§ 169 Daten- und Informationssicherheit

(1) Wer öffentlich zugängliche Telekommunikationsdienste erbringt, hat im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich die Bundesnetzagentur und die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit von der Verletzung zu benachrichtigen. Ist anzunehmen, dass durch die Verletzung des Schutzes personenbezogener Daten Endnutzer oder andere Personen schwerwiegend in ihren Rechten oder schutzwürdigen Interessen beeinträchtigt werden, hat der Anbieter des Telekommunikationsdienstes zusätzlich die Betroffenen unverzüglich von dieser Verletzung zu benachrichtigen. In Fällen, in denen in dem Sicherheitskonzept nachgewiesen wurde, dass die von der Verletzung betroffenen personenbezogenen Daten durch geeignete technische Vorkehrungen gesichert, insbesondere unter Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens gespeichert wurden, ist eine Benachrichtigung nicht erforderlich. Unabhängig von Satz 3 kann die Bundesnetzagentur den Anbieter des Telekommunikationsdienstes unter Berücksichtigung der wahrscheinlichen nachteiligen Auswirkungen der Verletzung des Schutzes personenbezogener Daten zu einer Benachrichtigung der Betroffenen verpflichten. Im Übrigen gelten § 42 Absatz 4 und § 43 Absatz 4 des Bundesdatenschutzgesetzes entsprechend.

(2) Die Benachrichtigung nach Absatz 1 Satz 1 und 2 muss mindestens enthalten:

1.: die Art der Verletzung des Schutzes personenbezogener Daten,
2.: Angaben zu den Kontaktstellen, bei denen weitere Informationen erhältlich sind, und
3.: Empfehlungen zu Maßnahmen, die mögliche nachteilige Auswirkungen der Verletzung des Schutzes personenbezogener Daten begrenzen.

In der Benachrichtigung an die Bundesnetzagentur und die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit hat der Anbieter des Telekommunikationsdienstes zusätzlich die Folgen der Verletzung des Schutzes personenbezogener Daten und die beabsichtigten oder ergriffenen Maßnahmen darzulegen.

(3) Die Anbieter der Telekommunikationsdienste haben ein Verzeichnis der Verletzungen des Schutzes personenbezogener Daten zu führen, das Angaben zu Folgendem enthält:

1.: den Umständen der Verletzungen,
2.: den Auswirkungen der Verletzungen und