Musterschreiben zur Benachrichtigung weiterer Betroffener nach Art. 34 Abs. 3 lit. c DSGVO

| Nach Art. 34 Abs. 1 DSGVO muss der Verantwortliche neben der Meldung an die zuständige Aufsichtsbehörde nach Art. 33 DSGVO zusätzlich den oder die Betroffenen über die Datenpanne informieren, wenn für deren Rechte und Freiheiten ein hohes Risiko besteht. Doch wie sieht so ein Schreiben aus, wenn es eine Vielzahl von Betroffenen gibt, die der Verantwortliche vielleicht gar nicht kennt? Zum Beispiel nach einem Datenabgriff durch Hacker und Veröffentlichung personenbezogener Daten im Darknet? |

1. Grundsätzlich

Ausnahmen von der Pflicht nach Art. 34 Abs. 1 DSGVO sind in Abs. 3 geregelt. Unter anderem sieht Buchstabe c vor, dass eine Benachrichtigung nicht erforderlich ist, wenn „dies mit einem unverhältnismäßigen Aufwand verbunden wäre“. Dann muss stattdessen eine öffentliche Benachrichtigung oder eine ähnliche Maßnahme erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden. Und genau hier kommt das Internet ins Spiel. So kann eine Benachrichtigung auch über elektronische Internetforen, Websiten oder Rund-E-Mails erfolgen, sofern sichergestellt werden kann, dass möglichst viele der Betroffenen damit erreicht werden.

Und wie sieht das bei Arbeitnehmern im Beschäftigtendatenschutz aus? Auch hier ist ein Rundschreiben oder eine Veröffentlichung in der Mitarbeiterzeitung durchaus möglich.