Eine Information des Betroffenen ist immer dann erforderlich, wenn es zu einer Datenschutzverletzung gekommen ist und aus dieser ein hohes Risiko für die Personen entstanden ist, die von der Datenschutzverletzung betroffen sind.

Eine solche mit hohem Risiko behaftete Datenschutzverletzung liegt immer dann vor, wenn es zu einer Verletzung der Datensicherheit gekommen ist (z.B. Hackerangriff) und hierdurch ein Risiko entstanden ist, z.B. weil der Hacker auf die freiliegenden Daten nachweislich zugegriffen hat und es sich um Daten handelt, die einen merklichen Persönlichkeitseingriff ermöglichen (z.B. Identitätsdiebstahl, Erpressung, Bewerbung der Person). In einem solchen Fall muss neben einer Information der für das Unternehmen zuständigen Datenschutzaufsicht auch eine unverzügliche Information der Betroffenen erfolgen. Zu den gesetzlich definierten zu übermittelnden Informationen zählen:

• Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
• Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
• Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Zusätzlich zur Meldepflicht muss der Verantwortliche jede Verletzung des Schutzes personenbezogener Daten dokumentieren (einschließlich Beschreibung, Auswirkungen der Verletzung und ergriffene Abhilfemaßnahmen).

Die Meldung einer Datenschutzverletzung muss von dem Verantwortlichen vorgenommen werden. Erfolgt die Datenschutzverletzung auf Seiten des Auftragsverarbeiters, ist dieser verpflichtet, den Verantwortlichen darüber zu informieren. Die Frist für eine solche Benachrichtigung des Auftragsverarbeiters wird in der Regel in einer Vereinbarung zur Auftragsverarbeitung festgelegt.