Die Meldung eines Datenschutzverstoßes muss gemäß Art. 33 Abs. 1 DSGVO erfolgen, wenn der Schutz personenbezogener Daten verletzt wird, also faktisch bei jeder nicht ordnungsgemäßen Beachtung des Datenschutzes. Eine Ausnahme besteht dann, wenn der Verantwortliche eine Prognoseentscheidung treffen kann, dass der Datenschutzverstoß „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“. Diese Prognose ist durch den Landesdatenschutzbeauftragten und gerichtlich voll überprüfbar. Fehler können zu Ordnungswidrigkeiten und damit Bußgeldern führen.
Die Meldung muss innerhalb von 72 Stunden nach Bekanntwerden des Datenschutzverstoßes erfolgen. Die Zeit ist außerordentlich knapp, vor allem, da Abhilfemaßnahmen möglichst schon ganz oder teilweise umgesetzt und in der Meldung dokumentiert sein sollten. Allein das Entfernen von Inhalten im Cache von Google kann schon Stunden in Anspruch nehmen. Zuständig für die Abgabe der Meldungen ist der Verantwortliche bzw. bei juristischen Personen der gesetzliche Vertreter, also z.B. der Vorstand einer Aktiengesellschaft oder bei Thüringer Hochschulen gemäß § 30 Abs. 1 ThürHG der Präsident bzw. Rektor. Der gesetzliche Vertreter kann die Befugnis zur Abgabe von Meldungen delegieren. Wenn das geschieht, sollte das ausdrücklich, möglichst schriftlich, erfolgen.
Bei der Meldung eines Datenschutzverstoßes ist die Verwendung eines Formular nicht vorgeschrieben. Es kann sich aber anbieten, vom Landesdatenschutzbeauftragten vorgeschlagene Formulare zu nutzen, z.B. vom Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit dieses Formular1) um Risiken durch unvollständige Information zu vermeiden und andererseits auch nicht unnötig viel zu melden.
Beschäftigte, die einen Datenschutzverstoß feststellen, informieren in der Regel den betrieblichen Datenschutzbeauftragten direkt und sofort. Soweit das ohne Zeitverzug möglich und zweckmäßig ist, werden dazu geeignete Formulare genutzt. Bei Bedarf kann aber auch jeder andere Kommunikationsweg genutzt werden. Der Datenschutzbeauftragte wird dann alles weitere veranlassen.