(1) Hat eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so hat der Verantwortliche die betroffenen Personen unverzüglich über den Vorfall zu benachrichtigen.
(2) Die Benachrichtigung nach Absatz 1 hat in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten zu beschreiben und zumindest die in § 21 Abs. 3 Nrn. 2 bis 4 genannten Informationen und Maßnahmen zu enthalten.
(3) Von der Benachrichtigung nach Absatz 1 kann abgesehen werden, wenn
2. |
der Verantwortliche durch im Anschluss an die Verletzung getroffene Maßnahmen sichergestellt hat, dass aller Wahrscheinlichkeit nach kein hohes Risiko im Sinne des Absatzes 1 mehr besteht, oder |
(4) 1Wenn der Verantwortliche die betroffenen Personen über eine Verletzung des Schutzes personenbezogener Daten nicht benachrichtigt hat, kann der Landesbeauftragte für den Datenschutz förmlich feststellen, dass seiner Auffassung nach die in Absatz 3 genannten Voraussetzungen nicht erfüllt sind. 2Hierbei hat er die Wahrscheinlichkeit zu berücksichtigen, dass die Verletzung ein hohes Risiko im Sinne des Absatzes 1 zur Folge hat.
(5) Die Benachrichtigung der betroffenen Personen nach Absatz 1 kann unter den in § 12 Abs. 2 genannten Voraussetzungen aufgeschoben, eingeschränkt oder unterlassen werden, soweit nicht die Interessen der betroffenen Person aufgrund des von der Verletzung ausgehenden hohen Risikos im Sinne des Absatzes 1 überwiegen.
(6) § 21 Abs. 7 findet entsprechende Anwendung.
Dieser Inhalt ist unter anderem im VerwalterPraxis Professional enthalten. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen