Die Kommunikation von Berufsgeheimnisträgern erfolgt heute zu einem großen Teil per E-Mail: Sie schreiben E-Mails und empfangen sie. Berufsgeheimnisträger sind etwa Rechtsanwälte, Steuerberater, Ärzte, Psychotherapeuten, Apotheker, Mitarbeiter staatlich anerkannter Beratungsstellen, Sozialarbeiter sowie Mitarbeiter privater Kranken-, Unfall- oder Lebensversicherungen. Regelmäßig wird die E-Mail-Kommunikation personenbezogene Daten gemäß Art. 4 Nr. 1 Datenschutz-Grundverordnung (DS-GVO) enthalten. Damit spielen datenschutzrechtliche Anforderungen an die Datensicherheit eine Rolle, über die jedoch vielfach Unsicherheit besteht. Art. 32 DS-GVO führt diesbezüglich aus, dass für die Datenverarbeitung Verantwortliche geeignete technische und organisatorische Maßnahmen zu ergreifen haben, um ein angemessenes Schutzniveau zu gewährleisten. Nach Art. 5 Abs. 1 lit. f DS-GVO müssen Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet.  Hierzu gehören etwa der Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen. In der Konsequenz müssen Berufsgeheimnisträger daher E-Mail-Kommunikation, die personenbezogene Daten enthält, dem Stand der Technik entsprechend datensicher organisieren, um sich keines Verstoßes gegen die genannten Normen vorwerfen lassen zu müssen. Grundsätzlich sollten E-Mails mit personenbezogenen Daten, sofern diese nicht pseudonymisiert werden, mindestens mit einer „Transportverschlüsselung“ versendet werden. Bei  besonders sensiblen Daten sollte eine „Inhaltsverschlüsselung“ das Mittel der Wahl darstellen“. Ein Unterschreiten

Aktuell bereiten sich viele Unternehmen auf die zweite Welle der Corona-Epidemie vor. Die wieder ansteigenden Zahlen machen es erforderlich, bestehende Konzepte zu prüfen, getroffenen Maßnahmen anzupassen und arbeitsvertragliche Regelungen zu erweitern. Datenschutz auch in Zeiten von Band pandemischen Epidemien gelten die Datenschutzrichtlinien. Private Kontaktdaten von Mitarbeiterinnen und Mitarbeitern sowie deren Gesundheitsdaten sind sensibel und können nur mit Einwilligung des Mitarbeiters, oder wenn der Schutz der anderen Beschäftigten es gebietet, erhoben und verarbeitet werden. Dabei ist zu beachten, dass die Verarbeitung nur so lange erlaubt ist, wie die Situation dieses erfordert. Wenn Behörden das Unternehmen um Auskunft bitten, z.B. im Zusammenhang mit einem infizierten Beschäftigten, darf und muss der Arbeitgeber die gewünschten Daten übermitteln. In der Regel erfolgt diese Meldung jedoch nicht durch die Unternehmen, sondern durch die Gesundheitsbehörden, die mit der Testung und Auswertung beauftragt sind. Im Falle eines positiven Corona-Infekts im Unternehmen, sind jedoch weiterführende Maßnahmen erforderlich, um den Schutz weiterer Personen zu gewährleisten. Gerade diese Situation erfordert es, eine Dokumentation anzulegen, in der auch personenbezogene Daten gespeichert sind. Da diese Dokumentation sensible Daten enthält, muss über ein Berechtigungssystem festgelegt sein, wer Zugriff auf diese Daten hat. Der Zugriff muss auf die minimale Anzahl an Personen beschränkt sein. Was

Die neue SARS-CoV-2 Arbeitsschutzregel wurde unter Koordination der Bundesanstalt für Arbeitsschutz und Arbeitsmedizin (BAuA) gemeinsam von den Arbeitsschutzausschüssen beim Bundesarbeitsministerium erstellt. Die SARS-CoV-2 Arbeitsschutzregel trat am 20.08.2020 durch Veröffentlichung im Gemeinsamen Ministerialblatt in Kraft. Die SARS-CoV-2 Arbeitsschutzregel konkretisiert für den Zeitraum der epidemischen Lage von nationaler Tragweite gemäß § 5 Infektionsschutzgesetz die Anforderungen an den Arbeitsschutz. Die Regel stellt Maßnahmen für alle Bereiche des Wirtschaftslebens vor, mit denen das Infektionsrisiko für Beschäftigte gesenkt und auf niedrigem Niveau gehalten werden kann. Dabei bleiben Abstand, Hygiene und Masken die wichtigsten Instrumente, solange es keinen Impfschutz für CoViD-19 gibt. Betriebe, die die Regel anwenden, können davon ausgehen, dass sie rechtssicher handeln. Gleichwertige oder strengere Regeln, zum Beispiel aus der Biostoffverordnung oder aus dem Bereich des Infektionsschutzes, müssen jedoch weiterhin beachtet werden. Die Empfehlungen der Berufsgenossenschaften zur SARS-CoV-2, die sich ebenfalls am Arbeitsschutzstandard des BMAS orientieren, werden zusätzlich für branchenspezifische Konkretisierungen empfohlen. Quelle: https://www.baua.de/DE/Angebote/Rechtstexte-und-Technische-Regeln/Regelwerk/AR-CoV-2/AR-CoV-2.html

Urteil des Europäischen Gerichtshofs zur Übermittlung personenbezogener Daten in Drittländer („Schrems II“) stärkt den Datenschutz für EU-Bürgerinnen und Bürger Nr.20200728  | 28.07.2020  | DSMV  | datenschutz-mv.de Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 16. Juli 2020 (Rechtssache C-311/18) den Beschluss 2016/1250 der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA (Privacy Shield) für unwirksam erklärt. Zugleich hat der EuGH festgestellt, dass die Entscheidung 2010/87/EG der Kommission über Standardvertragsklauseln (Standard Contractual Clauses – SCC) grundsätzlich weiterhin gültig ist. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) sieht mit diesem Urteil die Datenschutzgrundrechte der Bürger und Bürgerinnen in der Europäischen Union gestärkt. Für die Übermittlung personenbezogener Daten in die USA und andere Drittländer hat das Urteil nach einer ersten Einschätzung der DSK folgende Auswirkungen: Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield ist unzulässig und muss unverzüglich eingestellt werden. Der EuGH hat das Privacy Shield für ungültig erklärt, weil das durch den EuGH bewertete US-Recht kein Schutzniveau bietet, das dem in der EU im Wesentlichen gleichwertig ist. Das US-Recht, auf das der EuGH Bezug genommen hat, betrifft z. B. die nachrichtendienstlichen Erhebungsbefugnisse nach Section 702 FISA und Executive Order 12 333. Für eine Übermittlung personenbezogener Daten in

Wirksamer Datenschutz erfordert regelmäßige Kontrolle und Anpassung Wegen eines Verstoßes gegen die Pflichten zu sicherer Datenverarbeitung (Art. 32 der Europäischen Datenschutz-Grundverordnung DS-GVO) hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 25.06.2020 gegen die  AOK Baden-Württemberg  eine  Geldbuße  von  1.240.000,- Euro  verhängt   und – in konstruktiver Zusammenarbeit mit der AOK – zugleich die Weichen für eine Verbesserung der technischen und organisatorischen Maßnahmen zum Schutz persönlicher Daten bei der AOK Baden-Württemberg gestellt. Die AOK Baden-Württemberg veranstaltete in den Jahren 2015 bis 2019 zu unterschiedlichen Gelegenheiten Gewinnspiele und erhob hierbei personenbezogene Daten der Teilnehmer, darunter deren Kontaktdaten und Krankenkassenzugehörigkeit. Dabei wollte die AOK die Daten der Gewinnspielteilnehmer auch zu Werbezwecken nutzen, sofern die Teilnehmer hierzu eingewilligt hatten. Mithilfe technischer und organisatorischer Maßnahmen, u. a. durch interne Richtlinien und Datenschutzschulungen, wollte die AOK hierbei sicherstellen, dass nur Daten solcher Gewinnspielteilnehmer zu Werbezwecken verwendet werden, die zuvor wirksam hierin eingewilligt hatten. Die von der AOK festgelegten Maßnahmen genügten jedoch nicht den gesetzlichen Anforderungen. In der Folge wurden die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet. Versichertendaten waren hiervon nicht betroffen. Die AOK Baden-Württemberg stellte unmittelbar nach Bekanntwerden des Vorwurfs alle vertrieblichen Maßnahmen ein, um sämtliche Abläufe grundlegend auf den