Sächsisches Gesetz zur Umsetzung der Richtlinie (EU) 2016/680 (Sächsisches Datenschutz-Umsetzungsgesetz - SächsDSUG)
Abschnitt 4 – Pflichten der Verantwortlichen und Auftragsverarbeiter
§ 22 SächsDSUG – Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten
(1) Hat eine Verletzung des Schutzes personenbezogener Daten voraussichtlich eine erhebliche Gefahr für Rechtsgüter betroffener Personen zur Folge, hat der Verantwortliche die betroffenen Personen unverzüglich über den Vorfall zu benachrichtigen.
(2) Die Benachrichtigung nach Absatz 1 hat in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten zu beschreiben und zumindest die Informationen nach § 21 Absatz 3 Nummer 2 bis 4 zu enthalten.
(3) Von der Benachrichtigung nach Absatz 1 kann abgesehen werden, wenn
- 1.
der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung des Schutzes personenbezogener Daten betroffenen personenbezogenen Daten angewandt wurden; dies gilt insbesondere für Vorkehrungen wie eine Verschlüsselung, durch die personenbezogene Daten für unbefugte Personen unzugänglich gemacht wurden,
- 2.
der Verantwortliche durch der Verletzung nachfolgende Maßnahmen sichergestellt hat, dass die erhebliche Gefahr für Rechtsgüter betroffener Personen aller Wahrscheinlichkeit nach nicht mehr besteht, oder
- 3.
dies mit einem unverhältnismäßigen Aufwand verbunden wäre; in diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
(4) Wenn der Verantwortliche die betroffenen Personen nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann der Sächsische Datenschutzbeauftragte unter Berücksichtigung der Wahrscheinlichkeit, dass die Verletzung des Schutzes personenbezogener Daten eine erhebliche Gefahr zur Folge hat, von dem Verantwortlichen verlangen, dies nachzuholen oder feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfüllt sind.
(5) Die Benachrichtigung der betroffenen Personen nach Absatz 1 kann unter den Voraussetzungen nach § 12 Absatz 2 aufgeschoben, eingeschränkt oder unterlassen werden, soweit nicht die Interessen der betroffenen Person auf Grund der von der Verletzung ausgehenden erheblichen Gefahr im Sinne des Absatzes 1 überwiegen. Erfolgte die Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Übermittlung personenbezogener Daten an Verfassungsschutzbehörden, den Bundesnachrichtendienst oder den Militärischen Abschirmdienst, ist eine Benachrichtigung nach Absatz 1 nur mit Zustimmung der Stellen zulässig, an die die Daten übermittelt wurden.
(6) Der Inhalt einer Benachrichtigung nach Absatz 1 darf in einem Strafverfahren oder in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Verantwortlichen oder seine in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen nur mit Zustimmung des Verantwortlichen verwendet werden.
