Vor der Meldung eines Data Breach an die zuständige Aufsichtsbehörde graut es vielen Unternehmen. Ursächlich ist in erster Linie die Angst, dass der Data Breach automatisch zu einer Strafe führt. Dies ist jedoch eine zu allgemeine Formulierung. Auf einen Data Breach kann durchaus eine Strafe folgen, doch dies nur in dem Fall, wenn der Data Breach – zum Beispiel aufgrund mangelhafter Kontrollsysteme – vorwerfbar ist. Undeutliche oder selbst belastende Aussagen aus der Data Breach Notification gehen (hierzulande) dabei zu Lasten des verantwortlichen Unternehmens, denn „alles was Sie sagen kann und wird gegen Sie verwendet werden.“

Mitunter anders verhält es sich hingegen im Nachbarland Deutschland: das dortige nationale Datenschutzgesetz (BDSG) sieht nämlich in § 43 Abs 4 vor, dass eine Data Breach Meldung (bzw die darin enthaltenen Angaben) nur mit Zustimmung des betroffenen Unternehmens in einem (Verwaltungs-)Strafverfahren verwendet werden dürfen. Zu bedenken ist jedoch, dass (auch in Deutschland) die Aufsichtsbehörden jederzeit eine Data Breach Notification als einen Anlass für die Einleitung eines Überprüfungsverfahrens verwenden können.