Wie darf Ihrer Meinung nach der Beschluss der DSK vom 24.11.2021 verstanden werden, nach dem “auf ausdrücklichen, eigeninitiativen Wunsch der informierten betroffenen Person bestimmte vorzuhaltende technische und organisatorische Maßnahmen ihr gegenüber in vertretbarem Umfang” nicht angewendet werden müssen?
Welche “bestimmten” Maßnahmen sind danach verzichtbar? E-Mail-Verschlüsselung?
Wann ist der Umfang vertretbar?
Gilt der Beschluss auch für Daten nach Artikel 9?
Mir scheint, dass damit alle bisherigen Grenzen im Namen des Selbstbestimmungsrechts gefallen sind. Was meinen Sie?
20211124_TOP_7_Beschluss_Verzicht_auf_TOMs.pdf (datenschutzkonferenz-online.de)
@iDSB
Der LfDI – Hamburg hat sich dazu schon einmal ausgelassen:
https://datenschutz-hamburg.de/pages/abdingbarkeit-toms/
In der Pressenotiz führt er dazu an:
„Die DSGVO schreibt dabei in Art. 32 DSGVO kein bestimmtes Schutzniveau vor, sondern verpflichtet den Verantwortlichen zu einer Abwägung zwischen den Risiken der Verarbeitung und den Implementierungskosten, der Art, dem Umfang, der Umstände und der Zwecke der Verarbeitung. “
Dazu hat er ein Vermerk (11 Seiten) verfasst:
https://datenschutz-hamburg.de/assets/pdf/Vermerk-Abdingbarkeit_TOMs.pdf
Demnach sind zu bewerten:
1.) „…auf ausdrücklichen, eigeninitiativen Wunsch der informierten betroffenen Person“?
Bis hierin müssen aber die technischen – organisatorischen Maßnahmen vorgehalten werden
2.) „ Abwägung zwischen den Risiken der Verarbeitung und den Implementierungskosten“?
Diese Entscheidung dürfte nicht trivial sein.
Das hört sich für mich sehr ähnlich dem Tracking im Internet an: “Kein Problem, der Nutzer hat ja die Wahl - er kann selbstbestimmt entscheiden! Er muss dazu nur diese 80 Seiten durchlesen und versuchen zu verstehen und dann sein Häkchen an der richtigen Stelle setzen - falls wir ihn durch unsere Irreführungsmaßnahmen nicht schon zu einem schnellen Klick verleitet haben.”
Gerade gestern haben ja alle Mediatheken am Fernseher um Zustimmung gebeten (vermutlich wegen TTDSG). Zu meinem Erstaunen war manchmal unter “zwingend notwendige Dienste” auch ein Schalter zum Ausschalten. Das ist der Höhepunkt der Nutzerverwirrung – entweder zwingend notwendig (und durch TTDSG erlaubt) oder einschaltbar. Aber Opt-Out?
Wenn das alles so weitergeht, scheint es mir darauf hinaus zu laufen, die Einwilligung als Rechtsgrundlage verbieten zu müssen. Es ist eben nicht jeder Nutzer so im Thema wie wir hier. Macht doch mal einen Test und lasst eure Familie entscheiden, wenn das Fenster in der Mediathek hochkommt …
3 „Gefällt mir“
Sehe ich genauso!
Es ist bei den Cookies sowieso schon fraglich was alles unter “notwendig” läuft (Google Analytics? Echt jetzt? 
).
Aber der neue Beschluss der DSK setzt dem Ganzen ja sogar noch eine Krone 
auf. Das wird wirklich spannend, sobald da die ersten Urteile in die Richtung gehen werden.
Der Alltags-Nutzer wird doch nie und nimmer verstehen auf was er sich da einlässt. Als Verantwortlicher würde ich da seeeehr aufpassen und wirklich eine sehr gute Doku in dieser hinsicht zu machen.
1 „Gefällt mir“
Nicht nur das der Nutzer es nicht versteht, er wird sich auch genervt vom Datenschutz abwenden und das Datenschutz Bashing nimmt zu.
Daher wäre ich auch vorsichtig… und als interner DSB bin ich einfach mal so frei und leite diese Info nicht an die Geschäftsleitung weiter - so vermeide ich da gleich Diskussionen und Komplkationen (wieso haben wir dann da in Datenschutz investiert wenn wir es eh nicht brauchen…) 
1 „Gefällt mir“
In Kurzform lese ich das als Möglichkeit zu … muß immer existieren, auf die Anwendung kann auf Wunsch verzichtet werden (hier nun die Verschlüsselung).
Wie machen das andere Länder? Ich kenne nur die Sicht der ASB in Österreich (die ist ähnlich der in D).
Bis dahin ist es die Sicht der Behörden. Das kann im Streit auch anders ausgehen.
Warum nur fällt mir in dem Zusammenhang das wirklich sehr besondere Anwaltspostfach ein …
Auf ausdrücklichen, eigeninitiativen Wunsch des Autofahrers wird der Sicherheitsgurt im Auto ausgebaut.
Es stellt sich die Frage, wie “informiert” die betroffene Person sein muss, wer dies feststellt oder beurteilt und
wie der Nachweis zu führen ist.
1 „Gefällt mir“
Scharlatane wird es immer geben und ja, auf die ersten Urteile gegen diesen Missbrauch bin ich auch gespannt.
Aber mal ein anderes Beispiel:
Kunde wünscht ausdrücklich, da viel auf Reisen die Mitteilungen per E-Mail. Das Angebot besteht mit einer End-to-End Verschlüsselung (z.B. PGP u.ä.). Kann und will er aber nicht und besteht auf unverschlüsselt . Natürlich kann TLS eingesetzt werden, aber je nach “Serverstationen” kann ein mitlesen nicht ausgeschlossen werden.
Wenn ich ihn jetzt über die damit verbundenen Risiken aufkläre und der Kunde trotzdem auf unverschlüsselte Mails besteht, würde ich das als "auf ausdrücklichen, eigeninitiativen Wunsch der informierten betroffenen Person“ bezeichnen.
Dein Beispiel ist natürlich praxisnah. Bei solchen Dingen könnte man sicher Kundenportale anbieten, dort kann dann alles hinterlegt werden und man muss in der E-Mail nur darauf hinweisen, dass neue Nachrichten im Portal abrufbar sind.
Das ist natürlich nicht auf jede Konstellation anwendbar.
Ich finde die größte Herausforderung ist die Risikoaufklärung. Wie soll man das machen, ohne dass es so ausartet wie bei Cookies und Datenschutzerklärungen? Zu viel Text = wird nicht gelesen; Zu wenig Text = nicht informativ genug bzw. Risiko erscheint nicht besonders groß.
Dann noch der eigeninitiativer Wunsch der betroffenen Person… Man kann schon viele psychologische Tricks anwenden, um die Person dazuzubringen von sich aus das niedrigere Niveau anzubieten. Z.B. durch Fristen, Druck und auch Farbgebung. Dann bezahlt man vielleicht sogar noch einen Influencer, der erzählt, dass es so viel schneller geht an die gewünschten Infos zu kommen, wenn man nur auf die doofe Verschlüsselung verzichtet. Noch ein bisschen Datenschutzbashing und fertig. Niedriges Datenschutzniveau gewünscht.
Das würde ich auch so sehen. “Viel auf Reisen” zeigt ja schon, dass dieser Betroffene nicht ganz weltfremd ist. Warum soll so ein Mensch nicht verlangen dürfen, seine Post als Postkarte zu bekommen.
Andere praxisnahe Beispiele:
- Kranker will möglichst komplikationsfrei Antwort von seiner Krankenkasse.
- Angehörige will ohne Zusatzaufwand für die alte Mutter mit der Pflegekasse korrespondieren.
- Verunfallter im Ausland liegt dort mit Gips im Krankenhaus und will sich mittels Handy mit der Auslandsversicherung austauschen per email oder whatsapp
- Versicherter ist die dritte Woche auf Reha und braucht nun schnell Verlängerungszusage.
- Rentenantragsteller will sein Gutachten schnell einsehen und hasst IT-Gedöns.
Hier handelt es sich jeweils um Gesundheitsdaten. Bisher stellen sich die Ämter noch quer.
Wer kriegt nun was per unverschlüsselter email? per whatsapp?
Wie fällt die Abwägung aus zwischen den Vorteilen schneller Hilfe und unbekannten, nicht fassbaren, diffusen Gefahren aus dem Netz?
kann er schon mal grundsätzlich nicht. Hier bedarf es erst einmal der Einwilligung der Mutter und die Pflegekasse muss den Angehörigen authentifizieren.
Vielleicht sollte “abgewogen” werden, um welche Informanten und Informationen es sich handelt.
Bei Selbstständigen, Gewerbetreibenden, Handwerkern, Kleinstunternehmen u. ä., die Angebote oder Rückfragen beantworten oder Gesundheitskassen, Meldebehörden oder z. B. die Agentur für Arbeit.
Ich denke, für die Erstgenannten ist die angesprochene Regelung gedacht. Und auch diese Gruppe muss gut “abwägen”, wenn besondere Kategorien von Daten darin enthalten sind. Weil bei hohem Risiko für den Betroffenen (keine oder aussetzen der Schutzmaßnahmen) wäre ja im Vorfeld die Aufsicht einzuschalten.
Bei diesen Gruppen geht es auch zum Großteil nicht um sensible Daten, die verschlüsselt verschickt werden müssten.
Am meisten treffen wird es wohl eher Versicherungen, Ärzte und Krankenkassen. Behördenmühlen mahlen eh schon langsam, da geht sowieso nix mal auf die Schnelle 
1 „Gefällt mir“
… nicht nur die Berhördenmühlen … 
Habe mich vor wenigen Tagen auch nochmal damit auseinandergesetzt. Meint ihr wirklich, dass wir hier eine E-Mail-Inhaltsverschlüsselung als Maßstab der ständig erforderlichen und umzusetzenden TOMs ansetzen müssen? Oder bezieht sich das in diesem Kontext eher auf die Transportverschlüsselung? Gefühlt wissen doch keine 5% der Bevölkerung wie eine PGP/SMIME Verschlüsselung zu benutzen ist - das kann ja dann nicht zur Grundvoraussetzung werden!?
Wohingegen ich mitgehe, sind natürlich sensible (Art. 9) Daten. Wenn die Kunde nicht per PGP/SMIME haben will oder kann, dann muss ich als Verantwortlicher entsprechend ein geschütztes Online-Portal zu Verfügung stellen o.ä. Ich glaube sowieso, dass dies der bessere Weg für Datentransfers, aber auch eine geschützte Kommunikation ist.
Portale sind natürlich die Zukunft und die Lösung unserer Datenschutzprobleme. Aber lösen sie auch die Kommunikationsprobleme der Kunden? Wir dürfen nicht vergessen, dass ein großer Teil der Bevölkerung von der Passwortverwaltung überfordert ist. Das gilt auch für Alte und Kranke und Daten nach Art 9.
Also, wenn die provokative Aussage stimmt: „E-Mail ist wie eine Postkarte für jeden zum Mitlesen“, dann sollten gar keine personenbezogenen Daten mit E-Mail verschickt werden. Allerdings handelt es sich bei den meisten Mittelständlern, Gewerbetreibenden oder Selbständigen oft um öffentlich, zugängliche Daten (z. B. Telefonbuch, Social Media, eigene Website u. v. m.).
Deshalb sollte man in diesen Fällen m. E. den Kunden über die „Unsicherheit“ aufklären und ihm ein Angebot zur Verschlüsselung vorhalten / ermöglichen / anbieten. Wenn er dann freiwillig darauf verzichtet …
PS: Ich habe mal verschiedene Anbieter nach der „durchgehenden“ Transportverschlüsselung gefragt und als Antworten erhalten: „ Ist das nicht üblich?“; „Bei uns Standard, allerdings können wir das nicht beim Empfänger garantieren“ und wie das auf einem Zwischenserver aussieht, konnte mir keiner sagen bzw. garantieren.
Naja, bei E-Mail hast du ein paar Beteiligte weniger, da gibt es niemanden der den Postbriefkasten leert, oder der die Postkarte austrägt, welche vorher noch über ein Verteilzentrum läuft etc. Genau dafür ist die Transportverschlüsselung da und - berechtigter Weise - damit seit Jahren Stand der Technik. Und genau dafür fände ich den Beschluss der DSK gerechtfertigt. Es also absolut mit einer Postkarte gleichzusetzen, ist Äpfel mit Birnen verglichen. Denn was sind denn die Systembetreiber: nach TTDSG Telekommunikationsanbieter und daher dem Fernmeldegeheimnis verpflichtet. Aber zwischen den Betreibern entfallen einige mitlesende Parteien, wie es sie bei analogen Postdiensten gibt.
Es wäre technisch übrigens kein Problem, meinen absendenden Mailserver so zu konfigurieren, dass zumindest beim empfangenden Server eine Verschlüsselung erzwungen wird. Ob der Gegenüber sie dann überhaupt annimmt, ist was anderes. Und was danach passiert, ist natürlich nicht mehr beeinflussbar. Aber! Aber, ich halte es für nicht sinnvoll hier die wildesten Konstrukte aufzubauen, nur um irgendwo eine Lücke zu finden. Der übliche Werdegang einer E-Mail ist ja der direkte Austausch zwischen zwei Systemen! Wenn ich meine Mails eigenständig weiterleiten lasse, dann muss ich halt für die entsprechende Sicherheit sorgen (siehe oben: ich könnte es technisch erzwingen, wenn ich meine eigene Infrastruktur betreibe, wohlgemerkt).
=> "Wenn er dann freiwillig darauf verzichtet "
Aber darum geht es ja gerade in dem Beschluss, oder nicht? Ich darf ja eben nicht einfach den Stand der Technik dadurch unterschreiten, dass der Betroffene einwilligt, in dem er sinngemäß sagt: “Na dann schick es mir einfach so”.
Und allein deswegen kann schon keine Voll- bzw. genauer Inhaltsverschlüsselung gemeint sein, weil die technisch gar nicht realisierbar ist, zumindest flächendeckend. Schon mal versucht, einem Gmail als Endverbraucher eine S/MIME oder PGP beizubringen? Geht nur in Enterprise-Abos.
Daher wird hier das Ansinnen sein, Anbieter entsprechender E-Mail-Dienste zumindest zu einer grundsätzlichen Transportverschlüsselung zu bewegen.
1 „Gefällt mir“