Sächsisches Gesetz zur Umsetzung der Richtlinie (EU) 2016/680 (Sächsisches Datenschutz-Umsetzungsgesetz - SächsDSUG)
Abschnitt 4 – Pflichten der Verantwortlichen und Auftragsverarbeiter
§ 21 SächsDSUG – Meldungen von Verletzungen des Schutzes personenbezogener Daten an den Sächsischen Datenschutzbeauftragten
(1) Der Verantwortliche hat die Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm diese bekannt wurden, dem Sächsischen Datenschutzbeauftragten zu melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich keine Gefahr für die Rechtsgüter natürlicher Personen mit sich gebracht hat. Erfolgt die Meldung an den Sächsischen Datenschutzbeauftragten nicht binnen 72 Stunden, ist die Verzögerung zu begründen.
(2) Ein Auftragsverarbeiter hat Verletzungen des Schutzes personenbezogener Daten unverzüglich dem Verantwortlichen zu melden.
(3) Die Meldung nach Absatz 1 Satz 1 hat zumindest folgende Informationen zu enthalten:
- 1.
eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, die, soweit möglich, Angaben zu den Kategorien und der ungefähren Zahl der betroffenen Personen, zu den betroffenen Kategorien personenbezogener Daten und zu der ungefähren Zahl der betroffenen personenbezogenen Datensätze zu enthalten hat,
- 2.
den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Person oder Stelle, die weitere Informationen erteilen kann,
- 3.
eine Beschreibung der wahrscheinlichen Folgen der Verletzung und
- 4.
eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behandlung der Verletzung und der getroffenen Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
(4) Wenn die Informationen nach Absatz 3 nicht zusammen mit der Meldung übermittelt werden können, hat der Verantwortliche sie unverzüglich nachzureichen, sobald sie ihm vorliegen.
(5) Der Verantwortliche hat Verletzungen des Schutzes personenbezogener Daten zu dokumentieren. Die Dokumentation hat alle mit den Vorfällen zusammenhängenden Tatsachen, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen zu umfassen.
(6) Soweit von einer Verletzung des Schutzes personenbezogener Daten personenbezogene Daten betroffen sind, die von einem oder an einen Verantwortlichen in einem anderen Mitgliedstaat der Europäischen Union übermittelt wurden, sind die Informationen nach Absatz 3 dem dortigen Verantwortlichen unverzüglich zu übermitteln.
(7) Der Inhalt einer Meldung nach Absatz 1 Satz 1 darf in einem Strafverfahren oder in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten in der Fassung der Bekanntmachung vom 19. Februar 1987 (BGBl. I S. 602), das zuletzt durch Artikel 3 des Gesetzes vom 17. Dezember 2018 (BGBl. I S. 2571) geändert worden ist, in der jeweils geltenden Fassung, gegen den Verantwortlichen oder seine in § 52 Absatz 1 der Strafprozessordnung in der Fassung der Bekanntmachung vom 7. April 1987 (BGBl. I S. 1074, 1319), die zuletzt durch Artikel 3 des Gesetzes vom 18. April 2019 (BGBl. I S. 466) geändert worden ist, in der jeweils geltenden Fassung, bezeichneten Angehörigen nur mit Zustimmung des Verantwortlichen verwendet werden.
