Guten Tag,
ich habe eine Frage bzgl. dem Datenschutz und der Weitergabe von persönlichen Daten zwischen Unternehmen und staatlicher Stelle.
Annahme: Staatliche Behörde (SB) vergibt eine Telefon-Hotline an ein externes Unternehmen (EU), da diese mit eigenen Mitarbeitern nicht mehr ausreichend besetzbar ist.
EU nimmt mit seinen Mitarbeitern, die sich am Telefon mit "SB" melden und für den Anrufer nicht als EU erkennbar sind nun die sensiblen personenbezogenen Daten entgegenen und speichert diese in einem normalen Word-Dokument ab. Das Worddokument wird dann von dem Mitarbeiter von EU über den EU-E-Mail-Account an eine Sammel-E-Mail-Adresse von SB gesandt.
Meiner Meinung verstößt hier EU gegen Datenschutzrichtlinien und die EU-Mitarbeiter wären persönlich haftbar, da eine E-Mail-Weitergabe an SB nicht sicher ist. Müsste EU die Daten nicht per Fax an die staatliche Stelle senden? Gibt es neben Fax eine andere rechtssichere Möglichkeit der Weitergabe wenn SB dem EU keinen Direktzugriff auf die Programme von SB liefert (dann müsste keine Datenübertragung erfolgen, da der EU-Mitarbeiter die Daten direkt im SB-Programm erfassen könnte).
Vielen Dank für die Hilfe und die Einschätzung.
Datenweitergabe per Mail ans staatliche Stelle
Hallo Herr/Frau Derchinger,
zunächst bitte ich um Entschuldigung für die späte Rückmeldung.
Zu Ihren Fragen:
Verhältnis zwischen Verantwortlicher (SB) und Auftragsverarbeiter (EU)
Der Auftragsverarbeiter (von Ihnen mit EU bezeichnet) übernimmt vom Verantwortlichen (in Ihrer Frage als SB bezeichnet) die Datenschutzerklärung. Dies ist in der DSGVO so geregelt.
Ob SB oder EU, beide haben dafür zu sorgen, wenn Daten transferiert werden, dass die erfassten personenbezogenen Daten nicht in Hände Dritter gelangen. Sollte dies passieren entspräche dies einer Datenpanne und wäre meldepflichtig.
Ihre Frage zum Versand per Fax:
Der Datenschutz Nordrhein-Westfalen (LDI NRW) sieht den Versand vertraulicher Informationen per Fax als nicht sicher und eher riskant an. Faxdienste enthalten grundsätzlich keine Datensicherheitsmaßnahmen und fallen demzufolge als Übertragungsmedium ebenfalls aus.
Eine rechtssichere Möglichkeit besteht zum Beispiel in einer Übertragung via Mail, wenn die Daten verschlüsselt gesendet werden. Es besteht auch die Möglichkeit einer gemeinsamen Datenablage, zwischen SB und EU. Wichtig ist, dass die Daten, sollte es zur Übertragung über das Internet kommen, verschlüsselt übertragen werden.
Haftung:
Mit einem Blick in das DSGVO gibt hier treffend auskunft:
https://dsgvo-gesetz.de/art-82-dsgvo/
Art. 82 DSGVO Haftung und Recht auf Schadenersatz
(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter....
Weitere Infos finden Sie unter dem oben angegeben Link.
Wenn Sie weitere Fragen haben, melden Sie sich bitte.
Viele Grüße
Gerd Reunert
e. datenschutz@reunert.de
Bitte melden Sie sich an, um auf diese Frage zu antworten.