Artikel 34

Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

  • (1)   Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko fĂŒr die persönlichen Rechte und Freiheiten natĂŒrlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzĂŒglich von der Verletzung.
  • (2)   Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthĂ€lt zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen und Maßnahmen.
  • a) der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten fĂŒr alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugĂ€nglich gemacht werden, etwa durch VerschlĂŒsselung;
  • b) der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko fĂŒr die Rechte und Freiheiten der betroffenen Personen gemĂ€ĂŸ Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht;
  • c) dies mit einem unverhĂ€ltnismĂ€ĂŸigen Aufwand verbunden wĂ€re. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine Ă€hnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
  • (4)   Wenn der Verantwortliche die betroffene Person nicht bereits ĂŒber die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann die Aufsichtsbehörde unter BerĂŒcksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko fĂŒhrt, von dem Verantwortlichen verlangen, dies nachzuholen, oder sie kann mit einem Beschluss feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfĂŒllt sind.