In § 33 KDG ist festgelegt, dass der Verantwortliche unverzüglich (innerhalb von 72 Stunden ab Kenntnis) die Verletzung des Schutzes personenbezogener Daten der Datenschutzaufsicht anzeigt, wenn diese Verletzung eine Gefahr für die Rechte und Freiheiten natürlicher Personen darstellt.
Erfolgt die Meldung erst nach Ablauf von 72 Stunden, ist eine Begründung für die Verzögerung der Meldung hinzuzufügen.
Stellt der Verantwortliche fest, dass es innerhalb der Einrichtung einen Vorfall gab, welcher die Verletzung des Schutzes personenbezogener Daten zur Folge hat, muss dieser eine Abwägung vornehmen, ob es sich um eine Gefahr für die Rechte und Freiheiten natürlicher Personen handelt. Kommt der Verantwortliche zu dem Ergebnis, dass eine solche Gefahr besteht, muss er die Meldung an die Datenschutzaufsicht binnen 72 Stunden nachdem die Verletzung des Schutzes personenbezogener Daten bekannt wurde, absetzen. Auch für diese Meldung stellt das Katholische Datenschutzzentrum ein Online-Formular zur Verfügung.
Link zur Meldeplattform des KDSZ
Zusätzlich ist die betroffene Person unverzüglich zu informieren, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat.