Inhaltsverzeichnis
(Zur Übersicht: ThürDSG)
§ 24 Thüringer Datenschutzgesetz
Wortlaut
§ 1 Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
(Artikel 34 der Verordnung (EU) 2016/679 )
Der Verantwortliche kann von der Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person absehen, soweit und solange
1. die Information die öffentliche Sicherheit gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde,
2. die personenbezogenen Daten oder die Tatsache ihrer Verarbeitung nach einer Rechtsvorschrift oder wegen der Rechte und Freiheiten anderer Personen geheim zu halten sind,
3. dies zur Verfolgung von Straftaten oder Ordnungswidrigkeiten notwendig ist oder
4. die Information die Sicherheit von IT-Systemen gefährden würde.
Artikel 34 Abs. 3 der Verordnung (EU) 2016/679 bleibt davon unberührt.
Amtliche Gesetzesbegründung
Zu § 24
Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (Artikel 34 der Verord-nung (EU) 2016/679)
§ 24 regelt in Anwendung von Artikel 23 der Verordnung (EU) 2016/679 weitere Ausnahmen von der Benachrichtigungspflicht gegenüber der betroffenen Person und ergänzt §§ 20 Abs. 1 und 21 Abs. 1. Wenn bereits eine Information oder Auskunft über die Datenverarbeitung an die betroffene Person aus bestimmten Gründen nicht erfolgt, so muss dasselbe auch für die Benachrichtigungspflicht gelten.
Satz 1 benennt die Fallkonstellationen, in denen eine Benachrichtigung von der Verletzung des Schutzes personenbezogener Daten der betrof-fenen Personen unterbleiben kann. Eine Ausnahme von der Benachrichtigungspflicht muss sich aber immer daran messen lassen, ob sie in dem Umfang tatsächlich inhaltlich und zu dem Zeitpunkt erforderlich und angemessen ist. Die unbedingte, also zeitlich unbegrenzte und inhaltlich allumfassende Ausnahme von der Benachrichtigungspflicht kann daher nur die letzte aller möglichen Maßnahmen sein, die Information nach Artikel 34 der Verordnung (EU) 2016/679 einzuschränken („soweit und solange“).
Zu Nummer 1 bis 3:
Die Nummern 1 bis 3 entsprechen den Regelungen in § 20 Abs. 1 und § 21 Abs. 1.
Zu Nummer 4:
Nummer 4 enthält unabhängig von den Tatbeständen der §§ 20 Abs. 1 und 21 Abs. 1 eine weitere Ausnahme von der Benachrichtigungspflicht für den Fall, dass durch die Benachrichtigung die Sicherheit von IT-Sys-temen gefährdet wird. Erfasst sind Sachverhalte, in denen eine Daten-verarbeitung fehlerhaft und damit der Schutz personenbezogener Daten nicht erfolgreich war. Durch die Offenbarung punktueller oder großflächi-gerer Schutzlücken gegenüber den betroffenen Personen könnte mög-licherweise das IT-System im Einzelfall von außen (Bsp. Hackerangriff) angreifbar werden.
(Quelle: Thüringer Landtag Drucksache 6/4943, S. 112)