Logo

EU-Verordnung 2016/679: Datenschutz-Grundverordnung (DS-GVO)

Datenschutzhinweise    Impressum    Kontakt

Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU)

(Stand: : 28. April 2017, d.h. Änderungen des Gesetzesbeschlusses des Deutschen Bundestages, Drucksache 332/17, sind berücksichtigt)

Überblick,     Teil 1,     Teil 2,     Teil 3,     Teil 4

Kapitel 1,     Kapitel 2,     Kapitel 3,     Kapitel 4,     Kapitel 5,     Kapitel 6,     Kapitel 7

Teil 3 – Bestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680

Kapitel 4 – Pflichten der Verantwortlichen und Auftragsverarbeiter

§ 66 Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten
  1. Hat eine Verletzung des Schutzes personenbezogener Daten voraussichtlich eine erhebliche Gefahr für Rechtsgüter betroffener Personen zur Folge, so hat der Verantwortliche die betroffenen Personen unverzüglich über den Vorfall zu benachrichtigen.
  2. Die Benachrichtigung nach Absatz 1 hat in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten zu beschreiben und zumindest die in § 65 Absatz 3 Nummer 2 bis 4 genannten Informationen und Maßnahmen zu enthalten.
  3. Von der Benachrichtigung nach Absatz 1 kann abgesehen werden, wenn
    1. der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung des Schutzes personenbezogener Daten betroffenen Daten angewandt wurden; dies gilt insbesondere für Vorkehrungen wie Verschlüsselungen, durch die die Daten für unbefugte Personen unzugänglich gemacht wurden
    2. der Verantwortliche durch im Anschluss an die Verletzung getroffene Maßnahmen sichergestellt hat, dass aller Wahrscheinlichkeit nach keine erhebliche Gefahr im Sinne des Absatzes 1 mehr besteht oder
    3. dies mit einem unverhältnismäßigen Aufwand verbunden wäre; in diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
  4. Wenn der Verantwortliche die betroffenen Personen über eine Verletzung des Schutzes personenbezogener Daten nicht benachrichtigt hat, kann die oder der Bundesbeauftragte förmlich feststellen, dass ihrer oder seiner Auffassung nach die in Absatz 3 genannten Voraussetzungen nicht erfüllt sind. Hierbei hat sie oder er die Wahrscheinlichkeit zu berücksichtigen, dass die Verletzung eine erhebliche Gefahr im Sinne des Absatzes 1 zur Folge hat.
  5. Die Benachrichtigung der betroffenen Personen nach Absatz 1 kann unter den in § 56 Absatz 2 genannten Voraussetzungen aufgeschoben, eingeschränkt oder unterlassen werden, soweit nicht die Interessen der betroffenen Person aufgrund der von der Verletzung ausgehenden erheblichen Gefahr im Sinne des Absatzes 1 überwiegen.
  6. § 42 Absatz 4 findet entsprechende Anwendung.



Zurück


Vor