Telekommunikationsgesetz / § 169 Daten- und Informationssicherheit

(1) ¹Wer öffentlich zugängliche Telekommunikationsdienste erbringt, hat im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich die Bundesnetzagentur und die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit von der Verletzung zu benachrichtigen. ²Ist anzunehmen, dass durch die Verletzung des Schutzes personenbezogener Daten Endnutzer oder andere Personen schwerwiegend in ihren Rechten oder schutzwürdigen Interessen beeinträchtigt werden, hat der Anbieter des Telekommunikationsdienstes zusätzlich die Betroffenen unverzüglich von dieser Verletzung zu benachrichtigen. ³In Fällen, in denen in dem Sicherheitskonzept nachgewiesen wurde, dass die von der Verletzung betroffenen personenbezogenen Daten durch geeignete technische Vorkehrungen gesichert, insbesondere unter Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens gespeichert wurden, ist eine Benachrichtigung nicht erforderlich. ⁴Unabhängig von Satz 3 kann die Bundesnetzagentur den Anbieter des Telekommunikationsdienstes unter Berücksichtigung der wahrscheinlichen nachteiligen Auswirkungen der Verletzung des Schutzes personenbezogener Daten zu einer Benachrichtigung der Betroffenen verpflichten. ⁵Im Übrigen gelten § 42 Absatz 4 und § 43 Absatz 4 des Bundesdatenschutzgesetzes entsprechend.

(2) ¹Die Benachrichtigung nach Absatz 1 Satz 1 und 2 muss mindestens enthalten:

1.	die Art der Verletzung des Schutzes personenbezogener Daten,

2.	Angaben zu den Kontaktstellen, bei denen weitere Informationen erhältlich sind, und

3.	Empfehlungen zu Maßnahmen, die mögliche nachteilige Auswirkungen der Verletzung des Schutzes personenbezogener Daten begrenzen.

²In der Benachrichtigung an die Bundesnetzagentur und die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit hat der Anbieter des Telekommunikationsdienstes zusätzlich die Folgen der Verletzung des Schutzes personenbezogener Daten und die beabsichtigten oder ergriffenen Maßnahmen darzulegen.

(3) ¹Die Anbieter der Telekommunikationsdienste haben ein Verzeichnis der Verletzungen des Schutzes personenbezogener Daten zu führen, das Angaben zu Folgendem enthält:

1.	den Umständen der Verletzungen,

2.	den Auswirkungen der Verletzungen und

3.	den ergriffenen Abhilfemaßnahmen.

²Diese Angaben müssen ausreichend sein, um der Bundesnetzagentur und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit die Prüfung zu ermöglichen, ob die Absätze 1 und 2 eingehalten wurden. ³Das Verzeichnis enthält nur die zu diesem Zweck erforderlichen Informationen und muss nicht Verletzungen berücksichtigen, die mehr als fünf Jahre zurückliegen.

(4) ¹Werden dem Anbieter des Telekommunikationsdienstes nach Absatz 1 Satz 1 Störungen bekannt, die von Datenverarbeitungssystemen der Nutzer ausgehen, so hat er die Nutzer, soweit ihm diese bereits bekannt sind, unverzüglich darüber zu benachrichtigen. ²Soweit technisch möglich und zumutbar, hat er die Nutzer auf angemessene, wirksame und zugängliche technische Mittel hinzuweisen, mit denen sie diese Störungen erkennen und beseitigen können. ³Der Anbieter des Telekommunikationsdienstes darf die Teile des Datenverkehrs von und zu einem Nutzer, von denen eine Störung ausgeht, umleiten, soweit dies erforderlich ist, um den Nutzer über die Störungen benachrichtigen zu können.

(5) ¹Wird der Anbieter des Telekommunikationsdienstes nach Absatz 1 Satz 1 vom Bundesamt für Sicherheit in der Informationstechnik über konkrete erhebliche Gefahren informiert, die von Datenverarbeitungssystemen der Nutzer ausgehen oder diese betreffen, so hat er die betroffenen Nutzer, soweit ihm diese bekannt sind, unverzüglich darüber zu benachrichtigen. ²Soweit technisch möglich und zumutbar, hat er die Nutzer auf angemessene, wirksame und zugängliche technische Mittel hinzuweisen, mit denen sie diese Gefahren erkennen und ihnen vorbeugen können. ³Werden dem Anbieter des Telekommunikationsdienstes nach Absatz 1 Satz 1 Gefahren bekannt, die von Datenverarbeitungssystemen der Nutzer ausgehen oder diese betreffen, so kann er die Nutzer, soweit ihm diese bekannt sind, darüber benachrichtigen. ⁴Soweit technisch möglich und zumutbar, kann er die Nutzer auf angemessene, wirksame und zugängliche technische Mittel hinweisen, mit denen sie diese Gefahren erkennen und ihnen vorbeugen können.

(6) Der Anbieter des Telekommunikationsdienstes darf im Falle einer Störung die Nutzung des Telekommunikationsdienstes bis zur Beendigung der Störung einschränken, umleiten oder unterbinden, soweit dies erforderlich ist, um die Beeinträchtigung der Telekommunikations- und Datenverarbeitungssysteme des Anbieters des Telekommunikationsdienstes, eines Nutzers im Sinne des Absatzes 4 oder anderer Nutzer zu beseitigen oder zu verhindern und der Nutzer die Störung nicht unverzüglich selbst beseitigt oder zu erwarten ist, dass der Nutzer die Störung selbst nicht unverzüglich beseitigt.

(7) Der Anbieter des Telek...