DSGVO / 4. Kapitel / Art. 33

Art. 1

Gegenstand und Ziele

Art. 2

Sachlicher Anwendungsbereich

Art. 3

Räumlicher Anwendungsbereich

Art. 4

Begriffsbestimmungen

Art. 5

Grundsätze für die Verarbeitung personenbezogener Daten

Art. 6

Rechtmäßigkeit der Verarbeitung

Art. 7

Bedingungen für die Einwilligung

Art. 8

Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft

Art. 9

Verarbeitung besonderer Kategorien personenbezogener Daten

Art. 10

Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten

Art. 11

Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist

Art. 12

Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

Art. 13

Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

Art. 14

Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden

Art. 15

Auskunftsrecht der betroffenen Person

Art. 16

Recht auf Berichtigung

Art. 17

Recht auf Löschung ("Recht auf Vergessenwerden")

Art. 18

Recht auf Einschränkung der Verarbeitung

Art. 19

Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung

Art. 20

Recht auf Datenübertragbarkeit

Art. 21

Widerspruchsrecht

Art. 22

Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

Art. 23

Beschränkungen

Art. 24

Verantwortung des für die Verarbeitung Verantwortlichen

Art. 25

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Art. 26

Gemeinsam Verantwortliche

Art. 27

Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern

Art. 28

Auftragsverarbeiter

Art. 29

Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters

Art. 30

Verzeichnis von Verarbeitungstätigkeiten

Art. 31

Zusammenarbeit mit der Aufsichtsbehörde

Art. 32

Sicherheit der Verarbeitung

Art. 33

Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

Art. 34

Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

Art. 35

Datenschutz-Folgenabschätzung

Art. 36

Vorherige Konsultation

Art. 37

Benennung eines Datenschutzbeauftragten

Art. 38

Stellung des Datenschutzbeauftragten

Art. 39

Aufgaben des Datenschutzbeauftragten

Art. 40

Verhaltensregeln

Art. 41

Überwachung der genehmigten Verhaltensregeln

Art. 42

Zertifizierung

Art. 43

Zertifizierungsstellen

Art. 44

Allgemeine Grundsätze der Datenübermittlung

Art. 45

Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses

Art. 46

Datenübermittlung vorbehaltlich geeigneter Garantien

Art. 47

Verbindliche interne Datenschutzvorschriften

Art. 48

Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung

Art. 49

Ausnahmen für bestimmte Fälle

Art. 50

Internationale Zusammenarbeit zum Schutz personenbezogener Daten

Art. 51

Aufsichtsbehörde

Art. 52

Unabhängigkeit

Art. 53

Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde

Art. 54

Errichtung der Aufsichtsbehörde

Art. 55

Zuständigkeit

Art. 56

Zuständigkeit der federführenden Aufsichtsbehörde

Art. 57

Aufgaben

Art. 58

Befugnisse

Art. 59

Tätigkeitsbericht

Art. 60

Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und anderen betroffenen Aufsichtsbehörden

Art. 61

Gegenseitige Amtshilfe

Art. 62

Gemeinsame Maßnahmen der Aufsichtsbehörden

Art. 63

Kohärenzverfahren

Art. 64

Stellungnahme des Ausschusses

Art. 65

Streitbeilegung durch den Ausschuss

Art. 66

Dringlichkeitsverfahren

Art. 67

Informationsaustausch

Art. 68

Europäischer Datenschutzausschuss

Art. 69

Unabhängigkeit

Art. 70

Aufgaben des Ausschusses

Art. 71

Berichterstattung

Art. 72

Verfahrensweise

Art. 73

Vorsitz

Art. 74

Aufgaben des Vorsitzes

Art. 75

Sekretariat

Art. 76

Vertraulichkeit

Art. 77

Recht auf Beschwerde bei einer Aufsichtsbehörde

Art. 78

Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde

Art. 79

Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter

Art. 80

Vertretung von betroffenen Personen

Art. 81

Aussetzung des Verfahrens

Art. 82

Haftung und Recht auf Schadenersatz

Art. 83

Allgemeine Bedingungen für die Verhängung von Geldbußen

Art. 84

Sanktionen

Art. 85

Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit

Art. 86

Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten

Art. 87

Verarbeitung der nationalen Kennziffer

Art. 88

Datenverarbeitung im Beschäftigungskontext

Art. 89

Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken

Art. 90

Geheimhaltungspflichten

Art. 91

Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften

Art. 92

Ausübung der Befugnisübertragung

Art. 93

Ausschussverfahren

Art. 94

Aufhebung der Richtlinie 95/46/EG

Art. 95

Verhältnis zur Richtlinie 2002/58/EG

Art. 96

Verhältnis zu bereits geschlossenen Übereinkünften

Art. 97

Berichte der Kommission

Art. 98

Überprüfung anderer Rechtsakte der Union zum Datenschutz

Art. 99

Inkrafttreten und Anwendung

DSGVO

4. Kapitel: Verantwortlicher und Auftragsverarbeiter

Artikel

zurück zu
Art. 32

weiter zu
Art. 34

4. Kapitel: Verantwortlicher und Auftragsverarbeiter

Art. 33 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.
Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.
Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen:
1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
4. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.
Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation ermöglicht der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels.

zurück zu
Art. 32

weiter zu
Art. 34

Erwägung

Erwägung 85

Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. Deshalb sollte der Verantwortliche, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Aufsichtsbehörde von der Verletzung des Schutzes personenbezogener Daten unverzüglich und, falls möglich, binnen höchstens 72 Stunden, nachdem ihm die Verletzung bekannt wurde, unterrichten, es sei denn, der Verantwortliche kann im Einklang mit dem Grundsatz der Rechenschaftspflicht nachweisen, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt. Falls diese Benachrichtigung nicht binnen 72 Stunden erfolgen kann, sollten in ihr die Gründe für die Verzögerung angegeben werden müssen, und die Informationen können schrittweise ohne unangemessene weitere Verzögerung bereitgestellt werden.

Erwägung 87

Es sollte festgestellt werden, ob alle geeigneten technischen Schutz- sowie organisatorischen Maßnahmen getroffen wurden, um sofort feststellen zu können, ob eine Verletzung des Schutzes personenbezogener Daten aufgetreten ist, und um die Aufsichtsbehörde und die betroffene Person umgehend unterrichten zu können. Bei der Feststellung, ob die Meldung unverzüglich erfolgt ist, sollten die Art und Schwere der Verletzung des Schutzes personenbezogener Daten sowie deren Folgen und nachteilige Auswirkungen für die betroffene Person berücksichtigt werden. Die entsprechende Meldung kann zu einem Tätigwerden der Aufsichtsbehörde im Einklang mit ihren in dieser Verordnung festgelegten Aufgaben und Befugnissen führen.

Erwägung 88

Bei der detaillierten Regelung des Formats und der Verfahren für die Meldung von Verletzungen des Schutzes personenbezogener Daten sollten die Umstände der Verletzung hinreichend berücksichtigt werden, beispielsweise ob personenbezogene Daten durch geeignete technische Sicherheitsvorkehrungen geschützt waren, die die Wahrscheinlichkeit eines Identitätsbetrugs oder anderer Formen des Datenmissbrauchs wirksam verringern. Überdies sollten solche Regeln und Verfahren den berechtigten Interessen der Strafverfolgungsbehörden in Fällen Rechnung tragen, in denen die Untersuchung der Umstände einer Verletzung des Schutzes personenbezogener Daten durch eine frühzeitige Offenlegung in unnötiger Weise behindert würde.