Art. 9a* Meldung von Verletzungen der Datensicherheit

1 Das öffentliche Organ meldet der Fachstelle für Datenschutz so rasch wie möglich eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Grundrechte der betroffenen Person führt.

2 In der Meldung nennt es wenigstens die Art der Verletzung der Datensicherheit, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen, um die Verletzung zu beheben.

3 Der Dritte, der Personendaten im Auftrag bearbeitet, meldet dem öffentlichen Organ so rasch wie möglich eine Verletzung der Datensicherheit.

4 Das öffentliche Organ informiert die betroffene Person, wenn es zu ihrem Schutz erforderlich ist oder die Fachstelle für Datenschutz es verlangt.

5 Es kann die Information an die betroffene Person einschränken, aufschieben oder darauf verzichten, wenn:

a) dies aufgrund überwiegender Interessen Dritter erforderlich ist;

b) dies aufgrund überwiegender öffentlicher Interessen, insbesondere zur Wahrung der inneren oder äusseren Sicherheit der Schweiz, erforderlich ist;

c) die Mitteilung der Information eine Ermittlung, eine Untersuchung oder ein behördliches oder gerichtliches Verfahren gefährden kann;

d) die Information unmöglich ist oder einen unverhältnismässigen Aufwand erfordert oder

e) die Information der betroffenen Person durch eine öffentliche Bekanntmachung in vergleichbarer Weise sichergestellt ist.