Eine Information des Betroffenen ist immer dann erforderlich wenn es zu einer Datenschutzverletzung gekommen ist und aus dieser ein hohes Risiko für die Personen entstanden ist, die von der Datenschutzverletzung betroffen sind.

Eine solche mit hohem Risiko behaftete Datenschutzverletzung liegt immer dann vor, wenn es zu einer Verletzung der Datensicherheit gekommen ist (z.B. Hackerangriff) und hierdurch ein Risiko entstanden ist, z.B. weil der Hacker auf die freiliegenden Daten nachweislich zugegriffen hat und es sich um Daten handelt, die einen merklichen Persönlichkeitseingriff ermöglichen (z.B. Identitätsdiebstahl, Erpressung, Bewerbung). In einem solchen Fall muss neben einer Information der für das Unternehmen zuständigen Datenschutzaufsicht auch eine Information der Betroffenen erfolgen und die gesetzlich definierten Informationen unverzüglich bereitgestellt werden. Hierzu zählen:

• Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
• Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
• Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Zusätzlich zur Meldepflicht muss der Verantwortliche jede Verletzung des Schutzes personenbezogener Daten dokumentieren (einschließlich Beschreibung, Auswirkungen der Verletzung und ergriffene Abhilfemaßnahmen).

Die Meldung einer Datenschutzverletzung muss von dem Verantwortlichen vorgenommen werden. Erfolgt die Datenverletzung auf Seiten des Auftragsverarbeiters, ist dieser verpflichtet, den Verantwortlichen zu informieren. Die Frist für eine solche Benachrichtigung des Auftragsverarbeiters wird in der Regel in einer Vereinbarung zur Auftragsverarbeitung festgelegt.