Eigentlich schade, dass es keine öffentliche Liste von den Datenschutzbehörden gibt, in der verzeichnet ist, wer einen meldepflichtigen Verstoß nach Art. 33 DSGVO gemeldet hat.
Bei Verstößen, die eine Information gemäß Art. 34 DSGVO verlangen, sollte zusätzlich ein Muster des versendeten Informationsschreibens hinterlegt werden müssen.
Damit könnte man als Bürger (zumindest bei öffentlich gewordenen Sicherheitslücken) gut überwachen, ob Unternehmen diesen Verpflichtungen nachgekommen sind. Wenn man weiß, dass man betroffen war, aber nicht informiert wurde, kann man gleich eine Beschwerde einreichen, die dann, wenn sich diese als berechtigt herausstellt, zu einer Strafe führen sollte.
Außerdem sollte die Behörde auch eine öffentliche Liste der ihr bekannt gewordenen, aber 72 Stunden nach Information des Datenschutz-Beauftragten noch nicht gemeldeten Verstöße führen.