Kommunikation per E-Mail bedarf mindestens der Transport-Verschlüsselung

Von der Aufsichtsbehörde in Nordrhein-Westfalen gibt es eine neue Stellungnahem zur Verschlüsselung von E-Mails. Diese kann hier aufgerufen werden. Nach Auffassung der Behörde bedarf es beim Versand von E-Mails mindestens der Transportverschlüsselung. Interessanterweise arbeitet gerade auch die Datenschutzkonferenz (DSK) an einer eigenen Empfehlung. Es ist daher in Kürze mit weiteren Empfehlungen zu rechnen.

 

Unerwünschte Werbung

Von der Aufsichtsbehörde in Baden-Württemberg stammt ein neues Merkblatt mit dem schönen Titel „Was Sie gegen unerwünschte Werbung tun können“.

Zusammengefasst ist Briefpost im Rahmen einer Abwägung nach Art. 6 Abs. 1 lit. f DSGVO erlaubt, wohingegen bei Telefonwerbung (auch SMS/MMS, Kundenzufriedenheitsabfragen) und E-Mail Werbung eine vorherige Einwilligung erforderlich ist.

Mit Urteil vom 07.11.2018 (Az: 8 C 130/18) hat gerade das Amtsgericht Diez entschieden, dass unerlaubte E-Mail-Werbung keinen Schadensersatz nach Art. 82 Abs. 1 DSGVO begründet. Der Werbende hatte unzulässigerweise versucht eine erneute Werbeeinwilligung einzuholen (Re-Opt-In) und im Nachgang freiwillig einen Betrag von 50,00 Euro an den Empfänger bezahlt. Das Gericht sah hierin keinen spürbaren Nachteil für dem Empfänger. Ein Anspruch auf Schmerzensgeld bedarf nach der Entscheidung einer nicht unerheblichen Beeinträchtigung der Interessen des einzelnen Betroffenen. Einen darüber hinausgehenden Anspruch sah das Gericht aufgrund des Bagatellverstoßes aber nicht.

 

Verbraucherzentrale Sachsen klagt gegen Facebook

Die Verbraucherzentrale Sachsen hat Klage gegen Facebook erhoben. Die Pressemeldung kann hier abberufen werden. Da Facebook seinen Verpflichtungen im Rahmen der gemeinsamen Verantwortlichkeit immer noch nicht nachkomme, soll nun durch das Gericht klargestellt werden, wer die Verantwortung für die für die Einhaltung des Datenschutzrechts auf den Profilen trägt.

 

EU-US-Privacy Shield

Der EU-US-Privacy Shield gilt auch weiterhin. Aus dem entsprechenden Bericht der Europäischen Kommission  geht hervor, dass die Vereinigten Staaten nach wie vor ein angemessenes Schutzniveau für die personenbezogenen Daten gewährleisten. Inzwischen haben sich über 3850 Unternehmen zertifiziert.

 

Identitätsprüfung bei elektronischen Auskunftsersuchen nach Art. 15 DS-GVO

In der Praxis kommt es gehäuft zu Problemen bei der notwendigen Identifizierung bei Anfragen von Betroffenen. Leider hat sich bisher noch kein etabliertes Verfahren zur Identifizierung durchgesetzt. Aus Baden-Württemberg gibt es nun eine kleine Zusammenfassung, welche Möglichkeiten bestehen und was im Einzelfall zu beachten ist. Die Mitteilung kann hier aufgerufen werden.

Vor Erteilung der Auskunft ist auf eine eindeutige Identifizierung der betroffenen Person zu achten. Eine Auskunft an eine falsche Person ist eine klare Datenschutzverletzung und muss unter Umständen auch der Aufsichtsbehörde gemeldet werden.

Bei telefonischen Anfragen sollten zur Identifizierung in der Regel Daten wie das Geburtsdatum und die Anschrift abgefragt werden. In Einzelfällen kann auch die Übermittlung einer geschwärzten Ausweiskopie (nur Name, Anschrift, Geburtsdatum und Gültigkeitsdauer sind sichtbar) zulässig sein. Gerade bei sensiblen Daten kann dies auf dem elektronischen Wege nur mit einer Ende-zu-Ende-verschlüsselten E-Mail, über eine HTTPS-geschützte Website oder mithilfe eines verschlüsselten PDF-Dokuments erfolgen.

Weitere Möglichkeiten der Identifizierung können über die Online-Ausweisfunktion des Personalausweises, die DE-Mail-Adresse oder über ein Postident-Verfahren oder Video-Ident-Verfahren möglich sein. Verfügt die betroffene Person über ein Nutzerkonto beim Verantwortlichen, so dürfen ihr keine zusätzlichen Fragen zur Identifizierung gestellt werden.

Die Auswahl der Identifizierungsmethode obliegt dem Verantwortlichen unter Berücksichtigung des Risikos für die Rechte und Freiheiten der betroffenen Personen und ist daher eine Einzelfallentscheidung. Je höher das Schutzniveau der Auskunftsdaten, desto sicherer sollte das Verfahren sein.

 

Prüfung von Websites durch das BayLDA

Wie angekündigt hat das Bayrische Landesamt für Datensicherheit (BayLDA) 40 ausgewählte Websites hinsichtlich der datenschutzkonformen Einbindung von Tracking-Tools überprüft. Das schön illustrierte Ergebnis lässt sich hier (PDF) abrufen. Alle überprüften Seiten binden Tracking-Tools von Drittanbietern ein. Dabei holen 20% keine Einwilligung des Nutzers ein. Bei den übrigen 80 % waren die Einwilligungen unwirksam.