Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 14

Thema: Unterlassene Verschlüsselung (insb. bei Berufsgeheimnisträgern), Datenschutzverstoß?

  1. #1

    Standard Unterlassene Verschlüsselung (insb. bei Berufsgeheimnisträgern), Datenschutzverstoß?

    Guten Samstag zusammen.

    Darüber, dass die (Pflicht zur) Verschlüsselung schon in der jetzigen Anlage zu § 9 BDSG Erwähnung findet und doch eher stiefmütterlich behandelt / angewendet wird, brauchen wir glaube ich nicht zu sprechen.

    Da die Meldepflichten ab dem 25.05.2018 noch restriktiver und die Bußgelder (vermutlich) deutlich höher ausfallen werden, stelle ich mir die Frage, ob eine unverschlüsselte Mail (die personenbezogene Daten enthält) ab dann nicht per sé als Datenschutzverstoß meldepflichtig wäre (und ob dies nicht zusätzlich - ja, heute dann vermutlich auch schon - dazu führt, dass der § 203 StGB "Verletzung von Privatgeheimnissen" mit in den Fokus rückt)? Art. 4 Absatz 12: „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden; (Hervorhebung von mir).

    Bisher ist/war gemäß § 42a BDSG die Meldepflicht bei Verstoß auf bestimmte Datenkategorien beschränkt. Die DSGVO (Art. 33) sieht eine Meldung bei einem Verstoß bei jeglicher Verletzung personenbezogener Daten vor. Einschränkung, damit keine Meldung erfolgen muss, ist wenn: "die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt."

    Wenn ich jetzt einen Blick in Erwägungsgrund 75 der DSGVO werfe, finde ich folgendes: (75) Die Risiken für die Rechte und Freiheiten natürlicher Personen — mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere — können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere

    wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, (Hervorhebung von mir)

    Jetzt könnte man sagen, kein Berufsgeheimnisträger würde sich selber anschwärzen (schon aus Unwissenheit nicht), der eine unverschlüsselte Mail verschickt. Aber wäre dies dann nicht der "Tatbestand" einer unterlassenen Meldung, die ebenfalls unter Bußgeldandrohung steht? Jetzt könnte das Gegenargument kommen, "Mandant verzichtet freiwillig auf die Verschlüsselung und ist sich der Risiken bewusst. Damit bin ich exkulpiert." Aber würde das eine Aufsichtsbehörde auch so sehen? Ich habe da arge Zweifel.

    Lange Rede, kurzer Sinn:

    Sehe ich das zu eng / falsch, oder müssten *eigentlich* sämtliche Mails (insbesondere die von Berufsgeheimnisträgern) ab dem 25.05. nach dem Stand der Technik verschlüsselt werden, um nicht in den Bußgeldtatbestand des Datenschutzverstoßes zu fallen?

    Viele Grüße und ein schönes Wochenende,
    KvJ

  2. #2

    Standard

    So uninteressant das Thema? Schon beantwortet diese Fragestellung und ich habe das übersehen? Keine Meinung?

  3. #3
    Registriert seit
    06.07.2009
    Beiträge
    900

    Standard

    schon interessant, aber ...
    kleiner Hinweis. die DuD hat sich in Heft 12/2017 mit dem Thema "Datensicherheit von E-Mails" befasst.
    Fazit:
    "Es gibt inzwischen vielfältige Möglichkeiten E-Mails zu verschlüsseln. Diese Möglichkeiten sollten auch genutzt werden, denn das Versenden einer unverschlüsselten E-Mail ist nur zulässig, wenn sämtliche Betroffene in die unverschlüsselte Kommunikation eingewilligt haben. Dies sicherzustellen ist aber nicht immer einfach, insbesondere wenn die personenbezogenen Daten Dritter betroffen sind."

    Unter 3.1 sagt der Autor zur geltenden Rrechtslage, dass eine Einwilligung grundsätzlich auch konkludent erteilt werden könne, indem der Empfänger der E-Mail dem Absender seine E-Mail-Adresse mitteilt.

  4. #4

    Standard

    ebenfalls schon interessant, aber ...

    ebenfalls kleiner Hinweis: Der Datenschutz-Berater hat sich in Heft 12/2017 (hatte ich gestern quasi im Briefkasten) mit dem Thema "Verschlüsselung von E-Mails nur bei sensitiven Daten?" befasst.

    Fazit:
    "Jedenfalls bei Versendung sensitiver Daten (Art. 9 DSGVO) oder Daten von Berufsgeheimnisträgern kommt man um das Anbieten von Verschlüsselung kaum herum. Rechtliche Verzichtserklärungen sind aus Sicht des Datenschützers ungeeignet und auch rechtlich kaum haltbar."

    Ein paar Auszüge aus dem Text:

    "Der sächsische Datenschutzbeauftragte diskutiert sogar einen Verstoß gegen Strafvorschriften, weil § 203 StGB Abs. 1 StGB eine unbefugte Offenbarung [...] sogar mit Freiheitsstrafe bedroht."

    "Damit ist auch klar, dass die in § 203 StGB genannten weiteren Berufskreise [...] verschlüsselte E-Mails versenden müssen."

    "Zur Berufsverschwiegenheit verpflichtete Kreise [...] versenden an Ihre Kunden sogenannte Verzichtserklärungen. Der Kunde verzichtet [...] auf "weitere Sicherungsmaßnahmen" und erklärt zugleich, "ausdrücklich auf die Gefahren des ungeschützten E-Mail-Verkehrs hingewiesen worden [zu sein] und [...] diese Erklärung [...] in Kenntnis dieser Gefahrenlage" abzugeben. Es bestehen erhebliche rechtliche Bedenken gegen solche pauschalen Verzichtserklärungen, die den Anforderungen des Rechts der allgemeinen Geschäftsbedingungen genügen müssten."

    "Außerdem: Bei einer Datenverarbeitung mit unverschlüsselter Datenweitergabe wäre nach Art. 35 DSGVO im Zweifel eine Datenschutzfolgenabschätzung vorzunehmen. Nur dann, wenn der Verantwortliche zu dem Ergebnis käme, es bestehe kein hohes Risiko für die Rechte und Freiheiten der Betroffenen, dürfte er das Risiko eingehen. Gerade bei [...] Daten von Berufsgeheimnisträgern ist das Risiko jedoch eher hoch, [...] Aufsichtsbehörde konsultieren."

    Daher stellen sich mir immer noch die Fragen:
    - Kann ich wirksam in den Verzicht auf Verschlüsselung einwilligen? Ich meine mich zu erinnern, dass die ASB in Bayern dies strikt verneint.

    Und wenn kein Verzicht möglich,
    - müssten doch *eigentlich* sämtliche Mails (insbesondere die von Berufsgeheimnisträgern) ab dem 25.05. nach dem Stand der Technik verschlüsselt werden, um nicht in den Bußgeldtatbestand des Datenschutzverstoßes zu fallen oder nicht?

  5. #5
    Registriert seit
    11.01.2018
    Ort
    Rhein-Main
    Beiträge
    7

    Standard

    Da stellt sich mir die Frage, was denn unter "Verschlüsselung" bei E-Mails in diesem Kontext zu verstehen ist.
    Quasi jeder große E-Mail Provider verwendet heute TLS als Verschlüsselung der E-Mails auf dem Transportweg. Im E-Mail Client werden entsprechende Einstellungen vorgenommen, um STARTTLS bis zum Client sicherzustellen.
    Hier wage ich einmal die These, dass viele E-Mails im Berufsalltag bereits dieser Verschlüsselung genügen.
    Spannender ist die Frage, ob denn die Verschlüsselung auf dem Transportweg mittels TLS ausreicht oder ob andere Ende-zu-Ende Verschlüsselungsverfahren zur Anwendung kommen müssen.
    (S/MIME, PGP, etc.) Wenn solche Verfahren zur Anwendungen kommen müssen, dann wird es natürlich aufwändiger - für Sender und Empfänger. Dann müssen Zertifikate ausgetauscht werden, zusätzliche Software installiert werden und so manch ein Business-Anwender ist hier schnell überfordert.

  6. #6
    Registriert seit
    12.08.2014
    Beiträge
    101

    Standard

    Insgesamt spannend, insbes. auch das Schreiben der Aufsichtsbehörde Hamburg:
    https://www.datenschutzbeauftragter-...tsbehoerde.pdf
    "Die Einhaltung der technischen und organisatorischen Maßnahmen wird grundsätzlich für nicht abdingbar gehalten. Betroffene können auch nicht darin einwilligen, dass ihre Daten ohne einen ausreichenden Schutz nach dem Stand der Technik verarbeitet werden."
    Wobei ich diese Ansicht nicht so ganz teile. So lange eine sichere, nutzbare und verfügbare Lösung besteht und ich als Betroffener diese Lösung nicht nutzen will, so muss ich doch auch verzichten können?!

    oder Aufsichtsbehörde Sachsen im Bericht:
    https://www.saechsdsb.de/images/stor...-Version-5.pdf

  7. #7
    Registriert seit
    06.07.2009
    Beiträge
    900

    Standard

    Die GDD schreibt in ihrer neusten Praxishilfe XIII zur Einwilligung unter 1.2:

    "Unklar ist bislang, ob die Einwilligung auch den Verzicht in technisch-organisatorische Maßnahmen zu rechtfertigen vermag. Diese Frage taucht z.B. immer dann auf, wenn etwa Bankkunden, Versicherte oder Mandanten von Rechtsanwälten per unverschlüsselter eMail mit dem jeweiligen Verantwortlichen kommunizieren wollen.
    Gem. Art. 6 Abs. 1 lit. a DS-GVO wird die Einwilligung ausdrücklich an bestimmte Verarbeitungszwecke geknüpft. Die Festlegung der Verarbeitungsmodalitäten ist allerdings keine Zweckbestimmung. Darüber hinaus wird das technische Schutzniveau durch die Artt. 32 und 25 verobjektiviert (vgl.auch ErwGr 76). In der DS-GVO ist insofern kein eigenständiges Instrumentarium enthalten, um den Verzicht auf technische Schutzmaßnahmen in das Belieben der betroffenen Person zu stellen. Der Grundsatz von Treu und Glauben in Art. 8 Abs. 2 S. 1 GRCh2 ist allerdings mehr als eine reine Schrankenbestimmung. Treu und Glauben geben den äußeren Rahmen für die Datenverarbeitung vor, daher ist der betroffenen Person stets auch die Einwilligung als aktive Grundrechtsausübung zu ermöglichen. Eine EU-grundrechtskonforme Auslegung des Einwilligungstatbestandes über den eigentlichen Wortlaut hinaus erscheint daher angezeigt.

    Im Ergebnis dürfte ein Verzicht auf technischorganisatorische Maßnahmen im Wege der Einwilligung auch künftig möglich bleiben."

  8. #8
    Registriert seit
    19.06.2009
    Beiträge
    4.938

    Standard

    Da der Schutz vom BDSG wie von der DSGVO allein im Interesse der Betroffenen vorgeschrieben wird, halte ich den Ansatz im GDD-Papier für richtig.

    Allerdings gibt es auch Ausnahmen und Grenzen.

    Im öffentlichen Bereich gilt allgemein, dass die staatlichen Organe nicht befugt sind, ihre gesetzlichen Befugnisse gegenüber dem Bürger durch die Einholung von Einwilligungen zu erweitern. Dieses Prinzip würde ich auch auf erlaubte Gefährdungen anwenden. Das gesetzlich gebotene Schutzniveau kann also nicht durch Abmachungen mit dem Bürger herabgesetzt werden. In extremen Sondersituationen mag etwas anderes gelten.

    Im privaten Bereich sind die Grenzen für allgemeine Geschäftsbedingungen zu beachten. Eine (insoweit unzulässige) einseitige Abweichung von der gesetzlichen Risikoverteilung zulasten von Verbrauchern kann auch bei einem formularmäßig vorgesehenen abgesenkten Schutzniveau vorliegen.

    Auch bei besonderen Schutz- oder Fürsorge- oder Vertrauensverhältnissen scheint mir die Einholung einer Zustimmung des Betroffenen zu verringertem Schutz unstatthaft. So waren wir uns kürzlich einig, dass ein Arzt nicht seine Sorgfaltspflicht bei telefonischen Auskünften reduzieren oder sich das Mithören Dritter in der (schlecht organisierten) Praxis erlauben lassen darf.

    In vielen Fällen werden die Verantwortlichen gut beraten sein, dem Erhalt des Vertrauens ihrer Geschäftspartner die Priorität vor der Bequemlichkeit zu geben.

    Im Ergebnis wird eine einvernehmliche Schutz-Absenkung also wohl eher selten in Betracht kommen.
    Ulrich Dammann
    Moderator - Administrator

  9. #9
    Registriert seit
    12.08.2014
    Beiträge
    101

    Standard

    Sie kommen eher selten in Betracht, aber die Nachfragen werden sich häufen. Hier werden die Datenschützer gut argumentieren müssen. Ich sehe die thematik aber nicht nur bei Email, sondern auch bei Portalen und Apps, in denen sensible/vertrauliche Informationen verarbeitet werden. Hier sind mMn Benutzername und Passwort nicht mehr Stand der Technik, ich würde eine starke Authentifizierung (bspw. Mehrfaktor) voraussetzen. Dies kann spätestens am SmartPhone beliebig unbequem werden und ich vermute, dass hier leider Viele zu Gunsten der Bequemlichkeit auf Sicherheit verzichten wollen.

    Mal ganz davon ab, dass auch ende-zu-ende verschlüsselte Email sowohl auf Verbraucher als auch auf Unternehmensseite nicht unbedingt trivial zu organisieren ist. DE-Mail hat nicht jeder und das Vertrauen hat hier auch massiv gelitten (zentrale Schlüsselverwaltung).

  10. #10

    Standard

    Zitat Zitat von Ulrich Dammann
    Im Ergebnis wird eine einvernehmliche Schutz-Absenkung also wohl eher selten in Betracht kommen.
    Passt ganz gut dazu wie ich finde (auch die "Updates" unterhalb des Beitrags sind lesenwert): https://www.datenschutzbeauftragter-...von-anwaelten/

Seite 1 von 2 12 LetzteLetzte

Ähnliche Themen

  1. Schadensersatzpflicht bei Datenschutzverstoß
    Von Ulrich Dammann im Forum Arbeitnehmerdatenschutz
    Antworten: 5
    Letzter Beitrag: 09.06.2015, 09:33
  2. ADV bei Berufsgeheimnisträgern
    Von compliance im Forum AV Auftragsverarbeitung
    Antworten: 8
    Letzter Beitrag: 23.10.2014, 06:51
  3. Vermieter und Datenschutzverstoß
    Von Svitanok im Forum Allgemeine Rechtsfragen, Gesetze, Gesetzgebung
    Antworten: 7
    Letzter Beitrag: 17.06.2014, 09:02
  4. Knosequenzen bei Datenschutzverstoß
    Von Lender86 im Forum Arbeitnehmerdatenschutz
    Antworten: 3
    Letzter Beitrag: 08.02.2013, 09:53
  5. Schwerwiegender Datenschutzverstoß?
    Von delfin im Forum Gesundheit
    Antworten: 16
    Letzter Beitrag: 08.06.2011, 16:26

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •