German Original (Official) Version
§ 51 BlnDSG Meldung von Verletzungen des Schutzes personenbezogener Daten an die Berliner Beauftragte oder den Berliner Beauftragten für Datenschutz und Informationsfreiheit
- 1Der Verantwortliche hat eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst innerhalb von 72 Stunden, nachdem sie ihm bekannt geworden ist, der oder dem Berliner Beauftragten für Datenschutz und Informationsfreiheit zu melden, es sei denn, dass die Verletzung voraussichtlich zu keiner Gefahr für die Rechtsgüter natürlicher Personen führt. 2Erfolgt die Meldung an die Berliner Beauftragte oder den Berliner Beauftragten für Datenschutz und Informationsfreiheit nicht innerhalb von 72 Stunden, ist die Verzögerung zu begründen.
- Ein Auftragsverarbeiter hat eine Verletzung des Schutzes personenbezogener Daten unverzüglich dem Verantwortlichen zu melden.
- Die Meldung nach Absatz 1 hat zumindest folgende Informationen zu enthalten:
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, die, soweit möglich, Angaben zu den Kategorien und der ungefähren Anzahl der betroffenen Personen, zu den betroffenen Kategorien personenbezogener Daten und zu der ungefähren Anzahl der betroffenen personenbezogenen Datensätze zu enthalten hat,
- den Namen und die Kontaktdaten der oder des Datenschutzbeauftragten oder einer sonstigen Person oder Stelle, die weitere Informationen erteilen kann,
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung und
- eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behandlung der Verletzung und der getroffenen Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
- Wenn die Informationen nach Absatz 3 nicht zusammen mit der Meldung übermittelt werden können, hat der Verantwortliche sie unverzüglich nachzureichen, sobald sie ihm vorliegen.
- 1Der Verantwortliche hat Verletzungen des Schutzes personenbezogener Daten zu dokumentieren. 2Die Dokumentation hat alle mit den Vorfällen zusammenhängenden Tatsachen, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen zu umfassen.
- Soweit von einer Verletzung des Schutzes personenbezogener Daten personenbezogene Daten betroffen sind, die von einem oder an einen Verantwortlichen in einem anderen Mitgliedstaat der Europäischen Union übermittelt wurden, sind die in Absatz 3 genannten Informationen dem dortigen Verantwortlichen unverzüglich zu übermitteln.
- Weitere Pflichten des Verantwortlichen zu Benachrichtigungen über Verletzungen des Schutzes personenbezogener Daten bleiben unberührt.
English Machine Translated Version
Section 51 Reporting personal data breaches to the Berlin Commissioner for Data Protection and Freedom of Information (Berliner Beauftragte oder Berliner Beauftragter für Datenschutz und Informationsfreiheit)
- 1The controller shall report a personal data breach to the Berlin Commissioner for Data Protection and Freedom of Information without undue delay and, if possible, within 72 hours of becoming aware of it, unless the breach is unlikely to result in any danger to the legal interests of natural persons. 2If the report to the Berlin Commissioner for Data Protection and Freedom of Information is not made within 72 hours, the delay must be justified.
- A Processor shall immediately notify a Personal Data Breach to the Controller.
- The notification referred to in paragraph 1 shall contain at least the following information:
- a description of the nature of the personal data breach, including, where possible, the categories and approximate number of individuals concerned, the categories of personal data concerned and the approximate number of personal data sets concerned,
- the name and contact details of the data protection officer or other person or body who can provide further information,
- a description of the likely consequences of the injury; and
- a description of the measures taken or proposed by the responsible person to address the breach and the measures taken to mitigate its possible adverse effects.
- If the information referred to in paragraph 3 cannot be submitted together with the notification, the person responsible shall submit it without delay as soon as it is available to him.
- 1The controller shall document personal data breaches. 2The documentation shall include all facts related to the incidents, their effects and the remedial actions taken.
- To the extent that a personal data breach involves personal data transmitted by or to a controller in another Member State of the European Union, the information referred to in paragraph 3 shall be provided to the controller there without undue delay.
- Further obligations of the controller to notify personal data breaches remain unaffected.
Previous: 50 BlnDSG Anforderungen an die Sicherheit der Datenverarbeitung — Requirements for the security of data processing
Next: 52 BlnDSG Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten — Notification of affected persons in the event of breaches of personal data protection