(1) Ist anzunehmen, dass durch die Verletzung des Schutzes personenbezogener Daten die personenbezogenen Daten eines Teilnehmers oder einer Person oder deren Privatsphäre beeinträchtigt werden, so benachrichtigt der Betreiber zusätzlich zu der Benachrichtigung gemäß Artikel 2 auch den Teilnehmer bzw. die Person von der Verletzung.
(2) Ob eine Verletzung des Schutzes personenbezogener Daten wahrscheinlich die personenbezogenen Daten oder die Privatsphäre eines Teilnehmers oder einer Person beeinträchtigt, wird insbesondere unter Berücksichtigung folgender Umstände beurteilt:
a) |
Art und Inhalt der betroffenen personenbezogenen Daten, insbesondere wenn diese finanzielle Informationen, besondere Datenkategorien gemäß Artikel 8 Absatz 1 der Richtlinie 95/46/EG sowie Standortdaten, Internet-Protokolldateien, Webbrowser-Verläufe, E-Mail-Daten und Aufstellungen von Einzelverbindungen betreffen; |
b) |
die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten für den betroffenen Teilnehmer oder die betroffene Person, insbesondere wenn die Verletzung einen Identitätsdiebstahl oder Betrug, eine physische Schädigung, ein psychisches Leid, eine Demütigung oder Rufschädigung zur Folge haben könnte; |
c) |
die Umstände der Verletzung des Schutzes personenbezogener Daten, insbesondere wenn die Daten gestohlen wurden oder wenn der Betreiber weiß, dass die Daten im Besitz eines unbefugten Dritten sind. |
(3) Die Benachrichtigung des Teilnehmers oder der Person muss ohne unangemessene Verzögerung nach Feststellung der Verletzung des Schutzes personenbezogener Daten gemäß Artikel 2 Absatz 2 dritter Unterabsatz erfolgen. Sie erfolgt unabhängig von der Meldung der Verletzung des Schutzes personenbezogener Daten bei der zuständigen nationalen Behörde gemäß Artikel 2.
(4) In seiner Benachrichtigung des Teilnehmers oder der Person macht der Betreiber die in Anhang II genannten Angaben. Die Benachrichtigung des Teilnehmers oder der Person muss in einer sprachlich klaren und leicht verständlichen Weise erfolgen. Der Betreiber darf die Benachrichtigung nicht als Gelegenheit zur Verkaufsförderung oder Werbung für neue oder zusätzliche Dienste nutzen.
(5) Unter außergewöhnlichen Umständen, unter denen die ordnungsgemäße Untersuchung der Verletzung des Schutzes personenbezogener Daten durch die Benachrichtigung des Teilnehmers oder der Person gefährdet würde, kann der Betreiber nach Zustimmung der zuständigen nationalen Behörde die Benachrichtigung des Teilnehmers oder der Person aufschieben, bis die zuständige nationale Behörde eine Benachrichtigung von der Verletzung des Schutzes personenbezogener Daten gemäß diesem Artikel für möglich hält.
(6) Der Betreiber benachrichtigt den Teilnehmer oder die Person von der Verletzung des Schutzes personenbezogener Daten mit Hilfe von Kommunikationsmitteln, die einen zügigen Empfang der Informationen gewährleisten und nach dem Stand der Technik angemessen gesichert sind. Die Informationen über die Verletzung müssen sich ausschließlich auf die Verletzung beziehen und dürfen nicht mit Informationen zu anderen Themen verbunden werden.
(7) Kann der Betreiber, der in einem direkten Vertragsverhältnis zum Endnutzer steht, obwohl er hierzu alle zumutbaren Anstrengungen unternommen hat, innerhalb der in Absatz 3 genannten Frist nicht alle Personen ermitteln, die von der Verletzung des Schutzes personenbezogener Daten wahrscheinlich beeinträchtigt werden, so kann er diese Personen durch Bekanntmachungen in großen nationalen oder regionalen Medien der betreffenden Mitgliedstaaten innerhalb dieser Frist benachrichtigen. Diese Bekanntmachungen müssen die in Anhang II aufgeführten Angaben erhalten, falls nötig in gekürzter Form. In diesem Fall muss der Betreiber weiterhin alle zumutbaren Anstrengungen unternehmen, um diese Personen zu ermitteln und sie so bald wie möglich mit den in Anhang II aufgeführten Angaben zu benachrichtigen.