Ein Datenschutzvorfall ist eine Sicherheitsverletzung, bei der personenbezogene Daten unbefugt offengelegt, verloren, verändert oder unrechtmäßig abgerufen werden. Solche Vorfälle können erhebliche Risiken für die betroffenen Personen mit sich bringen, wie Identitätsdiebstahl oder Rufschädigung. Mitarbeitende müssen geschult sein, Vorfälle zu erkennen und zu melden, um schnell handeln zu können.
Typische Anzeichen eines Vorfalls sind ungewöhnliche Aktivitäten im IT-System oder verlorene Datenträger. Bei der Bewertung eines Vorfalls müssen die Art und Sensibilität der betroffenen Daten und die potenziellen Folgen berücksichtigt werden. Eine gründliche Dokumentation des Vorfalls ist unerlässlich, ebenso wie die Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden, wenn ein Risiko für die Rechte der betroffenen Personen besteht. Bei hohem Risiko müssen die betroffenen Personen informiert werden.