Diese sind in Art. 33 DS-GVO festgeschrieben. Fällt im Unternehmen auf, dass eine Verletzung des Schutzes von personenbezogenen Daten stattgefunden hat, welche zu einem (geringen)  Risiko für den Betroffenen führt, muss dieser Zwischenfall innerhalb von 72 Stunden der Aufsichtsbehörde angezeigt werden. In der Praxis gab es hier eine Vielzahl von meldepflichtigen Vorfällen. Hierzu zählen z.B. Verschlüsselungstrojaner (Daten sind dem Zugriff des Unternehmens entzogen und stehen in der Verfügungsgewalt eines Dritten), Hackangriffe, Änderung von Geldströmen, etc.

Wichtig ist: fällt Ihnen etwas auf, das eine Verletzung oder ein Risiko darstellen könnte, informieren Sie unverzüglich Ihren Datenschutzkoordinator oder Vorgesetzten, damit diese ihren Meldeverpflichtungen nachkommen können.