Datenschutz und Datensicherheit sind kein Wunschkonzert
Vorwort
Weil der Datenschutz so wichtig ist, beschäftigten wir uns auch in diesem Monat in unserem Blog wieder mit diesem Thema.
Diesmal möchten wir darüber diskutieren, wie mit einer Ablehnung der erbrachten technischen und organisatorischen Maßnahmen für den Schutz der Daten umzugehen ist. Hier ist die Ablehnung durch Personen gemeint, deren Daten es zu schützen gilt. In der Fachliteratur liest man immer wieder, dass gerade von den „betroffenen Personen“ gefordert wird auf solche Maßnahmen wie z.B. auf die Verschlüsselung von E-Mails mit personenbezogenen Daten oder anderweitig sensibler Daten, zu verzichten.
Das haben wir uns zum Anlass genommen die Risiken nochmal bewusst zu machen, die durch die oben genannte Nichtbeachtung einhergehen.
Gesetzliche Grundlagen
Orientieren wir uns an dem oben genannten Beispiel der Verschlüsselung von E-Mails!
Im Rahmen der DSGVO ist die Verschlüsselung nicht verpflichtend und somit gesetzlich nicht verboten E-Mails mit oben genannten Inhalten unverschlüsselt zu versenden. Kommt es ABER zu einer Datenpanne, d.h. nicht befugte Personen gelangen an die Inhalte der E-Mail, ist man als Unternehmen in der Verpflichtung diese Datenpanne innerhalb von 72 Stunden der Datenschutzbehörde und den betroffenen Personen zu melden. Es gehört daher zu den technischen und organisatorischen Maßnahmen sensible E-Mail Anhänge oder E-Mails zu schützen (z.B. durch Verschlüsselung), um Datenpannen zu vermeiden.
Fakt ist: Würde eine verschlüsselte E-Mail mit personenbezogenen Daten an einen falschen Empfänger gelangen, würde die Meldepflicht entfallen und dadurch auch mögliche Folgen und Strafen.
Auch die Aufsichtsbehörden haben sich mit dem Thema der Nichtanwendung der technischen und organisatorischen Maßnahmen auf ausdrücklichen Wunsch der „Betroffenen“ befasst.
Ein Auszug des Beschlusses der Datenschutzkonferenz vom 24.11.2021 „zur Möglichkeit der Nichtanwendung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO auf ausdrücklichen Wunsch betroffener Personen“ lautet wie folgt:
„Die vom Verantwortlichen nach Art. 32 DSGVO vorzuhaltenden technischen und organisatorischen Maßnahmen beruhen auf objektiven Rechtspflichten, die nicht zur Disposition der Beteiligten stehen. Ein Verzicht auf die vom Verantwortlichen vorzuhaltenden technischen und organisatorischen Maßnahmen oder die Absenkung des gesetzlich vorgeschriebenen Standards auf der Basis einer Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO ist nicht zulässig.“
Fazit
Wie man aus den gesetzlichen Grundlagen herausliest, wird nicht die Unterlassung einer einzelnen Maßnahme wie die nicht Verschlüsselung sensibler E-Mails bestraft, sondern das keine geeignete Maßnahme zum Schutz der Daten eingesetzt wurde und es zu einer Datenschutzverletzung kam.
Wie auch aus dem Beschluss des Gremiums herauszulesen ist, ist das Thema Datenschutz und Datensicherheit sehr ernst zu nehmen und unbedingt zu beachten. Zum einen aus wirtschaftlicher Sicht und zum anderen zum Schutz der eigenen Daten und der Daten aller möglichen betroffenen Personen. Auch wenn es von der anderen Seite nicht gewollt ist.
Seien wir mal ehrlich zu uns selbst:
Möchten wir wirklich, dass (im Rahmen des Datenschutzes) unsere personenbezogenen Daten oder (im Rahmen der Informationssicherheit) unsere Geschäftsgeheimnisse unbefugter Weise in fremde Hände gelangen?
Nein?
Dann lassen Sie uns zusammenarbeiten und Maßnahmen für den Schutz der Daten ergreifen.
Wir helfen Ihnen gerne weiter! Buchen Sie sich einfach einen Termin unter: Termin buchen
Eure Nadine Vollmer
(In Anlehnung: https://www.security-insider.de/datenschutz-und-datensicherheit-sind-kein-wunschkonzert-a-1090889/)
