Die Betroffenen, deren Daten erhoben, gespeichert und verarbeitet worden sind, haben ein Recht auf Auskunftserteilung, Berichtigung oder Löschung ihrer Daten:
- Es muss darüber Auskunft erteilt werden, welche Daten über die jeweilige Person gespeichert sind, die Herkunft der Daten und der Zweck der Speicherung sowie ggf. der Empfänger der Daten, falls Daten an Dritte übermittelt wurden. Die Auskunft hat unentgeltlich und in Textform zu erfolgen.
- Bei unrichtigen Daten besteht ein Anspruch auf Berichtigung.
- Werden die Daten nicht mehr für den Zweck der Erhebung, Speicherung oder Verarbeitung benötigt, so müssen sie gelöscht werden. Das Gleiche gilt bei einer unzulässigen Speicherung. Alternativ zur Löschung kann in besonderen Fällen eine Sperrung der Daten stattfinden (z. B. bei Mitarbeiterdaten, siehe Kap. 5). Sowohl von der Löschung als auch von der Sperrung der Daten müssen auch andere Unternehmen benachrichtigt werden, an die Daten weitergegeben wurden, wenn dies keinen unverhältnismäßigen Aufwand erfordert und schutzwürdige Interessen des Betroffenen nicht entgegenstehen.
Abhandengekommene besonders geschützte Daten
In jedem Unternehmen besteht grundsätzlich das Risiko, dass Daten Dritten zur Kenntnis gelangen, z. B. wenn E-Mails an falsche Adressen gesendet werden oder Speichermedien, wie ungesicherte USB-Sticks oder Smartphones, abhandenkommen. Kommen Daten abhanden, so ist der Schutz der Betroffenen besonders wichtig. Handelt es sich um einen der folgenden Fälle, so müssen unverzüglich die zuständige Aufsichtsbehörde und auch die Betroffenen informiert werden:
- Es geht um besondere Arten personenbezogener Daten wie Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.
- Die Daten unterliegen einem Berufsgeheimnis.
- Es handelt sich um personenbezogene Daten zu Bank- oder Kreditkartenkonten und es drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen.
Neben der Information der Betroffenen müssen auch Handlungsempfehlungen geben werden, um den persönlichen Schaden möglichst zu begrenzen, wie etwa Änderung von Passwörtern, Zugangsdaten, Kontoüberwachung hinsichtlich ungewöhnlicher Zahlungsvorgänge bis hin zur Kontosperrung. Wenn die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle die Information der Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens 2 bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme.
Risikoschwerpunkte für Datenverlust
Dass große Datenmengen wie etwa Kreditkarten- oder Kontodaten in die Hände von Dritten gelangen oder öffentlich einsehbar sind, ist ein Risiko, dem insbesondere Onlineshops ausgesetzt sind. Aber auch nicht ausreichend gegen unbefugten Zugriff geschützte Sicherungsdateien auf mobilen Datenträgern oder in der "Cloud" können ein erhöhtes Risiko darstellen.
Neben der Meldung an die Aufsichtsbehörde und die Betroffenen muss das Unternehmen angemessene Maßnahmen zur Sicherung der Daten ergreifen.
Das ist nur ein Ausschnitt aus dem Produkt ProFirma Professional. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen