Die Bestimmungen der DSGVO und des österreichischen Datenschutzgesetzes (DSG) in der Fassung des Datenschutz-Anpassungsgesetzes 2018 gelten ab 25.5.2018. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden.
Diese kann nur dann entfallen, wenn kein Risiko für die Betroffenen besteht. Schon im Fall eines geringen Risikos besteht die Meldepflicht.Kein Risiko wird dann bestehen, wenn verlorene Daten so stark verschlüsselt sind, dass sie mit den heute bekannten Techniken nicht entschlüsselt werden können. Dies wird bei Daten auf zertifizierten Smartcards oder HSM-Systemen der Fall sein (HSM = Hardware Security Modules). Auch eine Kombination von zertifizierten biometrischen Verfahren und Zwei-Faktor-Authentisierung kann als ausreichende Sicherheitsmaßnahme angesehen werden.
Die Meldepflicht kann entfallen, wenn kein hohes Risiko für den Betroffenen
besteht oder nachträgliche Maßnahmen das Risiko reduzieren. Dies wird dann der Fall sein, wenn Zugangskennungen nach Korrumpierung unverzüglich gesperrt werden.
Meldepflicht gilt auch bei Verlust von Geräten wie Smartphone, Notebook oder USB-Stick, wenn sie personenbezogene Daten enthalten