German Original (Official) Version
§ 52 BlnDSG Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten
- Hat eine Verletzung des Schutzes personenbezogener Daten voraussichtlich eine erhebliche Gefahr für Rechtsgüter betroffener Personen zur Folge, so hat der Verantwortliche die betroffenen Personen unverzüglich über den Vorfall zu benachrichtigen.
- Die Benachrichtigung nach Absatz 1 hat in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten zu beschreiben und zumindest die in § 51 Absatz 3 Nummer 2 bis 4 genannten Informationen und Maßnahmen zu enthalten.
- Von der Benachrichtigung nach Absatz 1 kann abgesehen werden, wenn
- der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung des Schutzes personenbezogener Daten betroffenen Daten angewandt wurden; dies gilt insbesondere für Vorkehrungen, durch die die Daten für unbefugte Personen unzugänglich gemacht wurden;
- der Verantwortliche durch im Anschluss an die Verletzung getroffene Maßnahmen sichergestellt hat, dass aller Wahrscheinlichkeit nach keine erhebliche Gefahr im Sinne des Absatzes 1 mehr besteht, oder
- dies mit einem unverhältnismäßigen Aufwand verbunden wäre; in diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
- 1Wenn der Verantwortliche die betroffenen Personen über eine Verletzung des Schutzes personenbezogener Daten nicht benachrichtigt hat, kann die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit förmlich feststellen, dass ihrer oder seiner Auffassung nach die in Absatz 3 genannten Voraussetzungen nicht erfüllt sind. 2Hierbei hat sie oder er die Wahrscheinlichkeit zu berücksichtigen, dass die Verletzung eine erhebliche Gefahr im Sinne des Absatzes 1 zur Folge hat.
- Die Benachrichtigung der betroffenen Personen nach Absatz 1 kann unter den in § 42 Absatz 2 genannten Voraussetzungen aufgeschoben, eingeschränkt oder unterlassen werden, soweit nicht die Interessen der betroffenen Person auf Grund der von der Verletzung ausgehenden erheblichen Gefahr im Sinne des Absatzes 1 überwiegen.
English Machine Translated Version
Section 52 Notification of affected persons in the event of breaches of personal data protection
- If a personal data breach is likely to result in a significant risk to the legal interests of data subjects, the controller shall notify the data subjects of the incident without undue delay.
- The notification under subsection (1) shall describe in clear and plain language the nature of the personal data breach and shall contain at least the information and measures referred to in section 51(3)(2) to (4).
- The notification pursuant to paragraph 1 may be dispensed with if
- the controller has implemented appropriate technical and organisational security measures and these measures have been applied to the data concerned by the personal data breach; this applies in particular to measures by which the data have been made inaccessible to unauthorised persons;
- the responsible person has ensured, through measures taken following the breach, that in all likelihood there is no longer a significant risk within the meaning of paragraph 1, or
- this would involve a disproportionate effort; in this case, a public announcement or a similar measure shall be made instead, by which the persons concerned are informed in a comparably effective manner.
- 1If the controller has not notified the data subjects of a personal data breach, the Berlin Commissioner for Data Protection and Freedom of Information may formally determine that, in his or her opinion, the requirements set out in paragraph 3 have not been met. 2In doing so, he or she shall take into account the likelihood that the breach will result in a significant risk within the meaning of paragraph 1.
- Notification of the persons concerned in accordance with subsection (1) may be postponed, restricted or omitted under the conditions specified in section 42(2), unless the interests of the person concerned are overriding on account of the significant risk posed by the breach within the meaning of subsection (1).
Previous: 51 BlnDSG Meldung von Verletzungen des Schutzes personenbezogener Daten an die Berliner Beauftragte oder den Berliner Beauftragten für Datenschutz und Informationsfreiheit — Reporting personal data breaches to the Berlin Commissioner for Data Protection and Freedom of Information (Berliner Beauftragte oder Berliner Beauftragter für Datenschutz und Informationsfreiheit)
Next: 53 BlnDSG Durchführung einer Datenschutz-Folgenabschätzung — Conducting a data protection impact assessment