Datenschutzbrief – Newsletter Nr. 04/2021

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mittlerweile einen Mindeststandard für Videokonferenz-dienste aus- gearbeitet und zur Diskussion freigegeben.

Mit den definierten Sicherheitsanforderungen soll der neue Mindeststandard dafür sorgen, dass auch in digitalen Konferenzen Vertrauliches vertraulich bleibt. Hierfür müssen die Videokonferenzen folgende Vorgaben erfüllen:

• Deaktivierung sicherheitsrelevanter Leistungsmerkmale
• Signalisierung der Kamera- und Mikrofonaktivität
• Anzeigefunktion bei betätigter Aufzeichnung
• Verschlüsselung der Daten und Videobilder
• Anzeige aller TeilnehmerInnen
• Absicherung von Dateiablagen

Darüber hinaus empfiehlt das BSI dem Nutzer einer cloud-basierten Videokonferenzsoftware weitere Sicherheits-anforderungen, wie ein IT- Sicherheitskonzept, eine Sicherheitsrichtlinie, sowie ein Notfall- und Kontinuitätskonzept zusammen mit einer Störmelde- und Behebungsfunktion vom Betreiber einzufordern.

Uns beschäftigt das Thema bereits seit einigen Monaten. So sind wir dabei, ein geeignetes Tool zu finden, dass diesem Standard entspricht. Mit visavid (www.visavid. de) können wir nun ein DSGVO-konformes und sicherheitsgeprüftes Videokonferenz- System – das nun auch an bayerischen Schulen eingesetzt wird – wärmstens empfehlen.

Haben Sie Fragen, bitte melden Sie sich gerne.

Ihr Franz Obermayer (Vorstand)

Quelle: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/210316_Mindeststandards-Videokonferenzen.html

Datenübermittlung in Drittländer

Seit dem „Schrems-II-Urteil“ gegen Facebook schaut die Daten- schutzbehörde strenger auf die Nutzung von Software innerhalb Eu- ropas, die von Unternehmen aus Drittländern, u.a. den U.S.A., ange- boten werden. Neben den üblichen Plattformen der Sozialen Medien, z.B. Instagram, Whatsapp oder Twitter, bieten US-Softwareentwickler Dienstleistungen an, die auf-grund ihrer (kostenlosen) Lizenzbedin- gungen für Unternehmer -insbesondere zu Marketingzwecken- äu- ßerst attraktiv wirken. Im Falle der Newsletter-Software „Mailchimp“ reichte ein Betroffener Beschwerde ein und bekam letztendlich Recht.

Ein Unternehmer nutze den Newsletter-Dienst „Mailchimp“. Die hierfür notwendige Datenschutz-Garantie erfolgte durch den Abschluss einer Standardvertragsklausel, um die E-Mail-adressen der Kunden an „Mailchimp“ schicken zu dürfen.

Das Bayerische Landesamt für Datenschutz sah darin eine Verletzung des Betroffenenrechts und erachtete die Übermittlung der E-Mailadressen an „Mailchimp“ als datenschutzrechtlich unzulässig.

Denn neben der Rechtsgrundlage gemäß Art. 6 DSGVO müssen zusätzlich die Anforderungen der Art. 45 ff. DSGVO erfüllt werden, die eine Übermittlung in das Drittland rechtfertigt. Die hierfür notwendigen Maßnahmen vor Übermittlung der Daten an ein Drittland sind in erster Linie wie folgt zu prüfen:

• Welche personenbezogenen Daten sind betroffen und welche Konsequenzen (Gefahrabschätzung) bestehen?
• Welche Schutzmaßnahmen trifft der Software-Anbieter? Und welche weiteren Maßnahmen müssen ggf. noch zusätzlich ergriffen werden?
• Gibt es alternative Anbieter in der EU, die den gleichen Dienst anbieten? Wie hoch ist der Aufwand für eine Umstellung auf diesen Anbieter?

Das „Schrems-II-Urteil“ gegen ein amerikanisches Software-unternehmen hat gezeigt, dass selbst nach umfangreicher Prüfung – wie oben gefordert – die notwendige Rechtssicherheit gemäß DSGVO nur unzufrieden gewährleistet werden kann.

Zusätzlich bleibt zu erwähnen, dass der Sitz des Software-Anbieters keine Garantie für Datensicherheit bei der Verarbeitung von personenbezogenen Daten ist, wenn dieser sich entschließt diese Daten in Drittländer zu übermittelt.

© Photo by Daniel Leone on Unsplash