(1) Hat eine Verletzung des Schutzes personenbezogener Daten voraussichtlich eine erhebliche Gefahr für Rechtsgüter betroffener Personen zur Folge, so hat der Verantwortliche die betroffenen Personen unverzüglich über den Vorfall zu benachrichtigen.
(2) Die Benachrichtigung nach Absatz 1 hat in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten zu beschreiben sowie die in § 65 Absatz 3 Nummer 2 bis 4 genannten Informationen und Empfehlungen zu enthalten.
(3) Von der Benachrichtigung kann abgesehen werden, wenn 1. der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat, insbesondere durch Verschlüsselung, 2. der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass die erhebliche Gefahr aller Voraussicht nach nicht mehr besteht, oder 3. die Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden wäre; in diesem Fall ist stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme erforderlich.
(4) Die oder der Bundesbeauftragte kann feststellen, dass die Voraussetzungen für eine Benachrichtigung nach Absatz 3 nicht erfüllt sind.
(5) Die Benachrichtigung der betroffenen Person kann unter den Voraussetzungen des § 56 Absatz 2 aufgeschoben, eingeschränkt oder unterlassen werden, soweit nicht die Interessen der betroffenen Person aufgrund der von der Verletzung ausgehenden erheblichen Gefahr überwiegen.
(6) § 42 Absatz 4 findet entsprechende Anwendung.