Hat die Risikoprognose ergeben, dass ein Risiko besteht, stellt sich die Frage nach Inhalt und Form der Meldung und Benachrichtigung. Die Meldung gegenüber der Aufsichtsbehörde muss dabei die folgenden Punkte umfassen:
- Beschreibung der Art der Verletzung (z. B. Datenverlust)
- Kategorien von Betroffenen (z. B. Mitarbeiter, Kunden, Lieferanten)
- (Ungefähre) Anzahl der Betroffenen, Kategorien von Datensätzen und ungefähre Anzahl der betroffenen Datensätze (z. B. Datensätze von 351 Kunden und 26 Mitarbeitern betroffen, darunter Anzahl x besonders schützenswerte Daten)
- Name und Kontaktdaten des Datenschutzbeauftragten (DSB) oder sonstiger Anlaufstelle (z. B. Qualitätsmanager)
- Beschreibung der wahrscheinlichen Folgen der Schutzverletzung (z. B. finanzielle Nachteile durch unbefugte Offenlegung von Bank- und Kreditkartendaten)
- Beschreibung ergriffener und vorgeschlagener Maßnahmen, um die Schutzverletzung zu "beheben" und um mögliche Folgen abzumildern
- Welche Maßnahmen wurden bereits ergriffen zur Reduzierung welchen Risikos und welcher Schutzverletzung? Beispiel: Zur Reduzierung physischer Schäden durch den nicht avisierten Datenverlust der Patientenakten wurde ein Datenwiederherstellungsverfahren angewandt, wodurch die Daten zu X Prozent wiederhergestellt werden konnten.
- Welche Maßnahmen wurden – etwa aus zeitlichen Gründen – noch nicht ergriffen, können aber das Risiko weiter reduzieren?
Es ist jedoch nicht erforderlich, dass alle Informationen, die in der Meldung an die Aufsichtsbehörde enthalten sein müssen, gleich nach Feststellung der Schutzverletzung vorliegen. Die Meldung muss nämlich nicht zwingend als Ganzes in einem Paket erfolgen. Art. 33 Abs. 4 DSGVO gestattet ein stufenweises Vorgehen. Das ist praxisgerecht, da nur in seltenen Fällen gleich zu Beginn alle relevanten Informationen über die Schutzverletzung vorliegen dürften. So kann etwa das Schadensausmaß eines IT-Angriffs häufig erst sukzessive ermittelt werden.
Nach Art einer "Erstmeldung" kann es erforderlich sein, weitere Meldungen an die Aufsichtsbehörde zu schicken. Immer dann, wenn neue Informationen bekannt werden, sind diese in einer Folgemeldung weiterzugeben, die einen Verweis auf vorausgehende Meldungen enthält.
Die kumulative Meldung zieht sozusagen eine "Ermittlungspflicht" des Verantwortlichen nach sich, bis alle Informationen zusammengetragen sind, die die Aufsichtsbehörde benötigt, um den Vorfall zu prüfen.