Vorweg, es ändert sich nichts substantielles hierzulande, sondern die Verordnung 611/2013 ist Teil der EU-Binnen-Harmonisierung.
Der §42a BDSG sieht bereits seit 2009 eine solche Benachrichtigungspflicht bei „unrechtmäßiger Kenntniserlangung“ „besonderer personenbezogener Daten“ durch Dritte vor.  
 
Das heißt, wenn Personalakten, Patientenakten, o.ä. sensibles, Dritten in die Hände fiele, müssen die Betroffenen informiert werden.
 
——–
Welche Daten 
In Art.2a sind diese besonderen pers.bez. Datenkategorien ergänzt/konkretisiert worden mit „Kreditkartendaten“, „Einzelheiten über Bankkonten“,sowie Nutzdaten im Zuge der Erbringung von Internetdienstleistungen wie „E-Mail-Daten, Standortdaten, Internet-Protokolldateien, Webbrowser-Verläufe und Aufstellungen von Einzelverbindungen.“
 
Auswirkungen 
Wenn die Möglichkeit des Datenlecks Identitätsdiebstahl oder Betrug, eine physische Schädigung, ein psychisches Leid, eine Demütigung oder Rufschädigung ermöglicht, sollten Betroffene informiert werden.
 
ADV-Sonderfall 
Wird Flymint als Auftragnehmer ein Leck bekannt im Rahmen einer ADV, bin ich 😉 und der Auftraggeber zu informieren – dieser hat solche Benachrichtigungen vorzunehmen. (Also wie gehabt).
 
Ausnahme 
Falls fragliche geleckte Datensätze ausreichend verschlüsselt sind, ist keine Benachrichtigung an Betroffene erforderlich.
Prinzipiell sollen alle Datenlecks mit Personenbezug an eine Aufsichtsbehörde gemeldet werden. Das ist wohl die wesentliche Neuerung für uns in D.  
 
Fazit:
Liegt eine gute Verschlüsselung vor und ist das Mißbrauchspotential gering, sind alle Beteiligten auf der sicheren Seite.
Ob bereits Webapplikationen „öffentlich zugängliche elektronische Kommunikationsdienste“ sind, ist die Frage.
Es ändert sich somit nichts wesentliches.