Einleitung

Die Datenschutzgrundverordnung (DS-GVO) feierte vor wenigen Monaten ihr einjähriges Bestehen, jedoch sind auch heute noch zahlreiche Fragen ungeklärt. Zu diesen unklaren Bereichen zählt beispielsweise die Meldepflicht des Verantwortlichen bei der Verletzung des Schutzes personenbezogener Daten, gem Art. 33 und Art 34 DS-GVO. Wann liegt eine solche Verletzung vor? Ab welchem Zeitpunkt muss eine Meldung an die Aufsichtsbehörde erfolgen? Hat der Verantwortliche die betroffene(n) Person(en) über die Verletzung des Schutzes der personenbezogenen Daten zu informieren? Welche Daten zählen in diesem Zusammenhang überhaupt zu den „personenbezogenen“ und folglich meldepflichtigen Daten? Der nachfolgende Beitrag soll ein wenig Licht ins Dunkle bringen und aufklären, welche Pflichten den datenschutzrechtlich Verantwortlichen im Falle der Verletzung des Schutzes personenbezogener Daten treffen.

Allgemeines und Zweck der Meldepflicht

Grundsätzlich gilt festzuhalten, dass die DS-GVO in Art 33 eine Meldepflicht im Falle einer Verletzung des Schutzes personenbezogener Daten (Data Breach Notification Duty) an die Aufsichtsbehörde vorsieht. Zweck dieser Regelung ist es, die für den Betroffenen möglichen Schäden so gering wie möglich zu halten. 1Voigt/von dem Bussche, EU-Datenschutz-Grundverordnung (DS-GVO), 85. Die Artikel-29-Datenschutzgruppe hat zu der Meldepflicht nach der DS-GVO Leitlinien erarbeitet. Diese können für die Beurteilung, ob eine Meldepflicht vorliegt herangezogen werden. 2Article 29 Data Protection Working Party, Guidelines on Personal data breach notification under Regulation 2016/769, Oktober 2017, 18/EN WP250re.01.

Die Geldbußen bei Nichteinhaltung der Meldepflicht können mitunter beträchtlich sein. So muss mit Geldstrafen von bis zu € 10 Mio oder (im Falle eines Unternehmens) mit bis zu 2% des gesamten weltweit erzielten Jahresumsatzes gerechnet werden. 3König/Schaupp in Knyrim, DatKomm Art 33 DS-GVO, Rn 4. Hier gilt jeweils das höhere mögliche Bußgeld als Obergrenze. Dass auch letztere Strafandrohung eine erhebliche Summe darstellt liegt auf der Hand. Damit wurden die Strafandrohungen durch die Einführung der DS-GVO verzigfacht; nach alter Rechtslage betrug die mögliche Geldbuße in Deutschland lediglich bis zu € 300.000 (§ 43 Abs 3 BDSG aF). 4Kleinz, Europa lädt das Update hoch, 2, https://www.zeit.de/digital/datenschutz/2018-05/dsgvo-datenschutz-eu-aenderungen/seite-2 (abgerufen am ...continue

Beteiligte Personen

Verantwortlicher und Auftragsverarbeiter

Bezugnehmend auf die Meldepflicht ist der Verantwortliche auch stets der Verpflichtete, die Verletzung des Schutzes der personenbezogenen Daten zu melden. 5Franck in Schwartmann/Jaspers/Thüsing/Kugelmann (Hrsg), DS-GVO/BDSG, Art 33, Rn 52. Dies gilt selbst dann, wenn die Datenverarbeitung (oder ein Teil derselben) auf einen Auftragsverarbeiter im Sinne des Art. 28 DS-GVO ausgelagert wurde. 6König/Schaupp in Knyrim, DatKomm Art 33 DS-GVO, Rn 14. Denn aufgrund der Weisungshoheit des Verantwortlichen bleibt dessen Verantwortlichkeit auch bei der Auftragsverarbeitung bestehen (vgl etwa Art 28 Abs 3 lit a), Art 29 iVm Art 4 Nr 7 DS-GVO). Art 33 Abs 2 DS-GVO konstituiert daher die Pflicht des Auftragsverarbeiters, eine Verletzung des Schutzes personenbezogener Daten an den Verantwortlichen zu melden. Die Meldepflicht gegenüber der Aufsichtsbehörde trifft nur den Verantwortlichen. 7Vgl Art 33 Abs 2 DS-GVO. Verletzt der Auftragsverarbeiter seine Benachrichtigungspflichten gegenüber dem Verantwortlichen, so kann auch ihn allerdings die Zahlung eines Bußgeldes von bis zu € 10 Mio oder 2% des weltweit erzielten Jahresumsatzes treffen. 8Voigt/von dem Bussche, EU-Datenschutz-Grundverordnung (DS-GVO), 85.

Aufsichtsbehörde

Wurde eine Verletzung des Schutzes personenbezogener Daten bekannt, so ist diese der Aufsichtsbehörde grundsätzlich unverzüglich, aber höchstens binnen 72 Stunden nach Bekanntwerden der Verletzung zu melden. Die Behörde kann gegebenenfalls darüber entscheiden, ob die betroffene(n) Person(en) über die Verletzung zu informieren sind oder ob eine solche Benachrichtigung unterbleiben kann. 9König/Schaupp in Knyrim, DatKomm Art 33 DS-GVO, Rn 18. Die bayrische Aufsichtsbehörde ist das Landesamt für Datenschutzaufsicht unter der Leitung des Präsidenten des Landesamts. 10Vgl Art 18 Abs 1 und Abs 3 BayDSG; eine vollständige Liste der Datenschutzaufsichtsbehörden des Bundes und der Länder ist zu finden unter ...continue

Meldepflicht

Verletzung des Schutzes personenbezogener Daten

Was unter einer „Verletzung des Schutzes personenbezogener Daten“ zu verstehen ist, wird in Art 4 Nr. 12 DS-GVO klargestellt: Davon umfasst sind Verletzungen der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung bzw dem unbefugten Zugang zu personenbezogenen Daten führt, die verarbeitet werden. Zu beachten ist, dass sich der Wortlaut nicht auf die unrechtmäßige Offenlegung bzw. den unrechtmäßigen Zugang beschränkt, sondern auch der Verlust sowie die Vernichtung und Veränderung von der Meldepflicht umfasst sind.

Meldezeitpunkt bzw -zeitraum

Art 33 Abs 1 DS-GVO normiert eine grundsätzlich unverzügliche Meldepflicht, jedoch räumt sie dem Verantwortlichen einen Zeitraum von 72 Stunden ein, diese Verletzung anzuzeigen bzw. bekannt zu geben. Diese 72-Stundenfrist beginnt ab Bekanntwerden der Verletzung des Schutzes. Bemerkenswert ist, dass der Wortlaut eine Meldung „möglichst“ binnen 72 Stunden vorsieht. Zumindest hat der Verantwortliche eine verzögerte Meldung zu begründen, vgl Art 33 Abs 1 S 2 DS-GVO. 11Vgl Art 33 Abs 1 DS-GVO. Die Artikel-29-Datenschutzgruppe ging davon aus, dass dem Verantwortlichen ein Vorfall „bekannt“ ist, wenn er mit hinreichender Gewissheit davon ausgehen kann, dass ein Sicherheitsvorfall aufgetreten ist, der für die Verletzung des Schutzes personenbezogener Daten ursächlich ist. 12Article 29 Data Protection Working Party, Guidelines on Personal data breach notification under Regulation 2016/769, Oktober 2017, 18/EN WP250re.01, ...continue Erlangt der Verantwortliche von einem solchen Vorfall Kenntnis, so hat er unverzüglich Untersuchungen durchzuführen und festzustellen, ob tatsächlich personenbezogene Daten betroffen sind und gegebenenfalls welche Maßnahmen ergriffen werden können um dem entgegenzuwirken. 13König/Schaupp in Knyrim, DatKomm Art 33 DS-GVO, Rn 42 f. Der Verordnungsgeber geht offensichtlich davon aus, dass 72 Stunden eine ausreichende Zeitspanne bieten, die Verletzung des Schutzes der Daten mit Sicherheit feststellen zu können.

Der Verantwortliche ist jedoch nicht dazu verpflichtet, der Aufsichtsbehörde sämtliche Informationen gesammelt binnen 72 Stunden zu übermitteln, da dies bei besonderer Schwere und Komplexität der Verletzung nahezu unmöglich ist. So wird ihm gem Art 33 Abs 4 DS-GVO die Möglichkeit eingeräumt, die Informationen schrittweise zur Verfügung zu stellen, was ihm ausreichend Zeit verschaffen soll, die gesamten Auswirkungen des Data Breach zu ermitteln. 14Voigt/von dem Bussche, EU-Datenschutz-Grundverordnung (DS-GVO), 87.

Risikobewertung

Sobald der Verantwortliche den Data Breach bemerkt, so hat er das dadurch entstehende Risiko zu bewerten. Eine solche Risikobewertung kann Klarheit darüber verschaffen, ob ein Vorfall der Aufsichtsbehörde zu melden ist, da die Meldepflicht entfällt, wenn die Verletzung des Schutzes personenbezogener Daten nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Im Umkehrschluss ergibt sich, dass der Verantwortliche die Meldung in jedem Fall vorzunehmen hat, bei dem mit einem Risiko für die Rechte und Freiheiten natürlicher Personen zu rechnen ist. Von einem solchen Risiko umfasst sind mögliche Schäden (sowohl materielle als auch immaterielle wie auch physische) für die Person, die von der Verletzung betroffen ist. 15Franck in Schwartmann/Jaspers/Thüsing/Kugelmann (Hrsg), DS-GVO/BDSG, Art 33, Rn 44; Voigt/von dem Bussche, EU-Datenschutz-Grundverordnung (DS-GVO), ...continue Als Beispiel dienen nicht nur wirtschaftliche Verluste, Identitätsdiebstahl oder dergleichen, sondern auch Diskriminierung und möglicher Reputationsverlust. Bei der Risikobewertung miteinzubeziehen sind sowohl Eintrittswahrscheinlichkeit als auch Schwere des Risikos. 16König/Schaupp in Knyrim, DatKomm Art 33 DS-GVO, Rn 29 f.

Grundsätzlich gilt: Je sensibler die Daten, desto wahrscheinlicher ist der Eintritt eines Schadens für die betroffene Person. 17Risikobeurteilung bei Datenschutzvorfällen, https://www.datenschutzbeauftragter-info.de/risikobeurteilung-bei-datenschutzvorfaellen/ (abgerufen am ...continue) In die Bewertung miteinzubeziehen ist eine mögliche Identifikation der betroffenen Person. Wurden personenbezogene Daten zuvor pseudonymisiert, anonymisiert oder verschlüsselt, ist die Wahrscheinlichkeit des Schadenseintritts geringer. 18Specht/Mantz, Handbuch europäisches und deutsches Datenschutzrecht, § 3 Vorgaben der Datenschutz-Grundverordnung, Rn 169. Gelingt es dem Verantwortlichen, die Wahrscheinlichkeit des Risikos auf ein Minimum zu reduzieren oder gänzlich einzudämmen, so kann die Meldung an die Aufsichtsbehörde entfallen. 19Wlk-Rosenstingl, Datenpanne-Data Breach Notification Duty des Verantwortlichen gemäß DS-GVO aus Sicht der Art. 29-Datenschutzgruppe (Teil III), ...continue Die Artikel-29-Datenschutzgruppe führt als Beispiel einer Datenschutzverletzung, die voraussichtlich nicht mit einem Risiko für die betroffenen Personen verbunden ist, solche Daten an, die bereits öffentlich verfügbar sind und deren Offenlegung demzufolge kein Risiko für den Betroffenen darstellt. 20Article 29 Data Protection Working Party, Guidelines on Personal data breach notification under Regulation 2016/769, Oktober 2017, 18/EN WP250re.01, ...continue

Ebenfalls in die Bewertung einzufließen hat die Zahl der betroffenen Personen. Je mehr Personen betroffen sind, desto größer können die Auswirkungen und möglichen Schäden sein. 21König/Schaupp in Knyrim, DatKomm Art 33 DS-GVO, Rn 38.

Maßnahmen

Tritt tatsächlich ein Zwischenfall ein, der den Schutz der personenbezogenen Daten verletzt, so hat der Verantwortliche über die Meldung des Zwischenfalls hinausgehende Maßnahmen zu treffen. Empfehlenswert ist die Einrichtung interner Prozesse, um Datenpannen rechtzeitig erkennen und – wenn möglich – beheben zu können. 22König/Schaupp in Knyrim, DatKomm Art 33 DS-GVO, Rn 45 ff; so auch nachfolgend. Für die Praxis wird empfohlen, eigene Teams einzusetzen, die mögliche Vorfälle rascher feststellen und im besten Fall beheben können. Der Verantwortliche hat darüber hinaus dafür zu sorgen, dass die Verletzung des Schutzes personenbezogener Daten behoben wird. Wird im Zuge der Untersuchung festgestellt, dass eine Verletzung tatsächlich erfolgt ist, so hat der Verantwortliche die Aufsichtsbehörde darüber zu informieren und gegebenenfalls auch die betroffenen Personen.

Mindestinhalt der Meldung und Dokumentation

Art 33 Abs 3 DS-GVO schreibt den Mindestinhalt vor, den eine Meldung über die Verletzung des Schutzes personenbezogener Daten zu enthalten hat. So hat der Verantwortliche die Art der Verletzung anzugeben, ebenso wie die ungefähre Zahl der betroffenen Personen und Datensätze sowie die betroffene(n) Kategorie(n) von Daten. Des Weiteren hat er Name und Kontaktdaten des Datenschutzbeauftragten anzugeben und eine Beschreibung der voraussichtlichen Folgen der Verletzung des Schutzes (soweit erkenn- bzw absehbar). Außerdem hat er die von ihm ergriffenen (oder vorgeschlagenen) Maßnahmen anzuführen, die der Verletzung des Schutzes entgegenwirken sollen. Da in Abs 3 ausdrücklich lediglich die Mindestinformationen normiert werden, liegt es im Ermessen des Verantwortlichen weitere Informationen zur Verfügung zu stellen. 23Article 29 Data Protection Working Party, Guidelines on Personal data breach notification under Regulation 2016/769, Oktober 2017, 18/EN WP250re.01, ...continue Aus der DS-GVO ergibt sich keine Formvorschrift, jedoch empfiehlt es sich, die Meldung in schriftlicher oder elektronische Form abzugeben. 24König/Schaupp in Knyrim, DatKomm Art 33 DS-GVO, Rn 27.

Der Verantwortliche hat sämtliche Verstöße bzw Verletzungen zu dokumentieren; dies gilt unabhängig von einer etwaigen Meldepflicht. 25Voigt/von dem Bussche, EU-Datenschutz-Grundverordnung (DS-GVO), 89.

Benachrichtigung der betroffenen Personen

Allgemein und Zweck

Kommt der Verantwortliche im Rahmen der Risikobewertung  zu dem Schluss, dass das Risiko für die Rechte und Freiheiten einer natürlichen Person ein hohes ist (was nach der Artikel-29-Datenschutzgruppe gegeben ist, wenn der Eintritt des Schadens für diese als wahrscheinlich gilt), so ist er dazu verpflichtet, die betroffenen Personen von der Verletzung des Schutzes der personenbezogenen Daten in Kenntnis zu setzen. 26Franck in Schwartmann/Jaspers/Thüsing/Kugelmann (Hrsg), DS-GVO/BDSG, Art 34, Rn 3 f.

Im Gegenzug zur Frist in Art 33 Abs 1 DS-GVO hat die Benachrichtigung der Betroffenen unverzüglich zu erfolgen. 27Vgl Art 34 Abs 1 DS-GVO. Unverzüglich bedeutet, dass die Benachrichtigung grundsätzlich „ohne unangemessene Verzögerung“ („without undue delay“) zu erfolgen hat, also so schnell wie möglich. 28König/Schaupp in Knyrim, DatKomm Art 34 DS-GVO, Rn 18. Dies bedeutet gleichzeitig auch, dass der Verantwortliche bei der Benachrichtigung nicht an die 72-Stundenfrist gebunden ist, sondern, dass die Benachrichtigung unter Umständen später erfolgen kann, wenn notwendig, auch erst nach 72 Stunden. 29Franck in Schwartmann/Jaspers/Thüsing/Kugelmann (Hrsg), DS-GVO/BDSG, Art 34, Rn 38. Unverzüglichkeit bedeutet in diesem Fall also, dass zusätzliche Bestimmungskriterien einzubeziehen sind. 30Franck in Schwartmann/Jaspers/Thüsing/Kugelmann (Hrsg), DS-GVO/BDSG, Art 34, Rn 8. ErwG 86 und ErwG 88 der DS-GVO rechtfertigen eine solche spätere Benachrichtigung beispielsweise, wenn eine Strafverfolgungsbehörde Untersuchungen durchführt und eine frühere Benachrichtigung diese Untersuchungen gefährden könnte. ErwG 86 stellt jedoch auch klar, dass der Betroffene grundsätzlich sofort zu benachrichtigen ist und eine verzögerte Benachrichtigung nur in Ausnahmefällen erfolgen soll, um möglicherweise eintretende Schäden so gering wie möglich zu halten. 31Vgl ErwG 86 und 88 DS-GVO.

Hinsichtlich des Inhalts der Benachrichtigung verweist Art 34 Abs 2 DS-GVO im Wesentlichen auf Art 33 Abs 3 DS-GVO. Die Benachrichtigung muss somit Name und Kontaktdaten des Datenschutzbeauftragten enthalten, ebenso wie die voraussichtlichen Folgen und die vom Verantwortlichen ergriffenen Maßnahmen zur Wiederherstellung des vorigen Zustandes. 32Vgl Art 34 Abs 2 iVm Art 33 Abs 3 DS-GVO.

Ausnahmetatbestände

In Art 34 Abs 3 DS-GVO werden Ausnahmetatbestände normiert, die den Verantwortlichen von der Benachrichtigungspflicht befreien. Der Verantwortliche ist demnach befreit, wenn er geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen Daten angewendet wurden. Diese Sicherheitsvorkehrungen werden in Art 32 Abs 1 DS-GVO normiert und konkretisieren bzw verschärfen die Pflichten des Verantwortlichen in jener Hinsicht, dass er geeignete technische und organisatorische Maßnahmen – unter Berücksichtigung der Implementierungskosten, des Standes der Technik, der Eintrittswahrscheinlichkeit sowie der Schwere des Risikos als auch der Rechte und Freiheiten natürlicher Personen – zu treffen hat, um den Schutz der personenbezogenen Daten zu gewährleisten. 33Vgl Art 32 Abs 1 DS-GVO. Des Weiteren muss er die Betroffenen nicht benachrichtigen, wenn durch die getroffenen Maßnahmen sichergestellt werden kann, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen nach aller Wahrscheinlichkeit nicht mehr besteht. Wäre die Benachrichtigung mit einem unverhältnismäßig hohen Aufwand verbunden, so kann die Benachrichtigung ebenso unterbleiben, allerdings müssen die betroffenen Personen stattdessen durch eine öffentliche Bekanntmachung oder ähnliche Maßnahme informiert werden. 34Vgl Art 34 Abs 3 DS-GVO.

Das deutsche BDSG normiert in § 29 darüber hinaus, dass die Benachrichtigungspflicht für den Verantwortlichen aus Geheimhaltungsgründen entfallen kann. Darunter zu verstehen ist der Fall, in dem durch die Benachrichtigung Informationen offenbart werden würden, die aufgrund des überwiegenden Interesses eines Dritten geheim gehalten werden müssen. 35§ 29 Abs 1 BDSG; Voigt/von dem Bussche, EU-Datenschutzgrundverordnung (DS-GVO), 90.

Fazit

Die Umstände, unter denen eine Verletzung des Schutzes der personenbezogenen Daten zu melden ist, können nicht klar und eindeutig definiert werden; eine mögliche Meldepflicht hängt stets von den Umständen des Einzelfalls ab. Empfehlenswert ist die laufende Kontrolle der Verarbeitung der personenbezogenen Daten, um einen Data Breach so früh wie möglich zu erkennen und Maßnahmen zur Minimierung des Risikos ergreifen zu können. Hinsichtlich der Risikobewertung hat der Verantwortliche insofern einen Ermessensspielraum, als dass ihm die Beurteilung überlassen ist, ob durch die Verletzung ein Risiko für die betroffenen Personen entstanden ist oder nicht. Kommt er zu dem Schluss, dass ein solches Risiko nicht vorliegt, so haftet er für den Fall, dass die Aufsichtsbehörde Kenntnis von dem Vorfall erlangt und zu dem Schluss kommt, dass dieser zu melden gewesen wäre.

In Anbetracht dieser Tatsache empfiehlt es sich wohl für die Praxis, Vorfälle, deren Risikogehalt nicht eindeutig ist, „vorsichtshalber“ zu melden, um nicht möglicherweise im Nachhinein bußgeldpflichtig zu werden. Angesichts der hohen Bußgeldandrohung mag sich ein potenzieller Reputationsverlust des Unternehmens dennoch als das geringere Übel erweisen.

Referenzen   [ + ]

1. Voigt/von dem Bussche, EU-Datenschutz-Grundverordnung (DS-GVO), 85.
2. Article 29 Data Protection Working Party, Guidelines on Personal data breach notification under Regulation 2016/769, Oktober 2017, 18/EN WP250re.01.
3. König/Schaupp in Knyrim, DatKomm Art 33 DS-GVO, Rn 4.
4. Kleinz, Europa lädt das Update hoch, 2, https://www.zeit.de/digital/datenschutz/2018-05/dsgvo-datenschutz-eu-aenderungen/seite-2 (abgerufen am 18.07.2019).
5. Franck in Schwartmann/Jaspers/Thüsing/Kugelmann (Hrsg), DS-GVO/BDSG, Art 33, Rn 52.
6. König/Schaupp in Knyrim, DatKomm Art 33 DS-GVO, Rn 14.
7. Vgl Art 33 Abs 2 DS-GVO.
8. Voigt/von dem Bussche, EU-Datenschutz-Grundverordnung (DS-GVO), 85.
9. König/Schaupp in Knyrim, DatKomm Art 33 DS-GVO, Rn 18.
10. Vgl Art 18 Abs 1 und Abs 3 BayDSG; eine vollständige Liste der Datenschutzaufsichtsbehörden des Bundes und der Länder ist zu finden unter https://www.datenschutzkonferenz-online.de/datenschutzaufsichtsbehoerden.html (abgerufen am 18.07.2019).
11. Vgl Art 33 Abs 1 DS-GVO.
12. Article 29 Data Protection Working Party, Guidelines on Personal data breach notification under Regulation 2016/769, Oktober 2017, 18/EN WP250re.01, 12.
13. König/Schaupp in Knyrim, DatKomm Art 33 DS-GVO, Rn 42 f.
14. Voigt/von dem Bussche, EU-Datenschutz-Grundverordnung (DS-GVO), 87.
15. Franck in Schwartmann/Jaspers/Thüsing/Kugelmann (Hrsg), DS-GVO/BDSG, Art 33, Rn 44; Voigt/von dem Bussche, EU-Datenschutz-Grundverordnung (DS-GVO), 88; vgl Art 33 Abs 1 DS-GVO.
16. König/Schaupp in Knyrim, DatKomm Art 33 DS-GVO, Rn 29 f.
17. Risikobeurteilung bei Datenschutzvorfällen, https://www.datenschutzbeauftragter-info.de/risikobeurteilung-bei-datenschutzvorfaellen/ (abgerufen am 18.07.2019
18. Specht/Mantz, Handbuch europäisches und deutsches Datenschutzrecht, § 3 Vorgaben der Datenschutz-Grundverordnung, Rn 169.
19. Wlk-Rosenstingl, Datenpanne-Data Breach Notification Duty des Verantwortlichen gemäß DS-GVO aus Sicht der Art. 29-Datenschutzgruppe (Teil III), Dako 2018/47, 84 f.
20. Article 29 Data Protection Working Party, Guidelines on Personal data breach notification under Regulation 2016/769, Oktober 2017, 18/EN WP250re.01, 21.
21. König/Schaupp in Knyrim, DatKomm Art 33 DS-GVO, Rn 38.
22. König/Schaupp in Knyrim, DatKomm Art 33 DS-GVO, Rn 45 ff; so auch nachfolgend.
23. Article 29 Data Protection Working Party, Guidelines on Personal data breach notification under Regulation 2016/769, Oktober 2017, 18/EN WP250re.01, 17 f.
24. König/Schaupp in Knyrim, DatKomm Art 33 DS-GVO, Rn 27.
25. Voigt/von dem Bussche, EU-Datenschutz-Grundverordnung (DS-GVO), 89.
26. Franck in Schwartmann/Jaspers/Thüsing/Kugelmann (Hrsg), DS-GVO/BDSG, Art 34, Rn 3 f.
27. Vgl Art 34 Abs 1 DS-GVO.
28. König/Schaupp in Knyrim, DatKomm Art 34 DS-GVO, Rn 18.
29. Franck in Schwartmann/Jaspers/Thüsing/Kugelmann (Hrsg), DS-GVO/BDSG, Art 34, Rn 38.
30. Franck in Schwartmann/Jaspers/Thüsing/Kugelmann (Hrsg), DS-GVO/BDSG, Art 34, Rn 8.
31. Vgl ErwG 86 und 88 DS-GVO.
32. Vgl Art 34 Abs 2 iVm Art 33 Abs 3 DS-GVO.
33. Vgl Art 32 Abs 1 DS-GVO.
34. Vgl Art 34 Abs 3 DS-GVO.
35. § 29 Abs 1 BDSG; Voigt/von dem Bussche, EU-Datenschutzgrundverordnung (DS-GVO), 90.