Häufig kann es zu Verletztungen des Datenschutzes kommen, wie beispielsweise bei einem Hacker-Angriff, Diebstahl oder bei Akteneinsicht unbefugter Personen.
Der Verantwortliche muss bei solch einer Verletzung unverzüglich & innerhalb von 72 Stunden nach Bekanntwerden, die Aufsichtsbehörde informieren. Jedoch gibt es auch hier eine Ausnahme: sobald es sich um eine Verletzung mit Risiko für Freiheiten bzw. Rechte betroffener Personen handelt, muss diese nicht gemeldet werden. Darüber hinaus muss der Inhalt sowohl eine Beschreibung der Art der Verletzung umfassen als auch die Kategorien und Anzahl betroffener Personen und Datensätze. Ebenfalls unumgänglich sind die Kontaktdaten des Datenschutzbeauftragten und des Verantwortlichen. Von Vorteil wäre außerdem noch eine Beschreibung der ergriffenen Maßnahmen, die zu Behebung oder Abmilderung beitragen. Diese Angaben finden sich in Artikel 33 DSGVO wieder.

Die Meldung von Verletzungen an betroffene Personen erfolgt ebenfalls vom Verantwortlichen und zwar unverzüglich.
Dabei müssen Kontaktdaten von dem Datenschutzbeauftragten und dem Verantwortlichen ersichtlich sein sowie eine Beschreibung der möglichen Folgen und den ergriffenen Maßnahmen, die zu einer Abmilderung führen. Eine Meldung an Betroffene ist nicht erforderlich, falls bereits sichergestellt wurde, dass kein Risiko mehr besteht oder geeignete TOMs (technische und organisatorische Maßnahmen) getroffen wurden, insbesondere, wenn unbefugter Zugang unterbunden wurde, wie zum Beispiel eine Verschlüsselung (Art. 34 DSGVO)