Gemäß § 42a BDSG sind verantwortliche Stellen zur unverzüglichen Meldung an die zuständige Aufsichtsbehörde und die Betroffenen verpflichtet, wenn sie feststellt, dass
- besondere Arten personenbezogener Daten,
- personenbezogene Daten die einem Berufsgeheimnis unterliegen,
- personenbezogene Daten die sich auf Straftaten, Ordnungswidrigkeiten oder einen entsprechenden Verdacht beziehen oder
- personenbezogene Daten zu Bank oder Kreditkartenkonten
unrechtmäßig übermittelt oder auf andere Weise unrechtmäßig Dritten zur Kenntnis gelangt sind und dadurch schwerwiegende Beeinträchtigungen für Rechte oder schutzwürdige Interessen der Betroffenen drohen.
Soweit die Benachrichtigung der Betroffenen nicht möglich ist, kann die verantwortliche Stelle sogar verpflichtet sein, eine halbseitige Anzeige in zwei bundesweit erscheinenden Tageszeitungen zu schalten.
Damit die verantwortliche Stelle ihre Pflichten gemäß § 42a BDSG erfüllen kann, ist es erforderlich, dass die Verantwortlichen schnell von möglichen Datenschutzverstößen Kenntnis erlangen und schnell reagieren. Es empfiehlt sich daher, Beschäftigte anzuweisen, mögliche Datenschutzverstöße intern zu melden und Prozesse zur Reaktion vorzusehen (Incident-Management-Prozess).