-
Die Meldung einer Verletzung der Datensicherheit an den EDÖB muss folgende Angaben enthalten:
- die Art der Verletzung;
- soweit möglich den Zeitpunkt und die Dauer;
- soweit möglich die Kategorien und die ungefähre Anzahl der betroffenen Personendaten;
- soweit möglich die Kategorien und die ungefähre Anzahl der betroffenen Personen;
- die Folgen, einschliesslich der allfälligen Risiken, für die betroffenen Personen;
- welche Massnahmen getroffen wurden oder vorgesehen sind, um den Mangel zu beheben und die Folgen, einschliesslich der allfälligen Risiken, zu mindern;
- den Namen und die Kontaktdaten einer Ansprechperson.
- Ist es dem Verantwortlichen nicht möglich, alle Angaben gleichzeitig zu melden, so liefert er die fehlenden Angaben so rasch als möglich nach.
- Ist der Verantwortliche verpflichtet, die betroffene Person zu informieren, so teilt er ihr in einfacher und verständlicher Sprache mindestens die Angaben nach Absatz 1 Buchstaben a und e–g mit.
- Der Verantwortliche muss die Verletzungen dokumentieren. Die Dokumentation muss die mit den Vorfällen zusammenhängenden Tatsachen, deren Auswirkungen und die ergriffenen Massnahmen enthalten. Sie ist ab dem Zeitpunkt der Meldung nach Absatz 1 mindestens zwei Jahre aufzubewahren.