Deshalb sollte der Betreiber eines öffentlich zugänglichen elektronischen Kommunikationsdienst
es unmittelbar nach Bekanntwerden einer solchen Verletzung die damit verbundenen Risiken bewerten, indem er beispielsweise die Art der von der Ver
letzung betroffenen Daten (einschließlich Sensibilität der Daten, Zusammenhang und bestehende Sicherheitsmaßnahmen), die Ursache und das Ausmaß der Sicherheitsverletzung, die Zahl der betroffenen Teilnehmer und die mögliche Schädigung der Teilnehmer infolge der Verletzung (z.B. Identitätsdiebstahl,
...[+++]finanzieller Verlust, entgangene Geschäfts- oder Beschäftigungsmöglichkeiten oder physische Schädigung) ermittelt.
Therefore, as soon as the provider of publicly available electronic communications service becomes aware that such a breach has occurred, it should assess the risks associated with it, e.g. by establishing the type of data affected by the breach (including their sensitivity, context and security measures in place), the cause and extent of the breach, the number of subscribers affected, and the possible harm for subscribers as a result of the breach (e.g. identity theft, financial loss, loss of business or employment opportunities, physical harm).
