Schlagwort: Orientierungshilfe

Neue Orientierungshilfe der DSK zur Sicherheit bei der E-Mail-Übermittlung

28. Juni 2021

Die Datenschutzkonferenz (DSK) – das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder – hat kürzlich eine Orientierungshilfe veröffentlicht, welche Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail vorstellt. Diese richtet sich nicht nur an öffentliche E-Mail-Dienstanbieter, sondern an sämtliche datenschutzrechtlich Verantwortliche sowie Auftragsverarbeiter, die personenbezogene Daten per E-Mail übermitteln. Die Orientierungshilfe behandelt dabei lediglich Risiken in Bezug auf die Vertraulichkeit und Integrität der Daten, also solche Risiken, die sich auf dem Transportweg ergeben. Gegenstand der vorgestellten Maßnahmen sind daher vor allem Verschlüsselungstechniken. Diese sollten jedoch durch Maßnahmen zum Schutz der beteiligten Systeme sowie zur Minimierung, Speicherbegrenzung und Zweckbindung der Verkehrsdaten ergänzt werden.

Inanspruchnahme öffentlicher E-Mail-Dienstanbieter

Nehmen Unternehmen die Dienste öffentlicher E-Mail-Dienstanbieter in Anspruch, sollten diese darauf achten, dass die Dienstanbieter hinreichende Garantien für die Einhaltung der datenschutzrechtlichen Anforderungen bieten können. Dazu gehört auch, dass die Dienstanbieter die Anforderungen der TR 03108-1 des Bundesamtes für Sicherheit und Informationstechnik (BSI) einhalten; dies ist für die Dienstanbieter verpflichtend. Daneben müssen die unternehmenseigenen Systeme und Endgeräte sicher an jene der Dienstanbieter angebunden sein. Sollten sich für die Verarbeitung nach Einschätzung des Verantwortlichen oder Auftragsverarbeiters gesteigerte Risiken ergeben, sind ggf. die zusätzlichen, in der Orientierungshilfe dargestellten Anforderungen einzuhalten.

Gezielter Empfang personenbezogener Daten

Die DSK stellt anschließend zwei Fallgruppen vor, für welche sich zusätzliche Verpflichtungen ergeben können: Einerseits die gezielte Entgegennahme personenbezogener Daten durch E-Mails, andererseits der Versand von E-Mail-Nachrichten. Werden gezielt personenbezogene Daten per E-Mail entgegengenommen, muss der Empfänger einen verschlüsselten Kanal zur Verfügung stellen, mindestens per TLS-Verbindung. Außerdem sollte ein möglichst breites Spektrum an qualifizierten Algorithmen für die Verschlüsselung und Authentifizierung zur Verfügung gestellt und DKIM-Signaturen überprüft werden, um die Authentizität und Integrität der empfangenen Nachrichten sicherzustellen. Bestünde durch den Bruch der Vertraulichkeit ein hohes Risiko für die Betroffenen, muss schließlich sowohl eine qualifizierte Transportverschlüsselung als auch der Empfang von Ende-zu-Ende-verschlüsselten Nachrichten ermöglicht werden. Auch die Signaturen müssen dann qualifiziert überprüft werden.

Versand von E-Mail-Nachrichten

Werden personenbezogene Daten per E-Mail versandt, sollten sich die Verantwortlichen oder Auftragsverarbeiter an der TR 03108-1 des BSI (s.o.) orientieren und eine obligatorische Transportverschlüsselung sicherstellen. Würde der Bruch der Vertraulichkeit ein hohes Risiko für die Betroffenen darstellen, ist grundsätzlich sogar eine Ende-zu-Ende-Verschlüsselung sowie eine qualifizierte Transportverschlüsselung erforderlich. Für Berufsgeheimnisträger können sich zudem besondere Anforderungen ergeben, da bei diesen ein hohes Risiko für die Betroffenen anzunehmen ist. Schließlich muss durch geeignete technische und organisatorische Maßnahmen sichergestellt werden, dass beim Empfänger nur jene Personen von der Nachricht Kenntnis nehmen können, für welche die Nachricht bestimmt ist. Bei hohem Risiko kann etwa eine Ende-zu-Ende-Verschlüsselung mit individueller Adressierung in Betracht kommen.

Anforderungen müssen eingehalten werden

Die Orientierungshilfe enthält außerdem umfangreiche technische Anforderungen an die dargestellten Verschlüsselungs- und Signaturverfahren. Für betroffene Unternehmen gilt es also zu prüfen, ob diese erforderlich sind, und wenn ja, ob die Anforderungen korrekt umgesetzt werden. Wichtig ist die Feststellung, dass die DSK lediglich typische Verarbeitungssituationen berücksichtigen konnte. Ergeben sich bei einem Verantwortlichen oder Auftragsverarbeiter Besonderheiten für die Verarbeitung, etwa aus dem Umfang, den Umständen oder den Zwecken der Übermittlung, muss dies berücksichtigt werden und kann ggf. abweichende Anforderungen notwendig machen. Zudem betont die DSK, dass andere Kommunikationskanäle ausgewählt werden müssen, wenn die dargestellten Anforderungen nicht erfüllt werden können.

Das Fax ist nicht Datenschutz-konform

11. Mai 2021

Nachdem das OVG Lüneburg bereits im vergangenen Jahr entschied, dass die Übermittlung personenbezogener Daten per Telefax rechtswidrig war, hat die Landesbeauftragte für Datenschutz der Freien Hansestadt Bremen diese Erkenntnis in eine Orientierungs- und Handlungshilfe fließen lassen.

Dort schreibt sie, dass durch technische Weiterentwicklungen das Schutzniveau gelitten habe. Früher seien Faxe über exklusive Ende-zu-Ende-Telefonleitungen verschlüsselt versandt worden. Heute werden die Daten jedoch paketweise in Netzen transportiert, die auf der Internet-Technologie beruhen. Außerdem existiert häufig an der Empfangsstelle kein echtes Fax-Gerät mehr. Faxe würden immer häufiger automatisch in E-Mails umgewandelt und an bestimmte Postfächer weitergeleitet.

Daraus folgt, dass das Schutzniveau dem einer unverschlüsselten E-Mail gleichkommt. Hierfür wird gern das Bild einer offen einsehbaren Postkarte zum anschaulichen Vergleich herangezogen. Faxe eignen sich daher regelmäßig nicht für den Versand personenbezogener Daten, da sie keine Schutzmaßnahmen zur Gewährleistung der Vertraulichkeit personenbezogener Daten haben. Besser geeignete Versandwege sind Ende-zu-Ende verschlüsselte E-Mails oder die traditionelle Post.

Kategorien: Allgemein · DSGVO
Schlagwörter: , ,

Ja, Nein, Vielleicht? Ein How-To für Einwilligungserklärungen

2. Mai 2016

Einwilligungserklärungen zur Verwendung von Daten finden sich häufig – auf Websites, in Formularen oder bei Verträgen. Häufig sind diese Einwilligungserklärungen jedoch nicht datenschutzkonform gestaltet: mal ist die Einwilligung als Bestandteil des Vertrages im Vertragstext „versteckt“, mal ist keine Widerrufsmöglichkeit angegeben.

Um diesen praktischen Problemen zu begegnen, hat der Düsseldorfer Kreis (also die datenschutzrechtlichen Aufsichtsbehörden der Länder) eine „Orientierungshilfe zur datenschutzrechtlichen Einwilligungserklärung in Formularen“ herausgegeben. Hier werden die elf wichtigsten Punkte einer Einwilligungserklärung aufgeführt und erklärt.

Dies ist nicht die erste praktische Hilfe des Düsseldorfer Kreises: Hinsichtlich Einwilligungen zu Werbung sei auf den entsprechenden Leitfaden verwiesen, der die Fallstricke und Gestaltungsmöglichkeiten aufzeigt.

Überwachung am Arbeitsplatz – rechtliche Orientierungshilfe

9. Februar 2016

Die Datenschutzbehörden der Länder und des Bundes haben eine Orientierungshilfe zum Thema „Überwachung der privaten und beruflichen Internetkommunikation der Arbeitnehmer“ veröffentlicht. Demnach sei es Arbeitnehmern grundsätzlich nicht erlaubt, betriebliche E-Mail -und Internetdienste zu privaten Zwecken zu verwenden. Zu beachten seien das Bundesdatenschutzgesetz sowie einschlägige arbeitsrechtliche Entscheidungen. Der Arbeitgeber habe das Recht, anhand der Protokolldaten stichprobenartig zu kontrollieren, ob die Internetnutzung rein betrieblich erfolgt. Die Kontrolle des Surfverhaltens sei zunächst personenunabhängig durchzuführen, da eine personenbezogene Vollkontrolle einen schwerwiegenden Eingriff in das verfassungsrechtlich geschützte Recht auf informationelle Selbstbestimmung des Arbeitnehmers darstelle. Daher sei eine personenbezogene Vollkontrolle nur bei konkretem Missbrauchsverdacht unter den Voraussetzungen des § 32 Abs. 1 S. 2 BDSG zulässig. Art und Ausmaß der Überwachung müssen verhältnismäßig sein. Die betriebliche E-Mail-Kommunikation dürfe der Arbeitgeber zur Kenntnis nehmen, wobei eine automatisierte Weiterleitung aller ein- und ausgehenden E-Mails einer permanenten Kontrolle gleichkäme und daher nicht zulässig ist.

Dem Arbeitgeber stehe es frei, die private Nutzung der E-Mail -und Internetdienste in vollem Umfang oder beispielsweise zeitlich begrenzt zu erlauben. Dies könne z. B. ausdrücklich im Arbeitsvertrag erlaubt sein oder durch konkludente Genehmigung erfolgen. Von einer konkludenten Genehmigung sei auszugehen, wenn der Arbeitgeber die private Nutzung der betrieblichen Internetkommunikation wissentlich über einen längeren Zeitraum dulde und somit eine sog. „betriebliche Übung“ anzunehmen wäre.

Sofern der Arbeitgeber privates Internetsurfen gestattet, ist er als Dienstanbieter nach dem TKG anzusehen und hat die Datenschutzbestimmungen des TMG zu beachten. Er ist folglich zur Achtung des Fernmeldegeheimnisses verpflichtet und darf auf Protokolldaten nur dann zugreifen, wenn eine wirksame Einwilligung des Arbeitnehmers vorliegt.

Die Überwachung der Internetkommunikation sog. „Geheimnisträger“ (z.B. Betriebsräte) unterliegt naturgemäß noch strengeren Regeln.

Nach Aussage der Aufsichtsbehörden empfiehlt es sich, die Details der Überwachung am Arbeitsplatz in Betriebsvereinbarungen zu statuieren.

LfDI: Orientierungshilfe „Datenschutz im Hotelgewerbe“

6. Mai 2013

Der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat eine Orientierungshilfe „Datenschutz im Hotelgewerbe“ erstellt. Diese soll Hotelbetreibern helfen, ihre “datenschutzrechtlichen Hausaufgaben” zu machen und den Hotelgästen praktische Tipps zum Schutz ihrer persönlichen Daten geben. Nach Anhörung der Beteiligten soll diese Orientierungshilfe veröffentlicht werden.

Anlass hierfür gab eine mit dem DEHOGA Rheinland-Pfalz durchgeführte Umfrage bei Hotelbetrieben im Land und mehr als 100 Vor-Ort-Kontrollen bei kleinen und mittleren Hotelbetrieben sowie bei allen 19 in Rheinland-Pfalz ansässigen Hotelketten. Der LfDI äußerte nach Prüfung: „Viele Hotelbetriebe haben große Anstrengungen unternommen, ihren Kunden auch in Sachen Datenschutz ein guter Gastgeber zu sein. Dennoch sind Probleme bei der weit überschießenden Erfassung von Meldedaten, beim Einsatz von Kreditkarten, bei der Erstellung sensibler Kundenprofile und beim Thema Datensicherheit klar erkennbar.“

DSK: Entschließung und Orientierungshilfe „Datenschutzgerechtes Smart Metering“

29. Juni 2012
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) hat eine Entschließung und eine ergänzende Orientierungshilfe mit Hinweisen für ein datenschutzgerechtes Smart Metering verabschiedet.

Im Rahmen der Entschließung wird seitens der DSK u.a. gefordert, dass eine Verarbeitung von Smart Meter Daten nur erfolgen darf, soweit es für die im Energiewirtschaftsgesetz aufgezählten Zwecke erforderlich ist. Des Weiteren müssen Ableseintervalle so groß sein, dass aus dem Verbrauch keine Rückschlüsse auf das Verhalten der Nutzer gezogen werden können. Smart Meter Daten sollen möglichst nur anonymisiert, pseudonymisiert oder aggregiert an möglichst wenige Stellen übermittelt werden. Zudem müssen angemessene Löschfristen für die Daten festgelegt werden, um eine Vorratsdatenspeicherung zu vermeiden. Weiterhin müssen die  Kommunikations- und Verarbeitungsschritte von Smart Metering zu jeder Zeit für den Letztverbraucher sichtbar und nachweisbar sein. Er muss Zugriffe auf den Smart Meter erkennen und dies im Zweifel unterbinden können.

Die Orientierungshilfe soll zum einen Hilfestellung zur datenschutzgerechten Konzeption der technischen Systeme für das Smart Metering geben, indem u.a. erläutert wird, wie die zentralen Forderungen des Datenschutzes nach Zweckbindung, Datensparsamkeit und Erforderlichkeit berücksichtigt werden können. Zum anderen beinhaltet die Orientierungshilfe Empfehlungen an den Gesetzgeber für eine Rechtsverordnung, die die Vorschriften des novellierten Energiewirtschaftsgesetzes konkretisieren soll.

Kategorien: Allgemein
Schlagwörter: , ,