Die Betroffenen, deren Daten verarbeitet werden bzw. erhoben und gespeichert worden sind, haben ein Recht auf Auskunftserteilung, Berichtigung oder Löschung ihrer Daten:
- Recht auf Auskunft über die Verarbeitung personenbezogener Daten (Art. 15)
- Recht auf Berichtigung unrichtiger Daten (Art. 16)
- Recht auf Löschung der Daten unter bestimmten Voraussetzungen (Art. 17)
- Recht auf Einschränkung der Verarbeitung (Art. 18)
- Recht auf Datenübertragbarkeit zu einem anderen Verantwortlichen (Art. 20)
- Recht auf Widerspruch gegen die Verarbeitung aus bestimmten Gründen (Art. 21)
- Recht, keine ausschließlich auf automatisierter Verarbeitung beruhende Entscheidung zu erfahren (Art. 22)
- Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77)
Datenschutzverletzungen
In jedem Unternehmen besteht grundsätzlich das Risiko, dass Daten Dritten zur Kenntnis gelangen, z. B. durch den Versand von E-Mails an falsche Adressen oder den Verlust von Speichermedien wie ungesicherten USB-Sticks oder Smartphones. Bei einem Verlust von Daten ist der Schutz der Betroffenen von besonderer Bedeutung. In den folgenden Fällen ist unverzüglich die zuständige Aufsichtsbehörde zu informieren:
- Es geht um besondere Arten personenbezogener Daten wie Angaben über die ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben (Art. 9 Abs. 1 DSGVO).
- Die Daten unterliegen einem Berufsgeheimnis (Art. 9 Abs. 2 lit. i DSGVO.
- Es handelt sich um personenbezogene Daten zu Bank- oder Kreditkartenkonten und es drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen wie Diskriminierung, Rufschädigung, Identitätsdiebstahl, finanzieller Verlust, Hinderung an der Kontrolle über die eigenen Daten oder Profilbildung mit Standortdaten (Erwägungsgrund 85 DSGVO).
Neben der Information der Betroffenen müssen auch Handlungsempfehlungen geben werden, um den persönlichen Schaden möglichst zu begrenzen, wie etwa Änderung von Passwörtern, Zugangsdaten, Kontoüberwachung hinsichtlich ungewöhnlicher Zahlungsvorgänge bis hin zur Kontosperrung. Der Verantwortliche muss jede Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden der zuständigen Aufsichtsbehörde melden, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.
Wenn die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle die Information der Öffentlichkeit durch Anzeigen, in mindestens 2 bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme.
Risikoschwerpunkte für Datenverlust
Dass große Datenmengen wie etwa Kreditkarten- oder Kontodaten in die Hände von Dritten gelangen oder öffentlich einsehbar sind, ist ein Risiko, dem insbesondere Onlineshops ausgesetzt sind. Aber auch nicht ausreichend gegen unbefugten Zugriff geschützte Sicherungsdateien auf mobilen Datenträgern oder in der "Cloud" können ein erhöhtes Risiko darstellen.
Neben der Meldung an die Aufsichtsbehörde und die Betroffenen, muss das Unternehmen angemessene Maßnahmen zur Sicherung der Daten ergreifen.