(1) Der Verantwortliche hat eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst innerhalb von 72 Stunden, nachdem sie ihm bekannt geworden ist, der oder dem Bundesbeauftragten zu melden, es sei denn, dass die Verletzung voraussichtlich keine Gefahr für die Rechtsgüter natürlicher Personen mit sich gebracht hat. Erfolgt die Meldung an die Bundesbeauftragte oder den Bundesbeauftragten nicht innerhalb von 72 Stunden, so ist die Verzögerung zu begründen.
(2) Ein Auftragsverarbeiter hat eine Verletzung des Schutzes personenbezogener Daten unverzüglich dem Verantwortlichen zu melden.
(3) Die Meldung nach Absatz 1 hat zumindest folgende Informationen zu enthalten: 1. eine Beschreibung der Art der Verletzung, soweit möglich mit Angaben zu den Kategorien und der ungefähren Anzahl der betroffenen Personen und Datensätze, 2. den Namen und die Kontaktdaten der oder des Datenschutzbeauftragten oder einer sonstigen Kontaktperson, 3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung und 4. eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behandlung der Verletzung.
(4) Wenn die Informationen nach Absatz 3 nicht zusammen mit der Meldung übermittelt werden können, hat der Verantwortliche sie unverzüglich nachzureichen.
(5) Der Verantwortliche hat Verletzungen des Schutzes personenbezogener Daten zu dokumentieren.
(6) Soweit von einer Verletzung personenbezogene Daten betroffen sind, die von einem oder an einen Verantwortlichen in einem anderen Mitgliedstaat übermittelt wurden, sind die Informationen nach Absatz 3 dem dortigen Verantwortlichen unverzüglich zu übermitteln.
(7) § 42 Absatz 4 findet entsprechende Anwendung.
(8) Weitere Pflichten des Verantwortlichen zu Benachrichtigungen über Verletzungen des Schutzes personenbezogener Daten bleiben unberührt.