Nach der DSGVO hat der Verantwortliche (nicht jedoch der Auftragsverarbeiter) jede „Verletzung des Schutzes personenbezogener Daten“ (vgl Frage 92) zu dokumentieren, und zwar auch dann, wenn die Verletzung zu keinem Risiko für die Betroffenen geführt hat (Art 33 Abs 5 DSGVO). Hierbei hat er insbesondere alle Fakten in Zusammenhang mit der Sicherheitsverletzung, die Auswirkungen und die ergriffenen Abhilfemaßnahmen zu erfassen.