(Artikel 30 der Richtlinie (EU) 2016/680)
(1) Der Verantwortliche hat Verletzungen des Schutzes personenbezogener Daten unverzüglich und möglichst innerhalb von 72 Stunden, nachdem ihm diese bekannt wurden, dem Landesbeauftragten für den Datenschutz zu melden, es sei denn, dass die Verletzung voraussichtlich keine Gefahr für die Rechtsgüter natürlicher Personen darstellt. Erfolgt die Meldung an den Landesbeauftragten für den Datenschutz nicht innerhalb von 72 Stunden, ist der Meldung eine Begründung für die Verzögerung beizufügen.
(2) Ein Auftragsverarbeiter hat die Verletzung des Schutzes personenbezogener Daten unverzüglich dem Verantwortlichen zu melden.
(3) Die Meldung nach Absatz 1 enthält zumindest folgende Informationen:
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Anzahl der betroffenen Personen, der betroffenen Kategorien personenbezogener Daten und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze,
- Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Person oder Stelle, die weitere Informationen erteilen kann,
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten und
- eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behandlung der Verletzung des Schutzes personenbezogener Daten und der getroffenen Maßnahmen zur Abmilderung seiner möglichen nachteiligen Auswirkungen.
(4) Wenn die Informationen nicht zur gleichen Zeit bereitgestellt werden können, hat der Verantwortliche diese Informationen unverzüglich schrittweise zur Verfügung zu stellen.
(5) Der Verantwortliche hat Verletzungen des Schutzes personenbezogener Daten nach Absatz 1 einschließlich aller im Zusammenhang mit ihnen stehenden Tatsachen, deren Auswirkungen und der ergriffenen Abhilfemaßnahmen zu dokumentieren.
(6) Soweit von der Verletzung des Schutzes personenbezogener Daten personenbezogene Daten betroffen sind, die von dem oder an den Verantwortlichen in einem anderen Mitgliedstaat der Europäischen Union übermittelt wurden, werden die in Absatz 3 genannten Informationen dem Verantwortlichen in jenem Mitgliedstaat unverzüglich übermittelt.
(7) Weitere Pflichten des Verantwortlichen zur Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten bleiben unberührt.