Meldung an die Aufsichtsbehörde
Im Falle einer Datenschutzverletzung, welche zu einem Risiko der Rechte und Freiheiten natürlicher Personen führt, „möglichst“ binnen 72 Stunden an die Aufsichtsbehörde. Anderenfalls ist ihr eine Begründung vorzulegen, warum diese Frist nicht eingehalten wurde. Das gleiche gilt für Auftragsverarbeiter in Bezug auf den Verantwortlichen.
Eine solche Meldung umfasst zu mindestens die folgenden Informationen
- Art der Datenschutzverletzung (inkl. Kategorien und Anzahl der Datensätze)
- Kontaktdaten des Datenschutzbeauftragten
- Wahrscheinliche Folgen der Verletzung
- Ergriffene oder vorgeschlagene Maßnahmen zur Behebung
Diese Informationen können auch schrittweise, also bei neuen Erkenntnissen, zur Verfügung gestellt werden. Der Verantwortliche erstellt eine Dokumentation der Verletzung und Auswirkungen, die der Aufsichtsbehörde eine Überprüfung auf Einhaltung des Artikels 33 ermöglicht.
Der Verantwortliche benachrichtigt auch die betroffenen Personen, wenn die Verletzung ein hohes Risiko für Rechte und Freiheiten der Betroffenen erzeugt, in klarer und einfacher Sprache. Diese Benachrichtigung enthält wenigstens die in den Ziffern 2 – 4 genannten Angaben dieses Abschnitts.
Diese Benachrichtigung entfällt, wenn die Daten z. B. vorher verschlüsselt wurden, nach dem Vorfall Maßnahmen zur Verringerung des Risikos der Rechte und Freiheiten der Betroffenen ergriffen wurden oder dies einen unverhältnismäßigen Aufwand bedeutet.