Die DSGVO setzt voraus, dass personenbezogene Daten mittels sicherer und damit geeigneter Verfahren, wie z.B. die Post oder Ende-zu-Ende verschlüsselter E-Mails, versandt werden. Aber wie sieht es mit der Sicherheit von Faxgeräten aus?

Die Übertragung erfolgt mittlerweile zum größten Teil über internetbasierte Datenverbindungen. Die Anbieter von Faxgeräten unterliegen dem Telekommunikationsgesetz und daher der Registrierung bei der Bundesnetzagentur und deren Aufsicht und Sicherheitsanforderungen.

Hessischer Beauftragte für Datenschutz und Informationsfreiheit sieht Faxversand als unsicheres Kommunikationsmittel

Kürzlich hat sich die hessische Aufsichtsbehörde in einer Stellungnahme gegen die Übermittlung personenbezogener Daten per Fax ausgesprochen. Damit schließt sich der Hessische Beauftragte für Datenschutz und Informationsfreiheit Alexander Roßnagel der Meinung der Aufsichtsbehörde in Bremen an. Aufgrund der Digitalisierung der Faxübertragung und der Endgeräte könne nicht gewährleistet sein, dass die Daten nicht von Unbefugten abgefangen werden. Die Übertragung sei hinsichtlich der Sicherheit gleichzustellen wie eine unverschlüsselte E-Mail. Daher sei sie „mit dem Risiko des Verlustes der Vertraulichkeit der übermittelten Daten behaftet“.

Es wird seitens der Aufsichtsbehörde daher empfohlen, Faxgeräte zur Übermittlung von personenbezogenen Daten nur in Ausnahmefällen (und auch dann nur unter Einsatz zusätzlicher Schutzmaßnahmen sowohl beim Versender als auch Empfänger) zu nutzen. Besonders sensible Daten sollten gar nicht per Fax übermittelt werden.

Die Stellungnahme der hessischen Aufsichtsbehörde mit alternativen Vorschlägen zur Übermittlung personenbezogener Daten finden Sie hier.

Welche Sicherheitsanforderungen sind gefordert?

Die Bundesnetzagentur hat in Zusammenarbeit mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) einen Sicherheitskatalog veröffentlicht. In Anlage 1 des Sicherheitskatalogs werden die Anforderungen an TK-Diensteanbieter mit IP-Infrastruktur thematisiert. Mehr Informationen und entsprechende Erklärungen zu den Sicherheitsanforderungen finden Sie hier.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Die Irische Aufsichtsbehörde (Data Protection Commission (DPC)) erinnert in einer Orientierungshilfe („General Portable StorageDevice Recommendations“) daran, dass der Datenschutz bei portablen Speichermedien, wie z.B. USB-Stick, Laptop, Smartphone u.ä. nicht endet. Vielmehr müssen die Daten auf diesen Geräten sicher verwahrt und vor Missbrauch geschützt werden. Die irische Aufsichtsbehörde listet zusammengefasst folgende Hinweise auf:

• Keine Nutzung privater Speichermedien am Arbeitsplatz und umgekehrt keine Verwendung dienstlicher Speichermedien in privaten Geräten.
• Nutzung verschlüsselter Speichermedien (z.B. Passwort) und Ausgabe der Geräte durch eine zentrale Stelle im Unternehmen.
• Die Unternehmen sollten eine Bestandsliste der Speichermedien führen und vermerken an welche Person das Medium ausgegeben worden ist. Es sollte eine Rückgabe der tragbaren Speichermedien beim Ausscheiden des Mitarbeiters aus dem Unternehmen erfolgen.
• Um Datenschutzverletzungen vorzugreifen, sollten die Berechtigungen derart vergeben werden, dass Mitarbeiter selbständig keine Daten auf portable Speichermedien ziehen können. Dies sollte autorisierten Personen vorbehalten sein.
• Die tragbaren Speichermedien sollten passwortgeschützt sein. Ein Passwort sollte dabei aus mindestens zwölf Zeichen bestehen. Dabei sind Groß- und Kleinschreibung, Sonderzeichen, Zahlen und Satzzeichen zu nutzen.
• Bei Nutzung eines USB-Sticks sollte sichergestellt sein, dass jeder USB-Stick vor der Nutzung durch einen Automatismus überprüft wird, so dass keine Malware auf den Rechner kommt.
• Es sollte für alle Daten, die auf einem tragbaren Speichermedium abgelegt werden, ein Backup geben.
• Die Daten sollten keinen langen Zeitraum gespeichert werden. Nach Zweckerfüllung sollten die Daten umgehend gelöscht werden. Nach Möglichkeit sollten die Daten mit einem „Ablaufdatum“ versehen werden, so dass sie nach einer gewissen Zeit nicht mehr genutzt werden können.
• Die Speichermedien sollten über ein Fernverwaltungsprogramm eine Ferndeaktivierungs- oder Fernlöschfunktion unterstützen.
• Bei Verlust eines tragbaren Speichermediums sollte es möglich sein, nachzuvollziehen, welche Daten sich auf dem Speichermedium befanden und es sollte überprüft werden können, ob Daten verschwunden sind.
• Nicht eingesetzte tragbare Speichermedien sollten nicht unbeaufsichtigt gelassen, sondern verschlossen aufbewahrt werden. Auch während der Nutzung gilt, diese sollten nicht unbeaufsichtigt sein und immer unter Kontrolle der autorisierten Person sein.
• Die USB-Speichermedien sollten regemäßig auf ihre Inhalte geprüft werden. Es dürfen nur die vereinbarten Daten gespeichert werden.
• Es sollten nur Geräte von seriösen und anerkannten Herstellern und Wiederverkäufern verwendet werden.

Die Nutzer der tragbaren Speichermedien sollten entsprechend sensibilisiert werden.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Verantwortliche (z.B. Unternehmen) im Sinne der Datenschutzgrundverordnung (DSGVO) sind verpflichtet betroffene Personen über die Verarbeitung ihrer personenbezogenen Daten (z.B. bei dem Besuch einer Webseite) zu informieren.

Viele Unternehmen lassen sich die Kenntnisnahme der Datenschutzhinweise aktiv bestätigen. Diese Vorgehensweise ist nicht erforderlich. Vielmehr handelt es sich um eine Bringschuld seitens des Verantwortlichen. Es muss der betroffenen Person ermöglicht werden, Kenntnis über die Verarbeitung ihrer Daten zu erlangen, z.B. sollten die Datenschutzhinweise eines Webseitenbetreibers als solche deutlich gekennzeichnet sein und von jeder Unterseite leicht auffindbar und zugänglich sein. Für die Transparenz der Hinweise ist es wichtig, dass diese bereits eine eindeutige Bezeichnung erhalten, z.B. „Datenschutzinformation“ oder „Datenschutzhinweise“. Keine treffende Bezeichnung stellt z.B. die Begrifflichkeit „Datenschutzrichtlinie“ dar. Ein Verweis in die allgemeinen Geschäftsbedingungen (AGB) ist nicht ausreichend. Die AGB ersetzen keine Datenschutzinformationen. Auch sollten die Datenschutzinformationen nicht mit den AGB und/oder Nutzungsbedingungen gemischt werden. Es handelt sich um unterschiedliche Rechtsgebiete. So unterliegen die AGB möglicherweise einer sog. AGB-Kontrolle.

Benötigen Sie Unterstützung beim Thema Datenschutzhinweise richtig zu erteilen? Dann melden Sie sich gern bei unserem ds²-Team. Wir freuen uns auf Ihren Anruf!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Die Auslagerung von Datenverarbeitungen (Auftragsverarbeitung) an externe Dienstleister hat zur Folge, dass Unternehmen die sensiblen personenbezogenen Daten, die in ihrer Verantwortung liegen, an Drittunternehmen weitergeben.

Der Umgang mit den personenbezogenen Daten in einem Unternehmen ist nicht nur eine Vertrauenssache, sondern fordert des Öfteren auch besondere vertragliche Regelungen. Datenschutz ist gerade im Bereich der Auftragsverarbeitung von hoher Bedeutung. Nach der Datenschutzgrundverordnung (DSGVO) ist der für die Daten Verantwortliche (Auftraggeber) beim Outsourcing für die Einhaltung der Datenschutz- und Datensicherheitsstandards verantwortlich. Er hat zu überprüfen, ob der Auftragsverarbeiter (Auftragnehmer) diese Anforderungen erfüllen kann. Der Auftragnehmer wird dabei unter anderem dazu verpflichtet zu erläutern, wie er die Einhaltung dieser Regelungen dauerhaft gewährleisten kann. Für den Auftragnehmer ist daher ein entsprechendes Konzept eine existentielle Voraussetzung für die Tätigkeit in diesem Geschäftsfeld.

ds² hat umfassende Prozesse und Verfahren entwickelt, mit denen Auftraggeber ihren Verpflichtungen nachkommen können.

Für Auftragnehmer bieten wir die Erstellung eines individuellen Datensicherheitskonzeptes gem. Art. 32 DSGVO, sowie ggf. die Anpassung und Dokumentation der Prozesse der Dienstleistungen, die Gegenstand der Auftragsverarbeitung sind.

Weitere detaillierte Informationen sowie mögliche Lösungsansätze zu diesem Thema erhalten Sie telefonisch unter +49 5423 95 993 20.

Nach Inkrafttreten der Datenschutz-Grundverordnung ist die Sensibilisierung für den Datenschutz gestiegen. So ist mittlerweile vielen Abteilungen, die mit Kundenansprachen arbeiten, bewusst, dass neben dem Gesetz gegen den unlauteren Wettbewerb (UWG) auch der Datenschutz zu berücksichtigen ist. Die verantwortliche Stelle im Unternehmen stellt sich jedoch meist die Frage: "Darf ich das?"

Denn bei Verstößen in diesem Bereich ist nicht nur mit Konsequenzen durch die Gewerbeaufsicht sondern auch durch die Datenschutzaufsicht zu rechnen.

Insbesondere im Marketing und im Vertrieb stellen sich die Fragen, wie die Kundenansprache heute noch zulässig, aber dennoch wirtschaftlich erfolgen kann. Sind Preisausschreiben noch möglich? Welche Anforderungen sind bei der Erhebung von Adressdaten zu beachten?

Welche Werbung ist bei eigenen Kunden noch erlaubt? Was muss ich bei der Neukundengewinnung berücksichtigen? Brauche ich immer eine Einwilligung? Wie bekomme ich eine wirksame Einwilligung? Darf ich noch Visitenkarten annehmen? Wann dürfen Newsletter verschickt werden?

Die ds²-Berater analysieren Ihre Kundenkommunikation aus datenschutzrechtlicher Sicht und unterstützen Sie bei der Entwicklung der erforderlichen Prozesse und der Formulierung erforderlicher Dokumente, um Ihnen die Sicherheit zu geben, im Bereich der Kundenansprache datenschutzgerecht aber auch wirtschaftlich zu arbeiten. Ganz nebenbei sind Sie damit Ihrem Wettbewerb oft deutlich voraus. Viele ds²-Kunden werben erfolgreich damit, dass sie beim Datenschutz keine Kompromisse zu Lasten ihrer Kunden machen.

Weitere detaillierte Informationen sowie mögliche Lösungsansätze zu diesem Thema erhalten Sie telefonisch unter +49 5421 308950.

Die Abhängigkeit der Unternehmensprozesse von der Informationstechnologie sowie die steigenden Anforderungen an die Informationssicherheit haben dazu geführt, dass dieser Bereich zunehmend Gegenstand von Haftungsansprüchen und daher auch von Risikoprüfungen ist.

Im Zentrum der Aktivitäten steht dabei die Gewährleistung der technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO.

Unabhängig von Produkten bestimmter Hersteller optimiert ds² durch kostengünstige Maßnahmen, die oft sogar ohne Investitionen in Hard- und Software möglich sind, so z.B. durch speziell auf das Unternehmen zugeschnittene Auditverfahren, welche die wesentlichen Risiken erfassen und eine exakte Analyse der Datenverarbeitung im Unternehmen erlauben. Kunden und Kapitalgeber werden somit die erforderlichen Sicherheitsstandards geboten, welche auch gleichzeitig mit dem Jahresabschlussprüfer abgestimmt werden um zusätzliche Aufwendungen zu vermeiden.

Diese Aktivitäten werden durch gezielte Trainings und gegebenenfalls Awarenesskampagnen unterstützt.

Weitere detaillierte Informationen sowie mögliche Lösungsansätze zu diesem Thema erhalten Sie telefonisch unter +49 5421 308950.

Erschienen am 7. Juni 2020

In Berlin hat sich heute die European Federation of Data Protection Officers (EFDPO) gegründet. Der europäische Dachverband der Datenschutzbeauftragten hat sich zum Ziel gesetzt, die Datenschutzbeauftragten der EU-Mitgliedsstaaten zu vernetzen, gemeinsame Standards zu entwickeln und die Interessen des Berufsverbandes in Brüssel zu vertreten.

„Ein weiteres Ziel ist es, weltweit dafür zu werben, das schützenswerte Daten in Europa gut aufgehoben sind“, sagt Thomas Spaeing. Denn der strenge Datenschutz in der EU sei sowohl ein Standort- wie auch ein Wettbewerbsvorteil. Thomas Spaeing, Geschäftsführer der auf integrierten Datenschutz spezialisierten Unternehmensberatung ds², wurde zum Gründungspräsident gewählt. Er hatte als Vorstandvorsitzender des Bundesverbandes der Datenschutzbeauftragten (BvD) den europäischen Dachverband initiiert. Gründungsmitglieder sind neben dem BvD nationale Berufsvertretungen aus Österreich, Frankreich, Portugal, Tschechien, der Slowakei, Griechenland und Liechtenstein. Arbeitssitz des neuen Verbandes ist Brüssel.

Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte direkt an die Autorin oder den Autor. Wir freuen uns auf Ihren Anruf!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.