Datenschutznachrichten

Datenschutznachrichten

Archiv Meldungen zum Thema Datenschutz

Hier finden Sie Berichte, Meldungen, Hintergrundinformationen zu datenschutzrelevanten Themen (Linksammlung).

TeleTrusT legt aktualisierte Handreichung zum Stand der Technik vor

Der Bundesverband IT-Sicherheit e.V., kurz TeleTrusT, hat eine neue 73-seitige Handreichung zum Thema „Stand der Technik“ veröffentlicht. Darin finden sich Auseinandersetzungen mit verschiedenen typischen Maßnahmen wie Passwörter oder Verschlüsselung. Die Maßnahmen werden aus genannten Bedrohungslagen hergeleitet und sie werden anhand der Schutzziele (Verfügbarkeit, Vertraulichkeit, Integrität, Authentizität) dargestellt. weiterlesen

In der Handreichung werden die Einzelheiten der Maßnahmen gleichermaßen für die Anforderungen des IT-Sicherheitsgesetzes als auch der DSGVO hergeleitet. Am Beispiel der Verschlüsselung wird dargestellt, welche Form der Verschlüsselung nach Auffassung der TeleTrustT als Stand der Technik einzustufen sind. Gleiches findet sich bei anderen Maßnahmen.

Das Dokument zum download hier

Anforderungen an die E-Mailtransportverschlüsselung

Die Nordrhein-Westfälische Landesdatenschutzbeauftragte für den Datenschutz hat in einer aktuellen Empfehlung zur E-Mailsicherheit wesentliche Kriterien für eine Transportverschlüsselung benannt.
Nach Auffassung der Behörde handelt es sich dann um angemessene Schutzmaßnahmen im Sinne des Art.32 DSGVO, wenn die folgenden Punkte erfüllt werden:  Text: NRW Aufsichtsbehörde

•  Die Kommunikation per E-Mail bedarf mindestens der Transport-Verschlüsselung, wie sie von den namhaften europäischen Providern standardmäßig angeboten wird.
•  Die Transportverschlüsselung sollte entsprechend der Technischen Richtlinie „BSI TR-03108 Sicherer E-Mail-Transport“ implementiert sein. In Abhängigkeit vom Schutzbedarf der versendeten Daten und dem Risiko können Abweichungen von der Richtlinie statthaft sein.
•  Es ist zu berücksichtigen, dass bei einer Transportverschlüsselung die E-Mails auf den E-Mail-Servern im Klartext vorliegen und grundsätzlich einsehbar sind.  Bei besonders schützenswerten Daten (z.B. Kontobewegungsdaten, Finanzierungsdaten, Daten zum Gesundheitszustand, Mandantendaten von Rechtsanwälten und Steuerberatern, Beschäftigtendaten) ist eine alleinige Transportverschlüsselung möglicherweise nicht ausreichend. Zusätzliche technische und organisatorische Maßnahmen, wie z. B. eine Ende-zu-Ende-Verschlüsselung können geboten sein. Sollte dies nicht gewährleistet werden können, sind ggf. alternative Übertragungswege denkbar: Hierzu zählen der elektronische Austausch über eine gesicherte Verbindung (Web-Portal des Verantwortlichen mit Zugangsbeschränkungen) oder die klassische postalische Zusendung.

Die Empfehlung ist hier abrufbar

Baden-Württembergische Aufsichtsbehörde sieht gemeinsame Verantwortung für Betriebsräte

In dem heute vorgestellten Tätigkeitsbericht der Datenschutzaufsichtsbehörde aus Baden-Württemberg bezieht der LfDI klare Stellung zur Datenverarbeitung durch den Betriebsrat: Die Behörde bewertet diese Verarbeitung als Verarbeitung in einer eigenen Verantwortung des Betriebsrates.  weiterlesen


Sie begründet dies damit, dass der Betriebsrat selbst über Zweck und Mittel der Datenverarbeitung entscheidet. Sie ist nicht der Auffassung, dass der Zweck der Verarbeitung durch einen Betriebsrat allein durch Gesetz vorgegeben ist.
Wörtlich: „Gegen diese Ansicht spricht jedoch, dass sich auch in zahlreichen anderen Fallkonstellationen die Zwecke der Verarbeitung aus gesetzlichen Vorgaben ergeben. Verarbeitet ein Verantwortlicher personenbezogene Daten zu Zwecken, die gesetzlich vorgegeben werden (vgl. Art. 6 Abs. 1  Buchstabe c, Abs. 2 DS-GVO), vermag dies nichts an seiner datenschutzrechtlichen Verantwortlichkeit zu ändern.“

VERDATA vertritt schon seit längerem die Auffassung, dass der Betriebsrat und die Mitarbeitervertretungen als Verantwortlicher im Sinne des Art.4 DSGVO gelten. Die Auffassung ist, wie auch die Behörde ausdrücklich einräumt, nicht unumstritten, wird aber nun erstmalig aus Baden Württemberg öffentlich so publiziert.

Zum entsprechenden Ausschnitt aus dem Bericht

Der vollständige 34. Tätigkeitsbericht auf der Homepage des LfDI ist hier abrufbar

BayLDA: Medienbruch in der Information über Videoüberwachung zulässig

Das Bayerische Landesamt für Datenschutz setzt sich in einer kleinen Stellungnahme mit der Informationspflicht nach Art.13 DSGVO bei Videoüberwachung auseinander. Die  Behörde verweist zum einen auf die bereits bekannte Darstellung der Informationen nach dem Muster der Datenschutzkonferenz. Zum anderen äußert sich die Behörde aber zur Information über die Rechte von Betroffenen, über die nach Art. 13 DSGVO ebenfalls zu unterrichten ist.  weiterlesen

Hier hält das BayLDA es für zulässig, auf online bereitgestellte Informationen zu verweisen und lediglich den Link zu dieser Info abzugeben. Auch sollte die Information für Personen, die über keinen Internetzugang verfügen, an anderer Stelle erhaltbar sein.
Die Behörde verweist hinsichtlich des Informationsblattes auf ein Muster, das ebenfalls von der DSK herausgegeben wurde
Das interessante Fazit dieser Stellungnahme ist, dass die Behörde einen Medienbruch in der Information nach Art.13 DSGVO für zulässig bewertet hat.
Zur Stellungnahme:
https://www.lda.bayern.de/de/videoueberwachung.html

VERDATA_
DATENSCHUTZ GMBH & CO. KG

© VERDATA_ DATENSCHUTZ GMBH & CO. KG  2018