(1) Hat eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für Rechtsgüter betroffener Personen zur Folge, so hat der Verantwortliche die betroffenen Personen unverzüglich über den Vorfall zu benachrichtigen.
(2) Die Benachrichtigung nach Absatz 1 hat in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten zu beschreiben und zumindest die in § 54 Abs. 3 Nr. 2 bis 4 genannten Informationen und Maßnahmen zu enthalten.
(3) Von einer Benachrichtigung nach Absatz 1 kann abgesehen werden, wenn
1. |
der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden; dies gilt insbesondere für Vorkehrungen wie Verschlüsselungen, durch die die Daten für unbefugte Personen unzugänglich gemacht wurden, |
2. |
der Verantwortliche durch im Anschluss an die Verletzung getroffene Maßnahmen sichergestellt hat, dass aller Wahrscheinlichkeit nach kein hohes Risiko im Sinne des Absatzes 1 mehr besteht, oder |
3. |
dies mit einem unverhältnismäßigen Aufwand verbunden wäre; in diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden. |
(4) 1Wenn der Verantwortliche die betroffenen Personen über eine Verletzung des Schutzes personenbezogener Daten nicht benachrichtigt hat, kann die oder der Landesbeauftragte für den Datenschutz und die Informationsfreiheit förmlich feststellen, dass ihrer oder seiner Auffassung nach die in Absatz 3 genannten Voraussetzungen nicht erfüllt sind. 2Hierbei hat sie oder er die Wahrscheinlichkeit zu berücksichtigen, dass die Verletzung ein hohes Risiko zur Folge hat.
(5) 1Die Benachrichtigung der betroffenen Person nach Absatz 1 kann unter den in § 44 Abs. 2 genannten Voraussetzungen aufgeschoben, eingeschränkt oder unterlassen werden, soweit nicht die Interessen der betroffenen Person aufgrund der von der Verletzung ausgehenden hohen Risiken überwiegen. 2Bezieht sich die Benachrichtigung auf die Übermittlung personenbezogener Daten an Verfassungsschutzbehörden des Bundes und der Länder, den Bundesnachrichtendienst oder den Militärischen Abschirmdienst, ist sie nur mit Zustimmung dieser Stellen zulässig.
(6) § 42 Abs. 4 BDSG findet entsprechende Anwendung.