Wann müssen Kunden (noch) nicht über Hackerangriff informiert werden?

Hat eine Firma einen Hackerangriff festgestellt und ist es zum Abfluss von personenbezogenen Daten gekommen müssen gemäß DSGVO Betroffenen informiert werden wenn:

die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat.

Bisher ging ich davon aus das dies auf jeden Fall zutrifft wenn EMail Adressen und Bestellinformationen davon betroffen sind. Man nehme nur an das diese Informationen zu personalisierten Phishing Attacken verwendet werden. Ihr bekommt eine Email von eurem vertrauenswürdigen Händler mit einer Nachfrage zu einer realen Bestellung. Wer klickt da nicht auf einen Link?

Das scheint man in Bayern anders zu sehen wie der Fall bei Conrad zeigt. Hier reicht eine allgemeine Information auf der Webseite

Der Fall wurde bei dem Bayerische Landesamt für Datenschutzaufsicht gemeldet und die haben auch nicht auf einer Information der Betroffenen bestanden.