Der Bundesdatenschutzbeauftragte hat seinen 28. Tätigkeitsbericht für das Jahr 2019 vorgelegt. Darin finden sich interessante Ausführungen zu datenschutzrechtlichen Themen, von denen wir uns einige ausgewählte für diesen Beitrag herausgreifen.
Der Bundesdatenschutzbeauftragte ist zwar unter anderem „nur“ für öffentliche Stellen des Bundes sowie für Post- und Telekommunikationsdienstleister zuständig. Er ist jedoch auch Mitglied der Datenschutzkonferenz, sodass die Aussagen im Tätigkeitsbericht durchaus eine Ausstrahlungswirkung auf die Aufsichtsbehörden der Länder und deren Umgang mit der DSGVO haben dürften.
Unverschlüsselter E-Mailversand
Der BfDI weist darauf hin, dass der unverschlüsselte Versand von E-Mails jedenfalls dann problematisch ist, wenn es um den Versand besonders schützenswerter Daten gehe. Eine unverschlüsselte E-Mail entspreche in der analogen Welt dem Versand einer Postkarte. Das bedeutet nach Ansicht des Bundesdatenschutzbeauftragten jedoch nicht, dass eine generelle Verschlüsselungspflicht bestehe:
Zwar muss nicht zwangsläufig jede Übermittlung personenbezogener Daten auf elektronischem Wege per Ende-zu-Ende verschlüsselter E-Mail erfolgen. Dieses Verfahren ist eine mögliche bei Datenübermittlungen sogar wesentliche Maßnahme, um ein angemessenes Schutzniveau zu gewährleisten. Eine andere Möglichkeit ist beispielsweise der E-Mail-Versand von Dokumenten in passwortgeschützten Archiven.
Eine Einwillligung in einen unverschlüsselten Versand durch betroffene Personen hält der BfDI nicht für möglich. Eine Einwilligung könne sich lediglich auf die Zulässigkeit der Verarbeitung der Daten beziehen, nicht jedoch auf die Verpflichtung zur Einhaltung technischer und organisatorischer Maßnahmen zum Schutz der Daten.
Facebook Fanpages
Der BfDI hält einen datenschutzkonform Betrieb von Facebook Fanpages nicht für möglich. Facebook stelle keine ausreichenden Informationen darüber zur Verfügung, wie die Daten dort verarbeitet werden. Deshalb könnten die Fanpage-Betreiber Ihrer Rechenschaftspflicht gegenüber den NutzerInnen nicht im ausreichenden Maße nachkommen. Dabei weist der BfDI weiter darauf hin, dass nach dem Urteil des Bundesverwaltungsgerichts aus dem Jahr 2019 die deutschen Aufsichtsbehörden unmittelbar gegen Fanpagebetreiber vorgehen und damit auch den Betrieb einer Fanpage untersagen dürfen.
Bußgeldkonzept
Nachdem die deutschen Datenschutzbehörden ein gemeinsames Bußgeldkonzept vorgelegt haben, erwartet der BfDI eine in Europa einheitliche Anwendung. Der europäische Datenschutzausschuss sei damit betraut worden, Leitlinien für die Festsetzung von Bußgeldern zu entwickeln.