(1) Der Betreiber benachrichtigt die zuständige nationale Behörde von allen Verletzungen des Schutzes personenbezogener Daten.
(2) Der Betreiber benachrichtigt die zuständige nationale Behörde von der Verletzung des Schutzes personenbezogener Daten binnen 24 Stunden nach Feststellung der Verletzung, soweit dies möglich ist.
In seiner Benachrichtigung der zuständigen nationalen Behörde macht der Betreiber die in Anhang I aufgeführten Angaben.
Eine Verletzung des Schutzes personenbezogener Daten gilt als festgestellt, sobald der Betreiber vom Auftreten einer Sicherheitsverletzung, die zu einer Verletzung des Schutzes personenbezogener Daten geführt hat, hinreichende Kenntnis insoweit erlangt hat, dass er eine sinnvolle Benachrichtigung nach den Vorschriften dieser Verordnung vornehmen kann.
(3) Falls nicht alle in Anhang I aufgeführten Angaben vorliegen und eine weitere Untersuchung der Verletzung des Schutzes personenbezogener Daten erforderlich ist, kann der Betreiber zunächst binnen 24 Stunden nach Feststellung der Verletzung eine Erstbenachrichtigung der zuständigen nationalen Behörde vornehmen. Diese Erstbenachrichtigung der zuständigen nationalen Behörde muss die in Anhang I Abschnitt 1 aufgeführten Angaben enthalten. Anschließend nimmt der Betreiber so bald wie möglich, spätestens aber binnen drei Tagen nach der Erstbenachrichtigung, eine zweite Benachrichtigung der zuständigen nationalen Behörde vor. Diese zweite Benachrichtigung muss die in Anhang I Abschnitt 2 aufgeführten Angaben enthalten und die bereits zuvor gemachten Angaben gegebenenfalls aktualisieren.
Ist der Betreiber trotz seiner Nachforschungen nicht in der Lage, alle diese Angaben binnen drei Tagen nach der Erstbenachrichtigung zu machen, übermittelt er der zuständigen nationalen Behörde alle Angaben, die ihm innerhalb des genannten Zeitraums vorliegen, und eine Begründung für die verspätete Mitteilung der verbleibenden Angaben. Der Betreiber muss der zuständigen nationalen Behörde so bald wie möglich die verbleibenden Angaben mitteilen und die bereits zuvor gemachten Angaben aktualisieren.
(4) Die zuständige nationale Behörde stellt allen Betreibern, die in dem betreffenden Mitgliedstaat niedergelassen sind, gesicherte elektronische Mittel für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten sowie Informationen über die Verfahren für den Zugang hierzu und für deren Benutzung zur Verfügung. Falls notwendig beruft die Kommission Sitzungen mit den zuständigen nationalen Behörden ein, um die Durchführung dieser Verordnung zu erleichtern.
(5) Betrifft die Verletzung des Schutzes personenbezogener Daten Teilnehmer oder Personen aus anderen Mitgliedstaaten als dem der von der Verletzung benachrichtigten zuständigen nationalen Behörde, so unterrichtet die zuständige nationale Behörde die anderen betroffenen nationalen Behörden.
Um die Anwendung dieser Bestimmung zu erleichtern, erstellt und führt die Kommission eine Liste der zuständigen nationalen Behörden und der jeweiligen Ansprechpartner.