COMPLIANCE,
Stellt ein Betroffener einen Antrag auf Auskunft nach Artikel 15 DSGVO so ist nicht bloß der Typus der verarbeiteten Personendaten, etwa „Geburtsdatum“, als Antwort zu geben. Vielmehr muss – und dies ist in Art 15 Abs 3 Satz 1 DSGVO geregelt – eine „Kopie“ der Personendaten übermittelt werden. Eine korrekte Antwort wäre also „1. April 1971“.
Wie weit dieses Recht auf Kopien geht ist stark umstritten. Es herrscht aber ein Konsens, dass das Auskunftsrecht keine allumfassende Akteneinsicht bedeutet. Dies kann man aus Artikel 15 Absatz 4 DSGVO ableiten, wonach die Kopien Rechte und Freiheiten anderer Personen nicht beeinträchtigen dürfen.
Wenn Sie als Datenschutzbeauftragter nun die Personendaten übermitteln so muss auch diese Verarbeitung (gemeint ist die Übermittlungsprozedur) „sicher“ gestaltet werden. Artikel 32 Abs 1 litera a DSGVO nennt ausdrücklich die Verschlüsselung als Maßnahme. Dabei ist neben dem Stand der Technik u.a. auch das Betroffenenrisiko zu berücksichtigen.
Dies führt uns zur Frage dieses Artikels: Ist Sicherheit verhandelbar? Der Betroffene könnte mitunter auf unverschlüsselte Übertragung bestehen, da das Entschlüsseln eine Komforteinbuße bedeutet. Wir gehen im folgenden Fallbeispiel davon aus, dass der Betroffene Konsument ist, welchem oftmals keine umfangreichen Office-Pakete, S/MIME-Zertifikate und dergleichen zur Verfügung stehen.
Variante 1: Bereitstellung einer Plattform
Versicherungsgesellschaften bieten zunehmend Plattformen an, welche eine verschlüsselte Kommunikation in beide Richtungen erlauben. Hier sorgt der Verantwortliche für die nötige Sicherheitsgestaltung – und liegt es am Betroffenen, die Plattform via Browser entsprechend zu nutzen.
Es liegt auf der Hand, dass großes Augenmerk auf die Identitätsfeststellung gerichtet werden muss. Starke Passwörter und Multi-Faktor-Authentifizierung sind hier Mittel der Wahl.
Variante 2: Verschlüsselter Container
Steht (noch) keine verschlüsselte Plattform zur Verfügung so können Personendaten in eine Archivdatei „gepackt“ und als E-Mail-Anhang übermittelt werden. Dieser Container lässt sich verschlüsseln, wobei es einiges zu beachten gilt:
- Vergabe eines starken Passworts
- Übertragung des Passworts auf einem anderen Kanal (etwa Telefon)
- Verschlüsselungsstandard (möglichst) nach dem Stand der Technik
- Gängige Software & Benutzerkomfort
AES-256 ist ein Verschlüsselungsstandard, welcher etwa vom Gratisprogramm 7-ZIP beherrscht wird. Verschlüsselt man Personendaten auf solche Weise ist der „Stand der Technik“ ohne Zweifel erfüllt. Der Nachteil ist, dass der Empfänger zum Entschlüsseln ebenso 7-ZIP benötigt. Mit „Hausmitteln“ von Windows ist dies nicht zu bewerkstelligen und eine Installation von 7-ZIP könnte verweigert werden.
Wählt man ZipCrypto als Verschlüsselungsmethodik so weicht man definitiv vom „Stand der Technik“ ab – im Sinne der Kompatibilität. Ein ZipCrypto verschlüsseltes Archiv lässt sich schließlich mit Windows-Bordmitteln öffnen. Eine solche (fragwürdige) Vorgehensweise sollte nur nach Prüfung besserer Methoden und Abschätzen der Risiken ins Auge gefasst werden.
Die Entscheidung hängt unter anderem davon ab, ob bloß „Telefonbuchdaten“ (Anschrift) oder geheime Lebensversicherungsverträge geschickt werden sollen… Letztlich hängt die Sicherheit bei der Personendatenverarbeitung vom Betroffenenrisiko ab und lässt sich die gesetzliche Pflicht einer sicheren Technik- und Organisationsgestaltung nicht wegverhandeln.
Der „Stand der Technik“ ist jedoch kein absolutes Kriterium und kann die angemessene Sicherheit auf dem einen oder anderen Weg erreicht werden. Um solche Entscheidungen zu treffen braucht es Erfahrungswerte im Datenschutz. Zögern Sie nicht, mit uns ein kostenloses Erstgespräch zu vereinbaren!