertifizierung informieren. Die zuständige Aufsichtsbehörde oder die nationale Akkreditierungsstelle muss die Zertifizierungsstellen vorab dazu ermächtigen (akkreditieren).
Wann erhalten Zertifizierungsstellen eine Akkreditierung?
Eine solche Akkreditierung (Zulassung) als Zertifizierungsstelle setzt voraus, dass der jeweilige Anbieter einige Bedingungen erfüllt. Demnach muss jede zukünftige Zertifizierungsstelle
Erfüllt der Anbieter die Bedingungen, erhält er die Akkreditierung als Zertifizierungsstelle für fünf Jahre. Eine Verlängerung ist möglich. Die Akkreditierung findet auf Basis jener Kriterien statt, die die Aufsichtsbehörde oder der Ausschuss abgesegnet haben.
Wie müssen Zertifizierungsstellen bei der Datenschutzzertifizierung vorgehen?
Gemäß Art. 43 DSGVO müssen Zertifizierungsstellen eine angemessene Bewertung durchführen, bevor sie ein Datenschutz-Zertifikat ausstellen oder widerrufen. Sie informieren die zuständige Aufsichtsbehörde, warum sie eine beantragte Zertifizierung genehmigen oder widerrufen. Die Aufsichtsbehörde veröffentlicht diese Entscheidungskriterien. Der Ausschuss vermerkt alle Zertifizierungsverfahren und Datenschutzsiegel in einem Register und macht sie bekannt.
Wo informiert sich Ihr Unternehmen über die Standards für Datenschutzsiegel?
Die Kommission kann gemäß Art. 43 DSGVO spezielle Anforderungen für Zertifizierungsverfahren normieren. Wenn Sie mehr über die Standards für Datenschutzsiegel und die Zertifizierung erfahren möchten, helfen wir Ihnen mit unserem Fachwissen gerne weiter.