Freitag, 6. Dezember 2019

ULD schickt "IZG-Anfrage zu Ihrer Meldung als Datenschutzbeauftragte/r"

Heute haben wir gleich mehrere gleichlautende Anfragen des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) erhalten:


Betreff: IZG-Anfrage zu Ihrer Meldung als Datenschutzbeauftragte/r


Wir haben folgende E-Mail vom ULD erhalten. Die E-Mail-Adresse des Absenders lautet dsb-auskunft@datenschutzzentrum.de.

"Sehr geehrte Dame, sehr geehrter Herr, 
nach unseren Informationen wurden Sie als Datenschutzbeauftragte/r bestellt. Im Rahmen der Meldepflicht nach Artikel 37 Abs. 1 Datenschutzgrundverordnung (DSGVO) müssen Verantwortliche der zuständigen Aufsichtsbehörde melden, wer ihre Datenschutzbeauftragten sind. Dem Unabhängigen Landeszentrum für Datenschutz (ULD) wurden Vorname, Nachname und E-Mail (Pflichtfelder) sowie freiwillig Postanschrift und Telefonnummer gemeldet.

IZG-Anfrage zu Ihrer Meldung als Datenschutzbeauftragter ULD
E-Mail des ULD an yourIT: IZG-Anfrage zu Ihrer Meldung als Datenschutzbeauftragter

Bei uns ist zu Ihrer Person folgende E-Mail-Adresse gespeichert: 
   vorname.nachname@yourit.de

Sie wurde von folgendem Verantwortlichen gemeldet: 
   Musterfirma GmbH, Musterplatz 1, 25524 Itzehoe

Das ULD ist als öffentliche Stelle des Landes Schleswig-Holstein eine informationspflichtige Stelle nach dem Informationszugangsgesetz SH (IZG SH, Link: siehe unten). Es hat auf Anfrage bei ihm gespeicherte Informationen herauszugeben, es sei denn, es bestehen Ausschlussgründe nach § 9 IZG SH (Schutz öffentlicher Belange) oder § 10 IZG SH (Schutz privater Belange). 

In diesem Zusammenhang hat das ULD eine Anfrage erreicht, die die Kontaktdaten von Verantwortlichen und die E-Mail-Adressen der gemeldeten Datenschutzbeauftragten beinhaltet. Grundsätzliche Ablehnungsgründe dieser Anfrage sind nicht ersichtlich, sodass diese Anfrage von uns beantwortet werden wird: In den meisten Fällen nennen die Verantwortlichen eine E-Mail-Adresse zur Erreichbarkeit der/des Datenschutzbeauftragten auf ihrer Webseite, sodass im Standardfall nicht davon auszugehen ist, dass Ausschlussgründe gegen die Herausgabe bestehen. 

Sollten Sie doch für Ihren Einzelfall der Meinung sein, dass Ihre E-Mail-Adresse nicht herausgegeben werden darf, bitten wir um Mitteilung der Gründe bis zum 16.12.2019. Wir werden dies dann gemäß den Vorgaben des IZG SH bei der Entscheidung, ob eine Herausgabe erfolgt oder nicht, berücksichtigen. 

Sofern Sie der Ansicht sind, dass die gespeicherte E-Mail-Adresse durch eine andere E-Mail-Adresse ersetzt werden sollte (beispielsweise durch eine Funktionsadresse wie 'datenschutz@xyz.de' anstelle einer namentlichen Adresse), kann der Verantwortliche, der die/den Datenschutzbeauftragte/n benannt hat, eine Änderung bei uns melden. 

Mit freundlichen Grüßen 
Ihr ULD-Team"

Alle bisher erhaltenen Anschreiben sind bis auf den Verantwortlichen und die gemeldete E-Mail-Adresse identisch. Es handelt sich also allem Anschein nach um eine Serienmail oder zumindest eine Vorlage des ULD.

Eine korrekte Meldung der Kontaktdaten des Datenschutzbeauftragten gem Art. 37 Abs. 7 EU-DSGVO an die Aufsichtsbehörden ist wohl doch erstrebenswert. Denn dieses Schreiben kam ausschließlich zu Kundenbeziehungen, bei denen nicht die E-Mail-Adresse Datenschutz@Kunden-Domain.de gemeldet wurde. Wir hatten die betroffenen Kunden mehrfach um eine Korrektur der E-Mail-Adresse gebeten.

Wir werden nun
a) über unseren Kunden dem ULD die korrekte E-Mail-Adresse "Datenschutz@Kunden-Domain.de" melden;
b) danach dem ULD entsprechend Rückmeldung geben. Die Frist hierfür beträgt gerade mal 1 Arbeitswoche.

Blöd ist nur, dass das Aufsichtsamt durch die Unsorgfältigkeit auf uns und unsere Kunden aufmerksam wurde. Wir werden sehen, was daraus wird...

Update 07.12.2019:

Wir haben das selbe Anschreiben jetzt auch zu einem Kunden erhalten, der die Meldung des DSB korrekt mit der E-Mail-Adresse Datenschutz@Kunden-Domain.de durchgeführt hatte.

Es da draußen bestimmt noch mehr Datenschutzbeauftragte geben, die solche Anschreiben des ULD erhalten haben. Wir freuen uns auf Rückmeldung...

Update 09.12.2019:


Heute hat sich das ULD auf seiner Website zu den E-Mails an Datenschutzbeauftragte vom 06.12.2019 schriftlich zu Wort gemeldet vgl. https://www.datenschutzzentrum.de/artikel/1305-.html).

Hintergrund der bisher dubiosen Anfrage: An das ULD wurde eine Anfrage nach dem Informationszugangsgesetz  (IZG) gestellt, die vom ULD zu beantworten ist. Ihr Gegenstand  ist die Herausgabe von  Kontaktinformationen aller Datenschutzbeauftragten, die beim ULD gespeichert sind.

Insgesamt wurden so vom ULD am Freitag ca. 4.500 E-Mails an Datenschutzbeauftragte versendet.

Zum Glück versteht das ULD unter dem Begriff "Kontaktdaten des Datenschutzbeauftragten" das selbe wie wir: Es soll lediglich die an das Landesamt gem. Art. 37 (7) EU-DSGVO gemeldete E-Mail-Adresse des DSB an den Anfrager herausgegeben werden.

In unserem Blogbeitrag "EU-DSGVO - Kontaktdaten des Datenschutzbeauftragten - Jetzt bloß keine Fehler machen" vom 16.05.2018 hatten wir die unterschiedliche Auffassung der Datenschutz-Aufsichtsämter der Bundesländer in Bezug auf den Inhalt der Meldung der Kontaktdaten des Datenschutzbeauftragten durch den Verantwortlichen (und den Auftragsverarbeiter) bereits beklagt.

Das LFDI Baden-Württemberg versteht hierunter lediglich:
  • die E-Mail-Adresse des DSB (i.d.R. datenschutz@....de)

Mehr "Datenminimierung" und "Datensparsamkeit" geht nicht.

Das ULD Schleswig-Holstein möchte mindestens folgende (Kontakt-) Daten des DSB gemeldet bekommen:
  • die E-Mail-Adresse des DSB (i.d.R. datenschutz@....de)
  • Name und Vorname des DSB
  • Bestelldatum

Andere Aufsichtsämter fordern daneben die Meldung weiterer (Kontakt-) Daten des DSB, wie z.B.:
  • Anrede
  • Telefonnummer
  • Faxnummer
  • Firma (bei externen DSB)
  • Dienstliche Adresse
  • Ort/Medium der Veröffentlichung
  • Sonstige Funktionen (bei internen DSB)

Es hätte also für die Datenschutzbeauftragten wesentlich schlimmer kommen können...

Wenn alle angeschriebenen Datenschutzbeauftragten nun

  1. die vom ULD gemeldeten dort bekannten E-Mail-Adressen kontrollieren und
  2. ggf. von den Verantwortlichen in der Form "Datenschutz@Kunden-Domain.de" nachmelden lassen (Link: https://www.datenschutzzentrum.de/formular/meldung-dsb.php),
bekommt der Anfrager vom ULD lediglich eine Liste der Kontaktdaten der beim ULD gemeldeten Verantwortlichen mit zugeordneter E-Mail-Adresse "Datenschutz@Kunden-Domain.de" geliefert.

Er spart sich also die sonst mühevolle Auswertung der Datenschutzerklärungen der Verantwortlichen. Denn dort wären die selben Daten aufgeführt.

Wir dürfen gespannt sein, was der Anfrager damit anfangen möchte...

Leider ist es bisher vom ULD nicht vorgesehen, den Namen des/der Anfragenden an die Verantwortlichen bzw. die Datenschutzbeauftragten bekanntzugeben.

Samstag, 23. November 2019

Kundenanfrage: Darf mein Personalausweis als Pfand verlangt werden?

Immer wieder gibt es Situationen, in denen es zumindest üblich erscheint, den Personalausweis als eine Art Pfand zu hinterlegen. Was sagt das Gesetz dazu? Und was ist unter Sicherheitsaspekten zu bedenken?


Unser Datenschutz-Team hat sich in der Vergangenheit immer wieder mit Anfragen zum Thema Personalausweis beschäftigt. Hier eine kurze Zusammenfassung mit passenden Beispielen zur Frage: Darf mein Personalausweis als Pfand verlangt werden?

yourIT-Datenschutz-Team zur Kundenanfrage: Darf mein Personalausweis als Pfand verlangt werden?
yourIT-Datenschutz-Team zur Kundenanfrage: Darf mein Personalausweis als Pfand verlangt werden?
Außerdem gehen wir zum Schluss auch noch auf die Frage ein, ob und unter welchen Bedingungen eine Ablichtung als Kopie oder Scan des Personalausweises erlaubt ist und welche Vorsichtsmaßnahmen Sie treffen sollten.

Mittwoch, 6. November 2019

Phishing E-Mails (1) - erkennen und damit umgehen

Phishing-Mails sind ein beliebtes Mittel von Cyber-Kriminellen. Diese E-Mail zu erkennen ist nicht immer einfach. Wir zeigen auf wie Sie sich Verhalten sollten - auch im Ernstfall. Und im zweiten Teil, wie Sie einen IT-Notfall optimal melden. 

Bereits im Juni haben wir vor Phishing-Mails der IHK-Studie.de gewarnt, jetzt erfahren Sie, wie mit Phishing-Mails umzugehen ist und wie man diese erkennt.


Die Prüfung der E-Mail

Oft lassen sich die Phishing-Mails an mangelnder Grammatik- und Orthografie erkennen. Der fehlende Name in der Ansprache kann ein Hinweis sein, denn Geschäftskontakte oder auch Ihre Bank würde Sie vermutlich niemals mit "Sehr geehrter Kunde/Nutzer" anschreiben. Doch oft helfen diese kleinen Mittel nicht, daher haben wir Ihnen hier ein kurzes Prüf-Schema:


Fahrradpark  Phishing E-Mail
Phishing-Mails müssen erkannt werden
- anderenfalls muss entsprechen gehandelt werden


Donnerstag, 31. Oktober 2019

Beschäftigtendatenschutz Teil 1 - "Der Bewerbungsprozess"

Ein einheitliches Arbeitsrecht existiert nicht. Die Regelungen sind verstreut über das Einkommensteuergesetz, das vierte Sozialgesetzbuch und letztlich auch über die EU-DSGVO und BDSG-neu. Hier folgen einige Tipps für Arbeitgeber aus dem Datenschutzrecht. Teil 1 dieser Serie beschäftigt sich mit dem Fragerecht im Bewerbungsprozess.


Beschäftigte nach § 26 Abs. 8 BDSG-neu

Das neuen Bundesdatenschutzgesetz hat den Begriff Beschäftigte in § 26 Abs. 8 sehr weit gefasst und gewährleistet somit einen umfassenden Schutz - auch für alle Bewerberinnen und Bewerber.

Der Bewerbungsprozess steckt voller Tücken; Beschäftigten - Datenschutz
Der Bewerbungsprozess steckt voller Tücken.

Was muss der Arbeitgeber beachten?

Im Bewerbungsprozess treffen Bewerber und der neue potentielle Arbeitgeber zum ersten Mal aufeinander. Der Bewerber versucht sich mit den Bewerbungsunterlagen von der besten Seite zu zeigen und der Arbeitgeber strebt an, möglichst viele Informationen zu bekommen. Doch bereits hier gibt es einiges zu beachten...


Donnerstag, 3. Oktober 2019

Datenschutz-Praxis: Ausgeschiedene Mitarbeiter als Adressaten von E-Mails – was tun mit den Mails?

Hier mal wieder ein typischer Fall aus unserer Datenschutz-Praxis: Datenschutz im "Offboarding-Prozess". Ein Mitarbeiter scheidet also aus dem Unternehmen aus. Kann der Arbeitgeber den E-Mail-Account dieses Mitarbeiters einfach schließen? Können die E-Mails an einen Kollegen weitergeleitet werden? Wie ist mit E-Mails umzugehen, die ausdrücklich an ihn gerichtet sind? Das Bayerische Landesamt für Datenschutzaufsicht bietet in seinem Tätigkeitsbericht für 2015/2016 einige Orientierungshilfen für diese Fragen.


Existieren schon Regelungen zum Offboarding?


Vorab sei auf Folgendes hingewiesen: Falls zu diesem Thema eine Betriebsvereinbarung / Verfahrensanweisung / Arbeitsanweisung existiert, ist alles klar. Es gelten die darin getroffenen Regelungen. Manchmal treffen das Unternehmen und der ausscheidende Mitarbeiter auch eine ausdrückliche Vereinbarung bezüglich der E-Mail-Accounts und der nach dem Ausscheiden eingehenden E-Mails, etwa in einem Aufhebungsvertrag. Schön für alle Beteiligten! Denn das schafft Klarheit.

Eingehende E-Mails für ausgeschiedene Mitarbeiter - ein Datenschutz-Problem
Eingehende E-Mails für ausgeschiedene Mitarbeiter - ein Datenschutz-Problem


Und wenn nicht?


Aber was ist, wenn es an Beidem fehlt? Vielleicht lässt sich noch über eine einvernehmliche Regelung reden. Aber manchmal erscheint das kaum vorstellbar, etwa nach einer fristlosen Kündigung. In solchen Fällen hilft die Meinung der Datenschutzaufsicht weiter.

Dienstag, 1. Oktober 2019

Websites: Mehr als die Datenschutzerklärung

Sind Sie mit dem Webbrowser im Internet unterwegs, können Ihre personenbezogenen Daten schnell in Gefahr geraten. Viele Webseiten haben Datenschutzmängel. Dabei ist eine unvollständige Datenschutzerklärung nur ein Beispiel.


Datenschutz bei Webseiten oftmals mangelhaft


Wer glaubt, weniger prominente Webauftritte sind in Datenschutzfragen ein Risiko, bekannte Webseiten dagegen nicht, der irrt sich. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat vor einigen Monaten Websites mit sehr großer Reichweite untersucht. Obwohl sich einige der prominentesten Internetdienste unter den Geprüften befanden, fiel das Ergebnis aus Datenschutzsicht ernüchternd aus: Im Umgang mit Passwörtern und Tracking-Werkzeugen erkannte das Landesamt zahlreiche Mängel.

Websites: Mehr als die Datenschutzerklärung
Websites: Mehr als die Datenschutzerklärung

Ähnliche Resultate erhielt auch der Europäische Datenschutzbeauftragte (EDPS). Seine Prüfungen bei den Websites der wichtigsten EU-Organe und -Einrichtungen ergab, dass bei sieben von zehn geprüften Websites Datenschutz- und Datensicherheits-probleme aufgetreten sind. Eines der Probleme war das Tracking durch Dritte ohne vorherige Zustimmung. Weitere Schwachstellen betrafen die Verwendung von Trackern für Webanalysen ohne vorherige Zustimmung der Besucher und die Übermittlung personenbezogener Daten, die die Webseitenbetreiber über Webformulare mithilfe unverschlüsselter Verbindungen erfassten.

Donnerstag, 26. September 2019

Einwilligung von Kunden in mangelhafte Datensicherheit möglich?

Datenschutz macht Arbeit. Das gilt besonders für Maßnahmen der Datensicherheit, wie etwa die Verschlüsselung von E-Mails. Kann man sich solche Mühen sparen, wenn ein Kunde damit ausdrücklich einverstanden ist?


Datensicherheit verlangt Differenzierung


Gleich zu Beginn eine Klarstellung: Nein, es steht nirgends in der EU-Datenschutzgrundverordnung (EU-DSGVO), dass E-Mails immer verschlüsselt werden müssten. Aber die EU-DSGVO verlangt, dass man sich Gedanken darüber macht, wann dies nötig ist. Wir sprechen hier von einer "risikobasierten Vorgehensweise". Die sehr umfangreiche Regelung über die Sicherheit der Verarbeitung in Art. 32 EU-DSGVO zwingt Unternehmen dazu, sich zu entscheiden. Ist das Risiko für den Datenschutz so hoch, dass eine Verschlüsselung notwendig ist?Oder ist das nicht der Fall?

Einwilligung von Kunden in mangelhafte Datensicherheit möglich?
Einwilligung von Kunden in mangelhafte Datensicherheit möglich?

Der Zwang zur Entscheidung gilt auch für viele andere Fragen rund um die Sicherheit der Verarbeitung. So ist etwa eine Entscheidung nötig, wie intensiv eine Zugangskontrolle sein muss. In einem großen Rechenzentrum wird sie sicher anders aussehen als in einer Werbeagentur mit einigen wenigen Kundenlisten. Oder nehmen Sie nur ein Krankenhaus als Beispiel...