Möglicherweise haben Sie schon einmal ein Schreiben erhalten, mit dem Sie gemäß Art. 34 Datenschutz-Grundverordnung (DS-GVO) über eine Datenschutzverletzung informiert wurden. Es ist auch denkbar, dass dies in Zukunft passieren wird. In diesem Beitrag erläutert Ihnen der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HDBI), was ein entsprechendes Schreiben für Sie bedeutet, welche Rechte Sie haben und welche potentiellen Schutzmaßnahmen von Ihnen ergriffen werden können.
Worum handelt es sich bei den betroffenen, personenbezogenen Daten?
Personenbezogene Daten gemäß Art. 4 Nr. 1 DS-GVO sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Darunter fallen unter anderem:
- Personenstammdaten, z. B. Name, Anschrift, E-Mail-Adresse,
- Daten zur Sozialversicherung und Bankdaten, z. B. Steueridentifikationsnummer, Rentenversicherungsnummer, Krankenversicherungsnummer, Bankkontoinformationen,
- Gesundheitsdaten, z. B. Informationen zum Gesundheitszustand, medizinische Berichte, Labordaten.
Was bedeutet es für Sie, wenn Sie ein entsprechendes Schreiben erhalten?
Wenn Sie ein Schreiben gemäß Art. 34 DS-GVO erhalten, bedeutet dies, dass der Schutz Ihrer Daten verletzt wurde. Eine Datenschutzverletzung tritt auf, wenn personenbezogene Daten fahrlässig oder vorsätzlich offengelegt, verändert oder verloren gehen oder Dritten unbefugt zugänglich gemacht werden. Dadurch entsteht das Risiko, dass Ihre Rechte und Freiheiten verletzt sein könnten, z. B. durch den Missbrauch Ihrer Daten.
Welche Informationen sollten in dem Schreiben enthalten sein?
Das Schreiben, das Sie von der verantwortlichen Stelle erhalten, sollte gemäß Art. 34 DS-GVO bestimmte Informationen enthalten, um Ihnen zu helfen, die Situation zu verstehen und bei Bedarf geeignete Maßnahmen ergreifen zu können. Im Folgenden findet sich eine kleine Auswahl relevanter und hilfreicher Punkte:
- Erläuterungen, welche Daten betroffen sind und wie es zu der Verletzung kam,
- Risikoeinschätzung, aus der hervorgeht, welche Auswirkungen die Verletzung für Sie haben kann,
- Angaben der verantwortlichen Stelle, welche Schritte unternommen wurden, um die Folgen einzudämmen oder die Verletzung zu beheben,
- Vorschläge von Maßnahmen, die Sie selber zum Schutz ergreifen können, wie z. B. das Ändern von Passwörtern.
Neben diesen Ausführungen und Hilfestellungen sind auch die Kontaktdaten des oder der Datenschutzbeauftragen oder einer sonstigen Anlaufstelle zu nennen, an die Sie sich bei Rücksprachebedarf wenden können. Letztlich kann es immer sein, dass sich in Ihrem Fall noch einmal besondere Fragen stellen.
An wen können Sie sich wenden und welche Rechte haben Sie?
Ihre erste Anlaufstelle bei Fragen ist der oder die Datenschutzbeauftragte der verantwortlichen Stelle oder eine sonstige Anlaufstelle, welche Ihnen in dem Schreiben des Verantwortlichen mitgeteilt wurde. Der in dem Schreiben genannte Kontakt kann Ihnen dann genauere Informationen und Hinweise geben.
Sollten die notwendigen Informationen nicht in dem Schreiben enthalten sein, können Sie sich an den Verantwortlichen wenden und diese erfragen. Sollten Sie dann nach wie vor keine Rückmeldung erhalten, steht Ihnen nach Art. 15 DS-GVO ein Recht auf Auskunft gegenüber der verantwortlichen Stelle zu. Wenn auch hiernach die erbetenen Informationen nicht zur Verfügung gestellt werden, kann Sie der HBDI bei der weiteren Geltendmachung Ihres höchstpersönlichen Anspruchs gegenüber der verantwortlichen Stelle unterstützen.
Welche Schutzmaßnahmen können Sie ergreifen?
Je nachdem, welche Daten betroffen sind, können Sie verschiedene Schutzmaßnahmen zur Risikoverringerung ergreifen. Sollten Zugangsdaten betroffen sein, hilft es, Ihre Passwörter zu ändern. Sofern Bankdaten betroffen sind, hilft es, wenn Sie Ihre Konten und Kreditabrechnungen im Auge behalten und verdächtige Aktivitäten Ihrer Bank melden.
Mittlerweile besteht auch die Möglichkeit für Sie, Identitätsschutzdienste zu verwenden. Alternativ können Sie auch in einschlägigen Datenbanken nachschauen, die prüfen, ob Ihre Daten von einem Datenleck betroffen waren.
Um das Risiko für Datenschutzverletzungen zu minimieren, sollten Sie auch in Erwägung ziehen, für Ihre Online-Konten eine Zwei-Faktor-Authentifizierung zu aktivieren.
Seien Sie auch besonders aufmerksam bei Kontaktaufnahmen per Mail, Telefon oder Brief – diese könnten Bestandteil von sogenannten Phishing-Angriffen sein.