Leserfragen zur DSGVO

Leserfragen zur DSGVO

Artikel erschienen in IT Magazine 2018/04
In Artikel 32 DSVGO ist von der "Berücksichtigung des Stands der Technik" die Rede. Schliesst dies ein, dass etwa Kundendaten in einer Datenbank verschlüsselt gespeichert werden und dass auch der Verkehr über die Website nur via HTTPS läuft?
Nach Artikel 32 Absatz 1 DSGVO treffen Unternehmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Massnahmen, um ein dem Risiko angemessenes Schutzniveau der personenbezogenen Daten zu gewährleisten. Beispiele hierzu sind etwa die die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten.
Bei der Beurteilung des angemessenen Schutzniveaus sind nach Artikel 32 Absatz 2 DSGVO insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt, unrechtmässig oder unbefugte Offenlegung von oder unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.
Die Verschlüsselung von Datenbanken sowie der Einsatz von HTTPS zur Übermittlung personenbezogener Daten entspricht der "good practice". Die Verschlüsselung der Daten einer Datenbank ist aus unserer Sicht bei der Verarbeitung besonderer Kategorien von personenbezogene Daten geboten.
Dürfen Unternehmen Werbe- oder News-E-Mail mit öffentlich ersichtlichen Adressen versenden (d.h. alle Empfängeradressen sind ersichtlich)?
Auch E-Mail-Adressen sind personenbezogene Daten im Sinne von Artikel 4 DSGVO. Personenbezogene Daten dürfen an Dritte nur dann offengelegt werden, wenn ein Rechtfertigungsgrund gemäss Artikel 6 DSGVO vorliegt (Einwilligung, gesetzliche Grundlage, Vertrag, berechtigtes Interesses etc.). Ein solcher Rechtfertigungsgrund dürfte in der Regel hier nicht vorliegen, weshalb dieses Vorgehen unzulässig ist.

Wie kann ich gegen ein Unternehmen vorgehen, wenn sie mit einem Versand von Werbe- oder News-E-Mails meine E-Mail-Adresse öffentlich ersichtlich machen und sie dadurch kopiert und missbraucht werden könnte?
Jede betroffene Person hat nach Artikel 77 Absatz 1 DSGVO unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde. Daneben hat die betroffene Person gemäss Artikel 17 DSGVO das Recht, von Unternehmen zu verlangen, dass betreffende personenbezogene Daten unverzüglich gelöscht werden, und das Unternehmen ist verpflichtet, personenbezogene Daten unverzüglich zu löschen.

Neuen Kommentar erfassen

Anti-Spam-Frage Wie hiess im Märchen die Schwester von Hänsel?
Antwort
Name
E-Mail
SPONSOREN & PARTNER