Benachrichtigungspflicht nach Art. 34 DSGVO
Auch: Betroffenenbenachrichtigung · Meldung an Betroffene
Führt eine Datenschutzverletzung voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen, muss der Makler diese zusätzlich zur Meldung an die Aufsichtsbehörde unverzüglich direkt informieren.
Ausführliche Erklärung
Neben der Meldepflicht an die Aufsichtsbehörde (Art. 33 DSGVO, 72-Stunden-Frist) sieht Art. 34 DSGVO eine zusätzliche, strengere Pflicht vor: Ist ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen wahrscheinlich, muss der Makler diese unverzüglich benachrichtigen. "Hohes Risiko" liegt vor, wenn die Datenpanne konkret zu Schäden wie Identitätsdiebstahl, finanziellen Verlusten, Rufschädigung oder Diskriminierung führen könnte.
Für Makler praxisrelevant bei:
- Verlust oder Diebstahl unverschlüsselter Kopien von Personalausweisen, Einkommensnachweisen oder Bonitätsauskünften.
- Hackerangriff auf das CRM-System mit Zugriff auf sensible Finanz- oder Identitätsdaten von Kunden.
- Fehlversand vertraulicher Selbstauskünfte oder Schufa-Daten an unbeteiligte Dritte in größerem Umfang.
Die Benachrichtigung muss in klarer und einfacher Sprache erfolgen und mindestens folgende Angaben enthalten:
- Art der Verletzung,
- Name und Kontaktdaten einer Ansprechperson (z. B. des Maklers oder Datenschutzbeauftragten),
- wahrscheinliche Folgen der Verletzung,
- ergriffene oder vorgeschlagene Maßnahmen zur Behebung und Schadensminderung.
Ausnahmen von der Benachrichtigungspflicht bestehen, wenn:
1. geeignete technische und organisatorische Schutzmaßnahmen (z. B. Verschlüsselung) getroffen wurden, die die Daten für Unbefugte unzugänglich machen,
2. durch nachträgliche Maßnahmen sichergestellt ist, dass das hohe Risiko voraussichtlich nicht mehr besteht, oder
3. die Benachrichtigung mit unverhältnismäßigem Aufwand verbunden wäre – dann genügt eine öffentliche Bekanntmachung oder ähnliche Maßnahme.
Praxistipp: Makler sollten für den Ernstfall einen Musterbrief/-e-Mail-Text für die Betroffenenbenachrichtigung vorbereitet haben, um im Krisenfall schnell und rechtssicher reagieren zu können. Die Entscheidung, ob ein "hohes Risiko" vorliegt, sollte dokumentiert werden – idealerweise gemeinsam mit einem Datenschutzbeauftragten oder externen Berater.
Beispiel aus der Praxis
Bei einem Hackerangriff auf das CRM-System eines Maklerbüros werden Ausweiskopien und Einkommensnachweise von 200 Kaufinteressenten entwendet. Da hier ein hohes Risiko für Identitätsdiebstahl besteht, muss der Makler nicht nur die Aufsichtsbehörde informieren, sondern auch alle betroffenen Interessenten unverzüglich persönlich benachrichtigen.
Rechtsgrundlage
- Art. 34 DSGVO – Benachrichtigungspflicht der betroffenen Personen bei hohem Risiko durch eine Datenschutzverletzung.
- Art. 33 DSGVO – flankierende Meldepflicht an die Aufsichtsbehörde (72-Stunden-Frist).