(2) Das Ausmaß der Auswirkungen eines Sicherheitsvorfalls ist – sofern verfügbar – insbesondere anhand folgender Kriterien zu bewerten:
1.
die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer,
2.
die Dauer des Sicherheitsvorfalls,
3.
die geographische Ausdehnung des von dem Sicherheitsvorfall betroffenen Gebiets,
4.
das Ausmaß der Beeinträchtigung des Telekommunikationsnetzes oder des Dienstes,
5.
das Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten.
(3) Die Mitteilung nach Absatz 1 Satz 1 muss die folgenden Angaben enthalten:
1.
Angaben zu dem Sicherheitsvorfall,
2.
Angaben zu den Kriterien nach Absatz 2,
3.
Angaben zu den betroffenen Systemen sowie
4.
Angaben zu der vermuteten oder tatsächlichen Ursache.
(4) Die Bundesnetzagentur legt Einzelheiten des Mitteilungsverfahrens fest. Die Bundesnetzagentur kann einen detaillierten Bericht über den Sicherheitsvorfall und die ergriffenen Abhilfemaßnahmen verlangen.
(5) Erforderlichenfalls unterrichtet die Bundesnetzagentur die nationalen Regulierungsbehörden der anderen Mitgliedstaaten der Europäischen Union und die Agentur der Europäischen Union für Cybersicherheit über den Sicherheitsvorfall. Die Bundesnetzagentur kann die Öffentlichkeit unterrichten oder die nach Absatz 1 Satz 1 Verpflichteten zu dieser Unterrichtung verpflichten, wenn sie zu dem Schluss gelangt, dass die Bekanntgabe des Sicherheitsvorfalls im öffentlichen Interesse liegt.
(6) Im Falle einer besonderen und erheblichen Gefahr eines Sicherheitsvorfalls informieren die nach Absatz 1 Satz 1 Verpflich‑
teten die von dieser Gefahr potenziell betroffenen Nutzer über alle möglichen Schutz-​ oder Abhilfemaßnahmen, die von den Nutzern ergriffen werden können sowie gegebenenfalls auch über die Gefahr selbst. § 8e des BSI-​Gesetzes gilt entsprechend.
(7) Die Bundesnetzagentur legt der Kommission, der Agentur der Europäischen Union für Cybersicherheit und dem Bundesamt für Sicherheit in der Informationstechnik einmal pro Jahr einen zusammenfassenden Bericht über die eingegangenen Meldungen und die ergriffenen Abhilfemaßnahmen vor.
§ 169 Daten-​ und Informationssicherheit (1) Wer öffentlich zugängliche Telekommunikationsdienste erbringt, hat im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich die Bundesnetzagentur und die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit von der Verletzung zu benachrichtigen. Ist anzunehmen, dass durch die Verletzung des Schutzes personenbezogener Daten Endnutzer oder andere Personen schwerwiegend in ihren Rechten oder schutzwürdigen Interessen beeinträchtigt werden, hat der Anbieter des Telekommunikationsdienstes zusätzlich die Betroffenen unverzüglich von dieser Verletzung zu benachrichtigen. In Fällen, in denen in dem Sicherheitskonzept nachgewiesen wurde, dass die von der Verletzung betroffenen personenbezogenen Daten durch geeignete technische Vorkehrungen gesichert, insbesondere unter Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens gespeichert wurden, ist eine Benachrichtigung nicht erforderlich. Unabhängig von Satz 3 kann die Bundesnetzagentur den Anbieter des Telekommunikationsdienstes unter Berücksichtigung der wahrscheinlichen nachteiligen Auswirkungen der Verletzung des Schutzes personenbezogener Daten zu einer Benachrichtigung der Betroffenen verpflichten. Im Übrigen gelten § 42 Absatz 4 und § 43 Absatz 4 des Bundesdatenschutzgesetzes entsprechend.