Praxis-Tipps für die Umsetzung der DSGVO in der Praxis?
B2B-Newsletter > 2022 - Archiv > NL 9/22
DSGVO: Praxis-Fragen zu Kommunikationstools:
E-mail und sensible Daten? Kunde kommuniziert via WhatsApp? Handy privat genutzt?
Praxisnahe Fragen zur täglichen Kommunikation in vielen Unternehmen zeigen Widersprüche zwischen Theorie und Praxis auf.
Wir haben folgende täglich auftretende Unklarheiten an den auf Datenschutz- und Versicherungsrecht spezialisierten Rechtsanwalt Mag. Stephan Novotny gestellt?
- Ist es für Versicherungsvermittler erlaubt, eine E-Mail mit sensiblen Daten (Befunde, Diagnose, Gesundheitszustand usw. KV, Privatarzt-Tarif etc.) vom Kunden entgegenzunehmen und per E-Mail an die Krankenversicherungsanstalt weiter zu leiten?
- Kunden senden uns auch unaufgefordert Daten (sogar sensible) per WhatsApp und bitten um Weiterleitung. Wie sieht es hier rechtlich aus? Ich kann mich ja gar nicht wehren, wenn ein Kunde dieses Instrument verwendet – ich fordere ihn nicht dazu auf!
- Mein Handy verwende ich privat und beruflich gemischt. Mein WhatsApp-Zugang ist bereits ein Business Zugang. Wie beurteilen Sie diese Sachlage aus DSGVO-Sicht?
- Stimmt es, dass ich ab 10. Jänner 2023 weder Windows 7, noch 8.1 verwenden darf?
Unten folgen die dazu gehörenden Antworten von RA Mag. Novotny:
Diesen Beitrag können Sie - wie alle bisherigen IDD und DSGVO-Praxisbeiträge - kostenlos als PDF anfordern.
Ein Mail mit "JA zu INFO" an g.wagner@b2b-projekte.at genügt. DSGVO: Praxis-Fragen zu Kommunikationstool:
E-mail und sensible Daten? Kunde kommuniziert via WhatsApp? Handy privat genutzt?
Praxisnahe Fragen zur täglichen Kommunikation in vielen Unternehmen zeigen Widersprüche zwischen Theorie und Praxis auf.
Wir haben folgende täglich auftretende Unklarheiten an den auf Versicherungsrecht spezialisierten Rechtsanwalt Mag. Stephan Novotny gestellt?
Praxisnahe Fragen zur täglichen Kommunikation in vielen Unternehmen zeigen Widersprüche zwischen Theorie und Praxis auf.
Wir haben folgende täglich auftretende Unklarheiten an den auf Versicherungsrecht spezialisierten Rechtsanwalt Mag. Stephan Novotny gestellt?
- Ist es für Versicherungsvermittler erlaubt, eine E-Mail mit sensiblen Daten (Befunde, Diagnose, Gesundheitszustand usw. KV, Privatarzt-Tarif etc.) vom Kunden entgegenzunehmen und per E-Mail an die Krankenversicherungsanstalt weiter zu leiten?
- Kunden senden uns auch unaufgefordert Daten (sogar sensible) per WhatsApp und bitten um Weiterleitung. Wie sieht es hier rechtlich aus? Ich kann mich ja gar nicht wehren, wenn ein Kunde dieses Instrument verwendet – ich fordere ihn nicht dazu auf!
- Mein Handy verwende ich privat und beruflich gemischt. Mein WhatsApp-Zugang ist bereits ein Business Zugang. Wie beurteilen Sie diese Sachlage aus DSGVO-Sicht?
- Stimmt es, dass ich ab 10. Jänner 2023 weder Windows 7, noch 8.1 verwenden darf?
Hier folgen die dazu gehörenden Antworten von RA Mag. Novotny:
Die Fragen sind sehr praxisnah, beschreiben die tägliche Kommunikation in vielen Unternehmen und zeigen Widersprüche zwischen Theorie und Praxis auf.
Ad Erhalt von Daten: Wenn Sie Daten via E-Mail erhalten (selbst wenn es sensible sein sollten) und der Absender (also Ihr Kunde, Lieferant, etc.) auf das Verschlüsseln verzichtet hat, dann ist das sein und nicht ihr Problem. D.h. Sie sind nicht dafür verantwortlich, wie man Ihnen Daten zusendet.
Ausnahme: Wenn Sie dazu einladen, Daten auf unsicheren Wegen, wie etwa WhatsApp zu senden. Hier wäre wohl eine Mitschuld anzunehmen.
Ad Weitersenden der Daten:
Wenn Sie sensible Daten weitersenden wollen / müssen, dann empfehle ich die gute alte Post, denn hier gilt das Postgeheimnis! Wenn Sie auf Nummer sicher gehen wollen, dann möglicherweise eingeschrieben.
Natürlich können Sie auch sensible Daten per E-Mail versenden. Allerdings nur verschlüsselt. Oder Sie packen alle Daten in ein Archiv und versperren dieses mit einem Passwort. Dann senden Sie das E-Mail, hängen das versperrte Archiv an und teilen das dazu gehörende Passwort telefonisch oder via SMS, etc. mit.
Keinesfalls das Passwort via E-Mail mitteilen, sondern über einen anderen Kanal. Denn wenn der Hacker die E-Mail mitlesen kann, dann würde er auch das E-Mail mit dem Passwort abfangen und lesen können.
Keinesfalls das Passwort via E-Mail mitteilen, sondern über einen anderen Kanal. Denn wenn der Hacker die E-Mail mitlesen kann, dann würde er auch das E-Mail mit dem Passwort abfangen und lesen können.
Zu Frage 2: Keinesfalls WhatsApp beruflich nutzen!
Wie schon oftmals erwähnt, gehört WhatsApp zum Facebook-Konzern. Beide stehen schon seit längerem wegen Datenschutz-Bedenken unter heftiger Kritik.
Meiner Ansicht nach sollten Sie keinesfalls WhatsApp beruflich nutzen, da dieses Tool nicht DSGVO-konform ist. Dazu gibt es schon mehrere Beiträge.
Wenn Sie WhatsApp PRIVAT nutzen möchten, ist das Ihre individuelle Entscheidung, Sie sollten sich aber auch in diesem Zusammenhang im Klaren sein, dass Facebook etwa die Daten aller Ihrer Kontakte absaugt und für eigene Zwecke verwendet (um etwa Schatten-Profile von jedem Menschen anzulegen). D.h. Sie sollten daher 2 Mobil-Telefone nutzen, damit Facebook keinesfalls berufliche Kontakte von Ihnen absaugen kann.
Wenn Sie Ihr Handy mit WhatsApp (auch) beruflich nutzen, dann wird das ein DSGVO-Problem. Also WhatsApp keineswegs BERUFLICH nutzen.
Und Sie sollten auch niemals dazu auffordern, dass man Ihnen Informationen via WhatsApp sendet. Daher keinesfalls diese Möglichkeit via Webseite, etc. anbieten.
Und Sie sollten auch niemals dazu auffordern, dass man Ihnen Informationen via WhatsApp sendet. Daher keinesfalls diese Möglichkeit via Webseite, etc. anbieten.
Also Hände weg von WhatsApp im Beruf.
Daher dürfen Sie auch die via WhatsApp empfangenen Daten via WhatsApp nicht weiterleiten. Nur weil der Kunde den DSGVO-Fehler begangen hat, dürfen Sie das gleiche Vergehen nicht auch noch einmal begehen!
Daher dürfen Sie auch die via WhatsApp empfangenen Daten via WhatsApp nicht weiterleiten. Nur weil der Kunde den DSGVO-Fehler begangen hat, dürfen Sie das gleiche Vergehen nicht auch noch einmal begehen!
Zu Frage 3: Handy privat und beruflich nutzbar?
Wenn Sie keine „problematischen“ Apps und Messenger-Dienste (wie etwa WhatsApp – siehe oben) auf diesem Handy verwenden, die alle Ihre Kontakte absaugen und „verwerten“, sehe ich kein Problem. D.h. Zu dieser Frage kann man nur antworten, dass die Vermischung von beruflichen und privaten Kontakten am Handy völlig problemlos ist. Es entsteht niemanden ein Nachteil, die Post hat kein Interesse daran, Daten Ihres Handys in irgendeiner Form abzusagen und zu verwerten…
Also kann ich daran überhaupt kein Problem, daher auch kein DSGVO-Problem erkennen.
Wenn Sie aber „problematische“ Apps und Messenger Dienste verwenden, die alle Ihre Kontakte verwerten, dann ist das leider ein Problem.
Folge: Sie dürfen daher bei gemischter Nutzung des Handys WhatsApp auch privat nicht nutzen.
Wenn Sie aber „problematische“ Apps und Messenger Dienste verwenden, die alle Ihre Kontakte verwerten, dann ist das leider ein Problem.
Folge: Sie dürfen daher bei gemischter Nutzung des Handys WhatsApp auch privat nicht nutzen.
Zu Frage 4: Finale DSGVO-Warnung zum Jahreswechsel:
Stimmt es, dass ich ab 10. Jänner 2023 weder Windows 7, noch 8.1 verwenden darf?
Ja, das stimmt. Warum? Weil es für Windows 7 bzw. Windows 8.1 ab 10. Jänner 2023 keine Updates von Microsoft mehr geben wird.
Sollten Sie also noch dieses Betriebssystem verwenden, bitte rasch auf Windows 10 oder 11 umsteigen. Weil Sie ansonsten keine „geeigneten technische und organisatorische Maßnahmen“ implementiert haben, Sie also „kein angemessenes Schutzniveau gewährleistet haben“. Eine schwere Verletzung der TOMs und damit einer zentrale Anforderung der DSGVO wäre die Folge, weil Sie durch ein unsicheres Betriebssystem Hackern damit Tür und Tor geöffnet haben!
Eine Kurz-Zusammenfassung zu den TOMs (es gibt 8 davon, was bedeuten sie, was fordert die DSGVO?) können Sie hier nachlesen...
Sollten Sie also noch dieses Betriebssystem verwenden, bitte rasch auf Windows 10 oder 11 umsteigen. Weil Sie ansonsten keine „geeigneten technische und organisatorische Maßnahmen“ implementiert haben, Sie also „kein angemessenes Schutzniveau gewährleistet haben“. Eine schwere Verletzung der TOMs und damit einer zentrale Anforderung der DSGVO wäre die Folge, weil Sie durch ein unsicheres Betriebssystem Hackern damit Tür und Tor geöffnet haben!
Eine Kurz-Zusammenfassung zu den TOMs (es gibt 8 davon, was bedeuten sie, was fordert die DSGVO?) können Sie hier nachlesen...
Quellen: Chip.de, B2B-Projekte für Versicherungsbranche, Webseite IVVA.at
Alle bisherigen IDD und DSGVO-Praxisbeiträge von Mag. Novotny können Sie als PDF anfordern. Dazu einfach ein E-mail an g.wagner@b2b-projekte.at mit Betreff "Ja zu Infos".
Für Rückfragen:
RA Mag. Stephan Novotny, Foto: Stephan Huger
RA Mag. Stephan Novotny
1010 Wien, Landesgerichtstraße 16 / 12