Datenschutz­woche

#11

Die wichtigste Nachricht der Woche

Datenschutzaufsicht Hessen: Faxen kann gegen die DSGVO verstoßen

In einer Stellungnahme vom 14.09.2021 hat die Datenschutzaufsicht Hessen mitgeteilt, dass „ […] die Übermittlung per unverschlüsseltem Fax einen Verstoß gegen Art. 5 Abs. 1 lit. f und Art. 32 DS-GVO darstellen […]“ kann. Zur Begründung führt die Behörde aus, dass eine Übermittlung von personenbezogenen Daten per Fax zu einem Verlust der Vertraulichkeit führen könne. Als konkrete Risiken benennt die Behörde dabei:

  1. Eine fehlerhafte Eingabe der Zielfaxnummer
  2. Einen ungünstigen Standort des Faxgeräts beim Empfänger
  3. Eine Zugriffsmöglichkeit für unbefugte Dritte, wenn der Versand unverschlüsselt und per Fax over IP (FoIP) über das Internet erfolgt.

Nähere Ausführungen dazu, ob insbesondere die fehlerhafte Aufstellung des Faxgeräts dem Absender oder dem Empfänger zuzurechnen ist, enthält die Stellungnahme nicht. Interessant ist darüber hinaus jedoch, dass die Datenschutzaufsicht Hessen eine Einwilligung des Betroffenen in den Versand per Fax für möglich hält.

BSI zur Datensicherheit in der Automobilindustrie

Bereits am 07.09.2021 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) sein Branchenlagebild Automotive veröffentlicht. Hierin stellt das BSI fest, dass nicht nur die Datensicherheit im Fahrzeug eine zunehmende Rolle spielt und insbesondere auch die Lieferkette stärker in den Fokus von technischen und organisatorischen Maßnahmen rücken müssen, sondern auch der Datenschutz betrachtet werden muss. Insbesondere sei darauf zu achten, dass die Dienste im Fahrzeug datenschutzkonform nutzbar seien. Als beispielhafte Herausforderungen nennt das BSI ein Orts-Tracking von Verkehrsteilnehmern durch Dritte und das unerkannte Aufzeichnen von Personen über Kameras, die für das automatisierte Fahren erforderlich ist.

Internationale Nachrichten

  • Slowenien: Wie das EDPB mitteilt, hat die Datenschutzaufsicht Slowenien eine Medienagentur zur Löschung von 88 Fotos einer Betroffenen verpflichtet. Mangels Einwilligung stand das berechtigte Interesse als Rechtsgrundlage im Mittelpunkt.

  • Irland: Die irische Datenschutzaufsicht DPC hat zwei Prüfverfahren gegen TikTok eingeleitet. Im Mittelpunkt stehen die Verarbeitung der Daten von Minderjährigen und Datenübermittlungen nach China.
  • USA: Die Federal Trade Commission warnt Betreiber von Gesundheitsapps und vernetzten Geräten die „Health Breach Notification Rule“ zu beachten. Die Vorschrift verpflichtet Verarbeiter von Gesundheitsdaten auch dann zur Meldung von Datenschutzverletzungen, wenn sie nicht dem „Health Insurance Portability and Accountability Act (HIPAA)“ unterliegen.
  • Frankreich: Die französische Datenschutzaufsicht CNIL hat mitgeteilt, dass 80% der Verantwortlichen,  die von der Behörde im Rahmen ihrer Cookie-Prüfungen eine förmliche Aufforderung erhalten haben, inzwischen ihre Cookie-Einstellungen angepasst haben. Der Schwerpunkt der aufsichtsbehördlichen Prüfungen lag darauf, dass ein Ablehnen der Cookies genauso einfach möglich sein sollte, wie das Akzeptieren.

Aktuelle Entscheidungen

  • OVG Thüringen, Beschluss vom 19.03.21, Az. 3 EO 423/20 (Volltext): Auskunftsverlangen der Datenschutzaufsichtsbehörden (Art. 58 DSGVO) sind vollständig, richtig, aktuell und nachvollziehbar zu beantworten.
  • VG Schleswig, Beschluss vom 09.09.2021, Az. 8 B 34/21 (Volltext): Ablehnung einer einstweiligen Anordnung auf Entfernung eines Warnschilds mit dem Text "Die Zuwiderhandlung gilt als Einverständnis zur Veröffentlichung in den Sozialen Medien!".

Aus den Aufsichtsbehörden