Die Datenschutz-Grundverordnung (DSGVO) wirft bis heute immer wieder Fragen auf, wie z. B. welche Datenpannen gemeldet werden müssen.
Bei einer Verletzung des Schutzes personenbezogener Daten hat die Meldung spätestens 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde durch die Verantwortlichen zu erfolgen. Ausnahme: Die Panne führt nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.
Die Entscheidung darüber, ob eine Datenschutzverletzung meldepflichtig ist oder nicht, müssen die Verantwortlichen selbst treffen. Ob die von der Datenpanne Betroffenen auch informiert werden müssen, entscheiden ebenfalls die Verantwortlichen.
Fallbeispiele bzw. konkrete Situationen hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit in einer Entscheidungshilfe im Internet unter folgendem Link veröffentlicht: https://datenschutz-hamburg.de/pages/hinweise-databreach.