Grundsätzlich ist jeder Datenvorfall innerhalb von 72 Stunden gegenüber der Datenschutzbehörde meldepflichtig. Eine Ausnahme besteht nur, wenn die Risikobewertung ergibt, dass sowohl die Eintrittswahrscheinlichkeit als auch die Auswirkungen der potenziellen Schäden für die betroffene Person als „gering“ bewertet werden. Bei einer Risikobewertung wird zunächst jeder mögliche Schaden bestimmt, der durch den Datenvorfall entstehen könnte wie zum Beispiel Diskriminierung, Identitätsdiebstahl oder ein finanzieller Schaden. Im zweiten Schritt erfolgt eine Abschätzung, wie wahrscheinlich es ist, dass der Schaden eintritt und wie schwer der mögliche Schaden konkret wäre. Im dritten Schritt wird jedes Risiko einem Risikobereich zugeordnet.