EuGH: Anlasslose Vorratsdatenspeicherung bleibt verboten

/in /von

Der europäische Gerichtshof (EuGH) bestätigte mit seinen heutigen Entscheidungen, dass die anlasslose Vorratsdatenspeicherung (VDS) nicht mit dem europäischen Recht vereinbar ist. Entgegenstehende nationale Gesetze zur Überwachung der Telekommunikation und des Internetverhaltens der Bevölkerung sind daher unwirksam. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Dr. Stefan Brink begrüßt: „Das Urteil stärkt die Rechte der europäischen Bürgerinnen und Bürger und schützt sie vor unverhältnismäßigen Eingriffen in ihre persönlichen Freiheiten, die gerade von Sicherheitspolitikern immer wieder gefordert werden.“

Allerdings relativiere der EuGH seine bislang völlig klare Absage an jede Vorratsdatenspeicherung, wenn er Spielräume für solche Überwachungen im Falle der „konkreten und ernsthaften Bedrohung der nationalen Sicherheit“ sieht. Dazu LfDI Stefan Brink: „Es ist bedauerlich, dass der EuGH von seiner glasklaren Ansage ‚Keine VDS‘ abrückt und damit eine nationale Debatte um eine ‚situative VDS‘ neu entfacht. Diese Debatte können wir gerade in Zeiten von Corona, wo Grundrechte wie das Recht auf informationelle Selbstbestimmung ohnehin schon unter Druck geraten, so gut brauchen wie Keuchhusten.“

Jede anlasslose Vorratsdatenspeicherung ist schädlich, so LfDI Brink weiter: Nach wissenschaftlicher Analyse nutzt sie den Sicherheitsbehörden nicht wirklich – stattdessen würden Millionen unbescholtener Bürgerinnen und Bürger durchleuchtet und beim Internetsurfen ausspioniert. „Strafverfolgung sollte sich gegen Verdächtige richten – nicht gegen jedermann. Die 450 Millionen Europäer wollen moderne Kommunikationsmittel wie das Internet überwachungsfrei nutzen – und sollen das auch in Zukunft unbeschwert tun können!“, so Brink abschließend.

Das Europäische Gericht hatte sich mit Verfahren aus Frankreich, Großbritannien und Belgien befasst und die dortige Vorratsdatenspeicherung zurechtgestutzt.

Link: https://www.baden-wuerttemberg.datenschutz.de/europaeischer-gerichtshof-anlasslose-vorratsdatenspeicherung-bleibt-verboten/

LfDI BW: Neue Orientierungshilfe zur Videoüberwachung durch nicht-öffentliche Stellen

/in /von

Täglich greift die Videoüberwachung in Rechte und Freiheiten von Personen ein, ohne dass die Mehrzahl dafür einen Anlass gegeben hat. Mit großer Streubreite wird aufgezeichnet, zu welcher Uhrzeit, an welchem Tag, in welchem Zustand, mit welchem Erscheinungsbild, wie lange und an welchem Ort sich Betroffene aufhalten, wie sie diesen Bereich nutzen, wie sie sich dort verhalten und ob sie allein oder in Begleitung sind. Bereits eine einfache Überwachungsanlage verarbeitet in erheblichem Umfang personenbezogene Daten, ohne dass der Großteil der erfassten Informationen für Überwachende je eine Rolle spielt.

Das Risiko, dass damit die Rechte von Betroffenen verletzt werden, hat sich in den vergangenen Jahren deutlich erhöht. Grund dafür sind die geringen Anschaffungskosten und die verbesserte Qualität der Technik. Moderne Kameras zeigen Bilder in höchster Auflösung. In Echtzeit können diese in der ganzen Welt eingesehen und fast unbegrenzt gespeichert werden. Mehr als ein Smartphone oder Tablet braucht es dafür oft nicht. Dabei werden Kameras nicht nur zur Sicherheit eingesetzt. Kameras erfassen und verarbeiten Daten von Personen, um personalisierte Werbung anzuzeigen oder Produkte zielgruppengenau anzubieten. Softwaregesteuerte Videotechnik vermisst in der Öffentlichkeit Gesichtszüge und Gefühlsregungen von Personen oder verfolgt das Bewegungs-  oder Einkaufsverhalten von Kunden. Die erfassten Informationen werden in Sekundenbruchteilen ausgewertet und vervielfältigt. Betroffene haben kaum Einfluss auf eine solche Erfassung und erfahren selten, was mit den Aufnahmen geschieht.
Die Orientierungshilfe „Videoüberwachung durch nicht-öffentliche Stellen“ wurde grundlegend überarbeitet und an die rechtlichen Rahmenbedingungen der seit dem 25. Mai 2018 geltenden Datenschutz-Grundverordnung angepasst. Dabei wurden die Leitlinien 3/2019 des Europäischen Datenschutzausschusses zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, angenommen am 29. Januar 2020, berücksichtigt. Neu hinzugekommen sind die Abschnitte zur Videoüberwachung in der Nachbarschaft und zur datenschutzrechtlichen Bewertung von Tür- und Klingelkameras, Drohnen und Wildkameras sowie Dashcams.

Mit der Orientierungshilfe erhalten Betroffene und Verantwortliche Informationen über die Voraussetzungen für eine datenschutzgerechte Videoüberwachung in unterschiedlichen Lebensbereichen. Im Anhang finden sich Muster für Hinweisschilder, die es den Verantwortlichen erleichtern, den Transparenzpflichten gem. Art. 12 ff. DS-GVO nachzukommen. Darüber hinaus wird eine Checkliste mit den wichtigsten Prüfungspunkten im Vorfeld einer Videoüberwachung bereitgestellt.

Orientierungshilfe Videoüberwachung durch nicht-öffentliche Stellen (PDF-Dokument)

GDD: Handlungsempfehlungen nach dem Ende des Privacy-Shield

/in /von

Der EuGH hat das EU-Privacy Shield mit seinem Urteil vom 16.07.2020 (Az: C-311/18) für ungültig erklärt und an die Pflichten für Datenexporteure und Datenimporteure bei Anwendung der EU-Standardvertragsklauseln, insbesondere hinsichtlich einer rechtskonformen Datenübermittlung, erinnert. Datenexportierende verantwortliche Stellen mit Sitz in der Europäischen Union oder in Ländern des Europäischen Wirtschaftsraums stehen nun vor der Herausforderung, wie personenbezogene Daten weiterhin rechtskonform in Drittländer übermittelt werden können. Die GDD möchte Handlungsempfehlungen bezüglich des Endes des Privacy-Shields geben, um Verantwortliche und deren Datenschutzbeauftragte bei der Umsetzung zu unterstützen.Dabei erstrecken sich die Empfehlungen auch darauf, ob und wie der Einsatz der sog. EU-Standardvertragsklauseln aussehen kann sowie eine Beschäftigung mit der Frage, wie die sog. Angemessenheitsbeschlüsse der EU-Kommission bzgl. der jeweiligen Drittländer zu bewerten sind.

Die Ausarbeitung der GDD beschäftigt sich ebenso mit dem Instrument der „anderen Garantien (Art. 46 DS-GVO) bzw. Ausnahmen für bestimmte Fälle (Art. 49 DS-GVO)“

>> Zu den Handlungsempfehlungen der Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.)

LfDI BW: Was jetzt in Sachen internationaler Datentransfer?

/in /von

Der LfDI gibt Hinweise und legt sein weiteres Vorgehen zum Urteil des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020, Rechtssache C-311/18 („Schrems II“) fest.

Lesen Sie hier die entsprechende Orientierungshilfe zu Schrems II .

LfDI BW: Strafzettel wegen Falschparken? Erst prüfen, dann zahlen!

/in /von

Viele Kundinnen und Kunden von Baumärkten, Supermärkten oder Einkaufszentren, die auf dem angrenzenden Parkplatz parken, sind im Glauben, sie würden kostenfrei parken. Das kann teuer werden! Denn viele augenscheinlich marktzugehörigen Parkplätze werden von privaten Unternehmen betrieben, die für rechtswidrig abgestellte Fahrzeuge – bspw. einer fehlenden oder abgelaufenen Parkscheibe – Strafzettel ausstellen. Hierbei werden nicht selten Forderungen von 30 oder 40 Euro aufgerufen, die sich empfindlich erhöhen, sollte der Fahrzeughalter nicht innerhalb von zwei Wochen zahlen. Doch häufig ist das Vorgehen der Unternehmen unzulässig. Daher rät der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, auf Folgendes zu achten:

1. Haben Sie als Fahrzeughalter*in den Wagen selbst geparkt?

Stellt ein Park-Kontroll-Unternehmen fest, dass Ihr Fahrzeug widerrechtlich auf dem Gelände parkt, erhalten Sie als Fahrzeughalter*in ein Schreiben, in dem Sie zur Zahlung einer Strafgebühr aufgefordert werden. Hierbei geht der Parkplatzbetreiber davon aus, dass Sie selbst den Wagen geparkt haben – denn nur so wäre die Forderung einer Strafzahlung rechtskonform. Sollten Sie also gar nicht gefahren sein, liegt auch kein Vertragsschluss zwischen Ihnen und dem Parkplatzunternehmen vor, auf dessen Grundlage eine Strafe erhoben werden könnte. Dies sieht auch der Bundesgerichtshof so. Sollten Sie also nicht selbst den Wagen geparkt haben, können Sie hierfür auch nicht belangt werden.

2. Ist der Datenverarbeitungszweck in der Datenschutzerklärung korrekt angegeben?

In dem Schreiben mit der geforderten Strafzahlung verweist das Parkplatz-Kontroll-Unternehmen auch auf ihre Datenschutzerklärung, in der zumeist als Zweck der Datenverarbeitung angegeben wird, Sie als Fahrzeughalter*in wegen des Parkverstoßes belangen zu können. Wenn sich das Unternehmen jedoch gar nicht sicher ist, dass Sie es waren, die/der falsch geparkt hat, dann können Ihre Daten ja auch nicht zu diesem Zweck verarbeitet werden. Hier liegt also ein DS-GVO-Verstoß vor.
Der Parkplatzbetreiber darf Sie jedoch dazu auffordern, bei der Ermittlung des rechtswidrig Parkenden behilflich zu sein und Sie um Auskunft bitten, wer als Fahrer*in in Betracht kommt. Hierauf müssen Sie reagieren, sonst ist das Unternehmen berechtigt, seine Forderung an Sie als Fahrzeughalter*in richten. In der Datenschutzerklärung des Parkplatz-Unternehmens sollte als Zweck der Datenverarbeitung folglich angegeben sein, dass diese zum Zweck der Ermittlung des Falschparkers erfolgt ist.

Was folgt daraus für Sie?

Sollte weder ein widerrechtliches Parken Ihrerseits noch eine DS-GVO-konforme Schuldnerermittlung vorliegen, müssen Sie als Fahrzeughalter*in weder der geforderten Zahlung nachkommen noch auf Mahnungen reagieren – auch nicht von Inkasso-Unternehmen. Vielmehr dürften die ermittelten Daten der Fahrzeughalterin/des Fahrzeughalters unter diesen Umständen gar nicht an ein Inkasso-Unternehmen weitergeleitet werden.

Hinweis: Um dem Ärger zu entgehen, werfen Sie beim Aussteigen aus dem Auto einfach einen Blick über den Parkplatz. Wenn der Parkplatz von einem externen Unternehmen geführt wird, sind in Sichtweite Hinweisschilder angebracht, die auf die geltende Parkplatzordnung hinweisen.

DSK: Urteil des EuGH zur Übermittlung personenbezogener Daten in Drittländer („Schrems II“) stärkt den Datenschutz für EU-Bürgerinnen und Bürger

/in /von

Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 28.07.2020

Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 16. Juli 2020 (Rechtssache C-311/18) den Beschluss 2016/1250 der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA (Privacy Shield) für unwirksam erklärt. Zugleich hat der EuGH festgestellt, dass die Entscheidung 2010/87/EG der Kommission über Standardvertragsklauseln (Standard Contractual Clauses – SCC) grundsätzlich weiterhin gültig ist.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) sieht mit diesem Urteil die Datenschutzgrundrechte der Bürger und Bürgerinnen in der Europäischen Union gestärkt. Für die Übermittlung personenbezogener Daten in die USA und andere Drittländer hat das Urteil nach einer ersten Einschätzung der DSK folgende Auswirkungen:

  1. Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield ist unzulässig und muss unverzüglich eingestellt werden. Der EuGH hat das Privacy Shield für ungültig erklärt, weil das durch den EuGH bewertete US-Recht kein Schutzniveau bietet, das dem in der EU im Wesentlichen gleichwertig ist. Das US-Recht, auf das der EuGH Bezug genommen hat, betrifft z. B. die nachrichtendienstlichen Erhebungsbefugnisse nach Section 702 FISA und Executive Order 12 333.
  2. Für eine Übermittlung personenbezogener Daten in die USA und andere Drittländer können die bestehenden Standardvertragsklauseln der Europäischen Kommission zwar grundsätzlich weiter genutzt werden. Der EuGH betonte jedoch die Verantwortung des Verantwortlichen und des Empfängers, zu bewerten, ob die Rechte der betroffenen Personen im Drittland ein gleichwertiges Schutzniveau wie in der Union genießen. Nur dann kann entschieden werden, ob die Garantien aus den Standardvertragsklauseln in der Praxis verwirklicht werden können. Wenn das nicht der Fall ist, sollte geprüft werden, welche zusätzlichen Maßnahmen zur Sicherstellung eines dem Schutzniveau in der EU im Wesentlichen gleichwertigen Schutzniveaus ergriffen werden können. Das Recht des Drittlandes darf diese zusätzlichen Schutzmaßnahmen jedoch nicht in einer Weise beeinträchtigen, die ihre tatsächliche Wirkung vereitelt. Nach dem Urteil des EuGH reichen bei Datenübermittlungen in die USA Standardvertragsklauseln ohne zusätzliche Maßnahmen grundsätzlich nicht aus.
  3. Die Wertungen des Urteils finden auch auf andere Garantien nach Artikel 46 DSGVO Anwendung wie verbindliche interne Datenschutzvorschriften („binding corporate rules“ – BCR), auf deren Grundlage eine Übermittlung personenbezogener Daten in die USA und andere Drittstaaten erfolgt. Daher müssen auch für Datenübermittlungen auf der Grundlage von BCR ergänzende Maßnahmen vereinbart werden, sofern die Rechte der betroffenen Personen im Drittland nicht ein gleichwertiges Schutzniveau wie in der Union genießen. Auch diese Maßnahmen müssen für die übermittelten Daten ein im Wesentlichen gleichwertiges Datenschutzniveau wie in der EU garantieren können.
  4. Die Übermittlung von personenbezogenen Daten aus der EU in die USA und andere Drittstaaten nach Artikel 49 DSGVO ist weiterhin zulässig, sofern die Bedingungen des Artikels 49 DSGVO im Einzelfall erfüllt sind. Zur Anwendung und Auslegung dieser Vorschrift hat der Europäische Datenschutzausschuss Leitlinien veröffentlicht.
  5. Verantwortliche, die weiterhin personenbezogene Daten in die USA oder andere Drittländer übermitteln möchten, müssen unverzüglich überprüfen, ob sie dies unter den genannten Bedingungen tun können. Der EuGH hat keine Übergangs- bzw. Schonfrist eingeräumt.

Auch wenn der EuGH in seiner Entscheidung an verschiedenen Stellen die vorrangige Verantwortung des Übermittlers von personenbezogenen Daten und des Empfängers betonte, hat er auch den Aufsichtsbehörden eine Schlüsselrolle bei der Durchsetzung der DSGVO und weiteren Entscheidungen über Datenübermittlungen in Drittländer zugewiesen. Die deutschen Aufsichtsbehörden werden sich in ihrem Vorgehen mit ihren Kolleginnen und Kollegen im Europäischen Datenschutzausschuss abstimmen und zukünftig auch zu spezifischeren Fragestellungen beraten.

Nach dem Urteil des EuGH hat der Europäische Datenschutzausschuss nach einer ersten Stellungnahme in seiner Sitzung am 23. Juli 2020 zentrale Fragen und Antworten (FAQ) zur Umsetzung des Urteils veröffentlicht. Die DSK befürwortet die Positionierung des Europäischen Datenschutzausschusses. Der englische Text der FAQ ist auf der Webseite des Europäischen Datenschutzausschusses unter https://edpb.europa.eu/news/news/2020/european-data-protection-board-publishes-faq-document-cjeu-judgment-c-31118-schrems_de zu finden.

Die Webseite der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder kann hier abgerufen werden.

BfDI zum Schrems II-Urteil des EuGH

/in /von

Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 16.07.2020

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber verbindet mit dem heutigen Urteil des Europäischen Gerichtshofes (EuGH) zum internationalen Datentransfer eine Stärkung der Rechte der Betroffenen: „Der EuGH macht deutlich, dass internationaler Datenverkehr weiter möglich ist. Dabei müssen aber die Grundrechte der europäischen Bürgerinnen und Bürger beachtet werden. Für den Datenaustausch mit den USA müssen jetzt besondere Schutzmaßnahmen ergriffen werden. Unternehmen und Behörden können Daten nicht mehr auf der Grundlage des Privacy Shield übermitteln, das der EuGH für unwirksam erklärt hat. Bei der Umstellung werden wir selbstverständlich intensiv beraten.“

Der BfDI wird sich bereits morgen mit seinen europäischen Kolleginnen und Kollegen abstimmen: „Der EuGH hat die Rolle der Datenschutzaufsichtsbehörden bestätigt und gestärkt. Sie müssen bei jeder einzelnen Datenverarbeitung prüfen und prüfen können, ob die hohen Anforderungen des EuGH erfüllt werden. Das bedeutet auch, dass sie den Datenaustausch untersagen, wenn die Voraussetzungen nicht erfüllt werden. Sowohl Unternehmen und Behörden als auch die Aufsichtsbehörden haben jetzt die komplexe Aufgabe, das Urteil praktisch anzuwenden. Wir werden auf eine schnelle Umsetzung in besonders relevanten Fällen drängen.“

Der EuGH schafft mit seiner Entscheidung einen klareren Rahmen für den internationalen Datenverkehr mit der Europäischen Union. Dabei stellt er hohe Anforderungen an die besonderen Schutzmaßnahmen wie etwa Standardvertragsklauseln, die Unternehmen und Behörden ergreifen und Aufsichtsbehörden kontrollieren müssen. Der BfDI wird nach Veröffentlichung des gesamten Urteils und den Beratungen im Europäischen Datenschutzausschuss eine weitere Stellungnahme abgeben. Dabei wird es insbesondere um die Überarbeitung der Standardvertragsklauseln durch die Europäische Kommission, als auch um die Notwendigkeit der USA, die Gewährleistung der Grundrechte der europäischen Bevölkerung der von US-Staatsangehörigen gleichzustellen, gehen.

Die Pressemitteilungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit können hier abgerufen werden.

Download BfDI zum Schrems II-Urteil des EuGH als PDF

LfDI BW: Bußgeld gegen AOK Baden-Württemberg

/in /von

Wegen eines Verstoßes gegen die Pflichten zu sicherer Datenverarbeitung (Art. 32 der Europäischen Datenschutz-Grundverordnung DS-GVO) hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 25.06.2020 gegen die  AOK Baden-Württemberg  eine  Geldbuße  von  1.240.000,- Euro  verhängt   und – in konstruktiver Zusammenarbeit mit der AOK – zugleich die Weichen für eine Verbesserung der technischen und organisatorischen Maßnahmen zum Schutz persönlicher Daten bei der AOK Baden-Württemberg gestellt.

Die AOK Baden-Württemberg veranstaltete in den Jahren 2015 bis 2019 zu unterschiedlichen Gelegenheiten Gewinnspiele und erhob hierbei personenbezogene Daten der Teilnehmer, darunter deren Kontaktdaten und Krankenkassenzugehörigkeit. Dabei wollte die AOK die Daten der Gewinnspielteilnehmer auch zu Werbezwecken nutzen, sofern die Teilnehmer hierzu eingewilligt hatten. Mithilfe technischer und organisatorischer Maßnahmen, u. a. durch interne Richtlinien und Datenschutzschulungen, wollte die AOK hierbei sicherstellen, dass nur Daten solcher Gewinnspielteilnehmer zu Werbezwecken verwendet werden, die zuvor wirksam hierin eingewilligt hatten. Die von der AOK festgelegten Maßnahmen genügten jedoch nicht den gesetzlichen Anforderungen. In der Folge wurden die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet. Versichertendaten waren hiervon nicht betroffen.

Die AOK Baden-Württemberg stellte unmittelbar nach Bekanntwerden des Vorwurfs alle vertrieblichen Maßnahmen ein, um sämtliche Abläufe grundlegend auf den Prüfstand zu stellen. Zudem gründete die AOK eine Task Force für Datenschutz im Vertrieb und passte neben den Einwilligungserklärungen insbesondere auch interne Prozesse und Kontrollstrukturen an. Weitere Maßnahmen sollen in enger Abstimmung mit dem LfDI erfolgen.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprachen die umfassenden internen Überprüfungen und Anpassungen der technischen und organisatorischen Maßnahmen sowie die konstruktive Kooperation mit dem LfDI zu Gunsten der AOK. Auf diese Weise konnte in kurzer Zeit eine Steigerung des Schutzniveaus für personenbezogene Daten bei Vertriebstätigkeiten der AOK erreicht werden. Diese Verbesserungen und zusätzlichen Kontrollmechanismen wird die AOK zukünftig entsprechend den Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit fortführen und ggf. anpassen.

Bei der Bemessung der Geldbuße wurde neben Umständen wie der Größe und Bedeutung der AOK Baden-Württemberg insbesondere auch berücksichtigt, dass sie als eine gesetzliche Krankenversicherung wichtiger Bestandteil unseres Gesundheitssystems ist. Schließlich obliegt der AOK die gesetzliche Aufgabe, die Gesundheit der Versicherten zu erhalten, wiederherzustellen oder zu verbessern. Weil Bußgelder nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein müssen, war bei der Bestimmung der Bußgeldhöhe sicherzustellen, dass die Erfüllung dieser gesetzliche Aufgabe nicht gefährdet wird. Hierbei wurden die gegenwärtigen Herausforderungen für die AOK infolge der aktuellen Corona-Pandemie in besonderem Maße berücksichtigt.

„Datensicherheit ist eine Daueraufgabe“, betont der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Dr. Stefan Brink. „Technische und organisatorische Maßnahmen sind regelmäßig den tatsächlichen Verhältnissen anzupassen, um auf Dauer ein angemessenes Schutzniveau sicherzustellen.“ Der Sicherstellung datenschutzkonformer Zustände und der guten Zusammenarbeit von verantwortlichen Stellen mit dem LfDI als Aufsichtsbehörde wird dabei regelmäßig große Bedeutung beigemessen. „Wir streben keine besonders hohen Bußgelder, sondern ein besonders gutes und angemessenes Datenschutzniveau an“, so Brink abschließend.

Diese Pressemitteilung als PDF-Dokument aufrufen.

DSK: Orientierungshilfe für datenschutzkonforme Nutzung von E-Mail

/in /von

E-Mail ist neben dem World Wide Web ein wichtiger Internetdienst, nicht zuletzt, weil es durch E-Mails möglich ist, Textnachrichten ebenso wie digitale Dokumente (also z. B. Grafiken oder Office-Dokumente) typischerweise in wenigen Sekunden rund um die Erde zu senden. Ihren Siegeszug trat die E-Mail bereits in dem Jahre 1984 an und ihre Beliebtheit hält trotz diverser Messenger und Sozialer Dienste weiter an.

Insbesondere wenn mit der E-Mail personenbezo-gene Daten übermittelt werden (über die ohnehin vorhandenen Metadaten des Versenders hinaus), existieren auch datenschutzrechtliche Anforderun-gen, die insbesondere Verantwortliche und Auftragsverarbeiter beachten müssen. Sie sind gesetzlich gehalten, die Risiken, die sich aus ihren Verarbeitungen personenbezogener Daten ergeben, hinrei-chend zu mindern.

Das betrifft auch Risiken, die durch die Übermittlung personenbezogener Daten per E-Mail entstehen. Der gesetzlich gebotene Schutz personenbezogener Daten im Zuge der Übermittlung von E-Mail-Nachrichten erstreckt sich sowohl auf die personenbezogenen Inhalte als auch die Umstände der Kommunikation, soweit sich aus letzteren Informationen über natürliche Personen ableiten lassen.

Sowohl Transportverschlüsselung als auch Ende-zu-Ende-Verschlüsselung mindern für ihren jeweiligen Anwendungszweck Risiken für die Vertraulichkeit und Integrität der übertragenen personenbezogenen Daten. Der Einsatz von Transportverschlüsselung bietet lediglich einen Basis-Schutz und stellt eine Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen dar. Der durchgreifendste Schutz der Inhaltsdaten wird hingegen durch Ende-zu-Ende-Verschlüsselung erreicht. Verantwortliche müssen beide Verfahren in der Abwägung der not-wendigen Maßnahmen berücksichtigen. In einer von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder mehrheitlich verabschiedeten Orientierungshilfe werden die Anforderungen an die Verfahren zum Versand und zur Entgegennahme von E-Mail-Nachrichten erläutert.

Quelle: Konferenz der unabhängigen Datenschutzaufsichtsbehördendes Bundes und der Länder

BayLDA: Datenschutzrechtliche Regelungen bei Homeoffice

/in /von

Die Corona-Pandemie hat dafür gesorgt, dass das Thema Homeoffice auch bei Unternehmen, die sich bislang nicht intensiv damit beschäf-tigt haben, in den Vordergrund gerückt ist. Im „Normalfall“ stellt sich die Einrichtung eines Home-Office-Arbeitsplatzes als eine wohlüber-legte und gut geplante Maßnahme dar. Damit auch im Falle einer pandemiebedingten, schnelleren Umsetzung der Verlagerung der Datenschutz am heimischen Arbeitsplatz nicht auf der Strecke bleibt, haben auch Datenschutz-Aufsichtsbehörden eine ganze Reihe von Leitfäden veröffentlicht, so bspw. Das ULD oder auch der BfDI.

Die aktuellste Veröffentlichung kommt von dem BayLDA in Form eines „Selbst-Check: Datenschutzrechtliche Regelungen bei Homeoffice“.

Das BayLDA möchte mit seiner Handreichung einen Überblick über die wichtigsten Praxismaßnahmen im Homeoffice entsprechend den geltenden gesetzlichen Datenschutzvorgaben geben. Im Sinne einer gezielten Prävention von Datenschutzverstößen soll damit im momen-tanen „neuen Alltag“ eine gesteigerte Sensibilisierung für dieses Thema erreicht und mit konkreten Prüffragen der eigene Stand der Umsetzung unterstützt werden, so das BayLDA.

Die aufgeführten Prüfpunkte sieht das BayLDA nicht als abschließend an, sondern stellt einen Best-Practice-Ansatz dar, der beispielsweise von seiten der Geschäftsführung oder des Datenschutzbeauftragten im Sinne einer Soll-Ist-Überprüfung verwendet werden kann. Eine gut sortierte Sammlung zum Thema Datenschutz und Home-Office bietet die GDD mit weiteren nützlichen Links zum Thema.

Quelle: Bayerisches Landesamt für Datenschutzaufsicht