Dieses Instrument ist mit der DSGVO neu auf EU-Ebene eingeführt worden. Verschiedene nationale Gesetzgebungen kannten bereits ähnliche, allerdings schwächere Vorschriften, wie beispielsweise der bisherige Art. 42a des Deutschen Bundesdatenschutzgesetzes, welcher durch die Art. 65 und 66 BDSG-neu (neues Deutsches Bundesdatenschutzgesetz) abgelöst wird. Im Falle einer Verletzung des Schutzes von Personendaten hat der Verantwortliche unverzüglich, möglichst innert 72 Stunden nach Bekanntwerden, die Aufsichtsbehörde über die Verletzung zu informieren, ausser die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Dieselbe Pflicht trifft den Auftragsbearbeiter, wobei für ihn keine strenge Frist von 72 Stunden gilt. Der Inhalt der Meldung an die Aufsichtsbehörden ist im Gesetz detailliert vorgeschrieben und umfasst neben Informationen zur Verletzung (Art, wenn möglich Kategorie und ungefähre Zahl betroffener Personen und Datensätze, wahrscheinliche Folgen, ergriffene/vorgeschlagene Massnahmen zur Behebung oder Milderung der Folgen) auch den Namen und die Kontaktdaten des Ansprechpartners beim Unternehmen bzw. des Datenschutzbeauftragten des Unternehmens, sofern einer bestellt wurde. Hat die Verletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, sind neben der Aufsichtsbehörde auch die betroffenen Personen zu informieren.
