Pen-Tests: Was muss zusätzlich zum AV-Vertrag beachtet oder abgeschlossen werden?

Nahezu jedem AV-Vertrag liegt ja ein Dienstleistungsvertrag zugrunde, in dem die Leistungen, die Rechte und Pflichten der Parteien beschrieben sind. Vorliegend ist das vielleicht nicht der Fall, weil der Kunde ja den AV beauftragt?

Wir empfehlen, folgende Punkte im Hauptvertrag mit dem Kunden/den Dienstleister zu beachten:

•Anonymisierung/Pseudonymisierung/Testdaten: Die sicherste Variante wäre, den Penetrationstest (insbesondere den internen Teil) in einer Testumgebung durchzuführen, die stark anonymisierte/pseudonymisierte Daten enthält, sodass kein Rückschluss auf Einzelpersonen mehr möglich ist. Prüfen Sie, ob dies für die Zwecke des Investors ausreichend sein könnte.

•Einschränkung des Testumfangs: Verhandeln Sie mit dem Investor und dem Tester, ob der Umfang des internen Tests reduziert werden kann. Muss wirklich auf alle Kundendaten zugegriffen werden? Reicht vielleicht der Test bestimmter Schnittstellen oder Systeme ohne direkten Zugriff auf die produktiven Datenbanken? Kann der Zugriff auf "Read-Only" beschränkt werden?

•Verschärfte Aufsicht: Lassen Sie den internen Test durch eigene Mitarbeiter eng begleiten und überwachen, um sicherzustellen, dass der Tester nur vereinbarungsgemäß agiert und nicht unnötig auf Daten zugreift.

•Noch besser: Argumentieren Sie gegenüber dem Investor, dass die bereits vorgelegten und positiv bewerteten ISMS/DSM-Unterlagen sowie ggf. vorhandene Zertifizierungen (z.B. ISO 27001) und frühere Auditberichte ausreichende Sicherheit über die Informationssicherheit geben und ein solch tiefer Eingriff nicht (oder nur in reduziertem Umfang) notwendig ist.

•Vertragliche Zusicherungen: Ergänzen Sie den AVV um besonders strenge Klauseln bezüglich Vertraulichkeit, Zweckbindung und Löschung der Daten nach Testende.   

Zusätzliche Maßnahmen
Zusätzlich zum AV-Vertrag ist eine interne Dokumentation und Bewertung dringend zu empfehlen und praktisch notwendig, um der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachzukommen. Diese sollte mindestens folgende Punkte umfassen:

•Klare Definition des Ziels (Identifizierung von Schwachstellen im Rahmen der Due Diligence auf Anforderung des Investors).

•Rechtsgrundlage (Art. 6 DSGVO) definieren und dokumentieren für die Verarbeitung

•Das berechtigte Interesse: Sicherstellung der Informationssicherheit, Erfüllung der Anforderungen des Investors zur Ermöglichung des Vertragsschlusses.

•Interesse des Investors: Bewertung der IT-Sicherheit als Teil der Due Diligence vor einer Entscheidung

•Abwägung durchführen: Diese Interessen müssen gegen die Interessen, Grundrechte und Grundfreiheiten der betroffenen Personen (Kunden, Mitarbeiter) abgewogen werden. Hierbei ist entscheidend, wie tief der Zugriff erfolgt, welche Daten betroffen sind und welche Schutzmaßnahmen getroffen werden. Die Erwartungshaltung der Betroffenen spielt ebenfalls eine Rolle (können Mitarbeiter/Kunden damit rechnen, dass ihre Daten im Rahmen solcher Sicherheitstests eingesehen werden?).

•Umfang des Zugriffs & Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Definieren Sie genau, auf welche Systeme und welche Daten (Art, Umfang) der Tester Zugriff erhält. Der Zugriff muss auf das absolut Notwendige beschränkt sein. Kann der Test z.B. nur auf bestimmte Systeme oder mit Testdaten/anonymisierten/pseudonymisierten Daten erfolgen?

Risikoanalyse: Bewerten Sie die Risiken, die durch den Zugriff des Dritten auf die personenbezogenen Daten entstehen (z.B. Risiko eines Datenabflusses, unbefugte Kenntnisnahme, Missbrauch).

•Schutzmaßnahmen (Art. 32 DSGVO): Dokumentieren Sie die technischen und organisatorischen Maßnahmen (TOMs), die Sie und der beauftragte Tester ergreifen, um die Daten während des Tests zu schützen (z.B. strenge Zugriffskontrollen, Verschlüsselung, Protokollierung, Vertraulichkeitsverpflichtungen für die Tester, sichere Löschung von Testdaten nach Abschluss). Prüfung der Notwendigkeit einer Datenschutz-Folgenabschätzung (DSFA) (Art. 35 DSGVO): Prüfen Sie, ob der Test wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Faktoren können sein: Umfang der Daten, Art der Daten (besondere Kategorien?), systematische Überwachung (auch wenn zeitlich begrenzt), Einsatz neuer Technologien. Wenn ein hohes Risiko wahrscheinlich ist, muss eine DSFA durchgeführt werden. Allein der Zugriff auf eine große Menge an Kundendaten durch einen externen Dritten könnte bereits eine DSFA-Pflicht auslösen. Dokumentieren Sie Ihre Prüfung und deren Ergebnis  

Stand: 09.04.2025

Müssen die Akten einer Betreuerin eines Betreuungsvereins im Kündigungsfall als Kopie zurückbehalten werden?

Bürgerliches Gesetzbuch (BGB) - § 1814 Voraussetzungen

“(1) Kann ein Volljähriger seine Angelegenheiten ganz oder teilweise rechtlich nicht besorgen und beruht dies auf einer Krankheit oder Behinderung, so bestellt das Betreuungsgericht für ihn einen rechtlichen Betreuer (Betreuer).“

Zuständigkeit und Verantwortung für die Akten – aus dieser Norm:

•Die rechtliche Betreuung ist ein höchstpersönliches Amt, das der bestellten Betreuerin obliegt, nicht primär dem Verein.

Aber:

Es gibt auch die Möglichkeit der Bestellung eines Betreuungsvereins als Betreuer, vgl. § 1818 BGB

§ 1818 BGB:

Das Betreuungsgericht bestellt einen anerkannten Betreuungsverein zum Betreuer, wenn der Volljährige dies wünscht, oder wenn er durch eine oder mehrere natürliche Personen nicht hinreichend betreut werden kann. Die Bestellung bedarf der Einwilligung des Betreuungsvereins.

Der Betreuungsverein überträgt die Wahrnehmung der Betreuung einzelnen Personen. Vorschlägen des Volljährigen hat er hierbei zu entsprechen, wenn nicht wichtige Gründe entgegenstehen. Der Betreuungsverein teilt dem Betreuungsgericht alsbald, spätestens binnen zwei Wochen nach seiner Bestellung, mit, wem er die Wahrnehmung der Betreuung übertragen hat. Die Sätze 2 und 3 gelten bei einem Wechsel der Person, die die Betreuung für den Betreuungsverein wahrnimmt, entsprechend.

Und in § 1819 BGB ist geregelt:

(3) Ein Mitarbeiter eines anerkannten Betreuungsvereins, der dort ausschließlich oder teilweise als Betreuer tätig ist (Vereinsbetreuer), darf nur mit Einwilligung des Betreuungsvereins bestellt werden. Entsprechendes gilt für den Mitarbeiter einer Betreuungsbehörde, der als Betreuer bestellt wird (Behördenbetreuer).

Hat die Betreuerin die Pflicht zur Erstellung einer Kopie der Originalakten?

Rechtsgrundlage nach der DSGVO

•Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO): Es dürfen nur die Daten verarbeitet (also auch gespeichert) werden, die für den Zweck erforderlich sind. Das Anfertigen und Aufbewahren vollständiger Kopien hochsensibler Betreuungsakten über Jahre hinweg, obwohl die Originale bei der zuständigen Betreuerin sind und die Betreuung dort weiterläuft, steht aus unserer Sicht NICHT im Konflikt mit diesem Datensparsamkeits-Grundsatz, denn die zivilrechtliche Haftung des Vereins für den Zeitraum der Betreuung durch den Verein bleibt über Jahre bestehen (bis zum Ende der zivilrechtlichen Verjährungsfristen).

Unsere Empfehlung:

•Der Verein sollte in jedem Fall das Anfertigen vollständiger Kopien der Betreuungsakten für den Zeitraum fordern, in dem er bestellter Vertreter war.

•Der Verein sollte dokumentieren, welche Mandate von der Mitarbeiterin betreut und zum Stichtag (31.03.2025 bzw. 01.04.2025) samt Originalakten an sie als freie Betreuerin übergeben wurden. Eine Liste der übergebenen Akten/Mandate, idealerweise von beiden Seiten unterzeichnet, wäre sinnvoll.

•Auch die Einverständniserklärungen der Betreuten zur Aktenmitnahme sollten (ggf. in Kopie, falls sie an den Verein adressiert waren) aufbewahrt werden.

Stand: 09.04.2025

Unterfallen Daten von natürlichen Personen, die Unternehmen vertreten der DSGVO?

Urteil des EuGH vom 03.04.2025 (Rs. C-710/23)

Zum Ausgangsstreit und den Vorlagefragen

L. H. wollte vom Gesundheitsministerium Informationen darüber, wer bestimmte Verträge über den Kauf von Corona-Tests unterschrieben hat. Außerdem wollte er die Zertifikate sehen, die bestätigen, dass diese Tests in der EU verwendet werden dürfen. Das Ministerium gab ihm die Zertifikate, schwärzte aber die Namen und Kontaktdaten der Personen, die sie unterschrieben hatten. Begründung: Der Schutz dieser persönlichen Daten sei durch die Datenschutz-Grundverordnung (DSGVO) vorgeschrieben.

L. H. fand das nicht richtig und klagte vor einem Prager Gericht. Das Gericht gab ihm recht. Es meinte, das Ministerium hätte die betroffenen Personen vorher informieren und ihre Meinung einholen müssen, bevor es sich auf den Datenschutz beruft. So sehe es das nationale Recht vor.

Das Gesundheitsministerium legte gegen dieses Urteil Berufung ein. Es argumentierte, dass es nicht möglich gewesen sei, die Personen zu informieren, weil sie in China oder Großbritannien arbeiten und ihr Wohnort nicht bekannt sei. Das Oberste Verwaltungsgericht legte daraufhin dem Europäischen Gerichtshof (EuGH) zwei Fragen zur Klärung vor:

•Sind Daten wie Name, Unterschrift, Position und Kontaktdaten einer Person, die ausschließlich zur Identifizierung ihrer Rolle als Vertreter einer juristischen Person dienen, überhaupt "personenbezogene Daten" im Sinne der DSGVO (Art. 4 Nr. 1)? 

•Darf nationales Recht (hier: ständige Rechtsprechung) zusätzliche Verfahrensanforderungen stellen (konkret: die Pflicht zur vorherigen Information/Anhörung der betroffenen Person), bevor eine Behörde Daten auf Basis von Art. 6 Abs. 1 lit. c oder e DSGVO herausgibt, auch wenn die DSGVO selbst diese Anforderung nicht explizit nennt? 

Aus den Entscheidungsgründen

Der EuGH stellte fest, dass die Offenlegung von Vorname, Nachname, Unterschrift und Kontaktdaten einer natürlichen Person, die eine juristische Person vertritt, eine Verarbeitung personenbezogener Daten im Sinne der DSGVO (Art. 4 Nr. 1 und 2) darstellt.

Der Begriff "personenbezogene Daten" ist laut Art. 4 Nr. 1 DSGVO und ständiger Rechtsprechung sehr weit auszulegen und umfasst potenziell alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dass die Informationen im Rahmen einer beruflichen Tätigkeit (Vertretung einer juristischen Person) anfallen, ändert nichts daran, dass es sich um personenbezogene Daten handelt. Vorname, Nachname und Unterschrift sind eindeutig personenbezogene Daten. Bei Kontaktdaten muss geprüft werden, ob sie einer natürlichen Person zugeordnet werden können, was hier aber generell bejaht wird.

Die Offenlegung oder Übermittlung dieser Daten ist eine "Verarbeitung" im Sinne von Art. 4 Nr. 2 DSGVO. Der Zweck der Verarbeitung (hier: Identifizierung des Vertreters der juristischen Person) ist für die Frage, ob es sich um personenbezogene Daten und eine Verarbeitung handelt, ohne Belang. Zusammenfassend bestätigt der EuGH, dass auch Daten von Personen in ihrer beruflichen Funktion als Unternehmensvertreter unter den Schutz der DSGVO fallen und ihre Weitergabe eine Verarbeitung darstellt.

Stand: 09.04.2025

BGH-Urteil zur Abmahnungsfähigkeit von Artikeln der DSGVO

Der BGH hat am 27.03.2025 (I ZR 186/17) entschieden, dass Verbraucherschutzverbände den Verstoß eines Betreibers eines sozialen Netzwerks, die Nutzer über die Verwendung ihrer personenbezogenen Daten zu unterrichten, zivilgerichtlich geltend machen können.

Der Verstoß gegen die datenschutzrechtliche Verpflichtung begründet wettbewerbsrechtliche Unterlassungsansprüche.

Art. 80 Abs. 2 DSGVO bildet laut BGH eine geeignete Grundlage für die Verfolgung von Verstößen gegen die DSGVO nach dem UWG (Gesetz gegen den unlauteren Wettbewerb) und Unterlassungsklagegesetz.

Die Nutzer wurden nicht ausreichend über Art, Umfang und Zweck der Verarbeitung informiert. Damit wurde gegen Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e DSGVO verstoßen.

In dem Datenschutzverstoß liegt zugleich ein Verstoß gegen Lauterkeitsrecht wegen Vorenthaltens einer wesentlichen Information gem. § 5a Abs. 1 UWG.

Aufgrund der wirtschaftlichen Bedeutung der Verarbeitung von personenbezogenen Daten für internetbasierte Geschäftsmodelle, bei denen der Verbraucher durch die Preisgabe seiner Daten einen Gegenwert erhält, sind die datenschutzrechtlichen Informationspflichten von elementarer Bedeutung.

Mehr Infos

Stand: 02.04.2025

Beschluss des OLG Stuttgart zum Thema Mitarbeiterexzess

Beschluss des OLG Stuttgart vom 25.02.2025 (AZ: 2 ORbs 16 Ss 336/24)

Aus dem Sachverhalt:

Am 2. März 2021 fragte ein Beamter von seinem Dienstrechner im Polizeirevier Daten über einen Kollegen ab, der sich zu diesem Zeitpunkt in Untersuchungshaft befand. Er nutzte dafür das polizeiliche Informationssystem "POLAS". Diese Abfrage erfolgte ohne dienstlichen Anlass. Der Beamte wusste, dass er keine dienstliche Berechtigung für diese Abfrage hatte (handelte also vorsätzlich und aus privaten Motiven).Das Amtsgericht Stuttgart verurteilte den Beamten deshalb wegen einer vorsätzlichen Ordnungswidrigkeit (rechtswidrige Verarbeitung personenbezogener Daten gemäß DSGVO) zu einer Geldbuße von 1.500 Euro. Der Beamte legte gegen dieses Urteil Rechtsbeschwerde ein.

Aus den Entscheidungsgründen:

Das Gericht wies die Rechtsbeschwerde des Beamten als unbegründet zurück. Die Verurteilung durch das Amtsgericht war rechtmäßig, denn der Beamte war "Verantwortlicher" im Sinne der DSGVO (Art. 4 Nr. 7). Grundsätzlich sind weisungsgebundene Mitarbeiter (ohne Leitungsfunktion) keine "Verantwortlichen". Aber bei einem sogenannten "Mitarbeiterexzess" – wenn ein Mitarbeiter bewusst und gewollt seine Befugnisse überschreitet und Daten aus rein privaten, dienstfremden Gründen verarbeitet handelt er nicht mehr im Rahmen seiner dienstlichen Weisungen. In diesem Moment "schwingt" er sich selbst zum Entscheider über Zweck und Mittel der Datenverarbeitung auf. Er handelt nicht mehr als unterstellte Person, sondern begründet eine eigene Entscheidungsmacht. Das Gericht schließt sich hier den Leitlinien des Europäischen Datenschutzausschusses an, die besagen, dass ein Beschäftigter, der Daten für eigene Zwecke verarbeitet, selbst zum Verantwortlichen wird.

Die Handlung war eine "Verarbeitung" im Sinne der DSGVO (Art. 4 Nr. 2). Die Definition von "Verarbeitung" in der DSGVO ist sehr weit gefasst. Sie schließt ausdrücklich das "Abfragen" von Daten ein. Der EuGH hat bereits bestätigt, dass der Begriff weit auszulegen ist und auch das Abrufen von Daten durch Mitarbeiter darunterfällt. Es gibt keinen Grund, den Begriff "Verarbeitung" im Fall eines Mitarbeiterexzesses enger auszulegen. Der Beamte soll nicht dadurch privilegiert werden, dass er bewusst außerhalb seiner Befugnisse handelte.

Da der Polizeibeamte die Daten bewusst und ohne dienstlichen Anlass und somit für private Zwecke abfragte, wurde er selbst zum "Verantwortlichen" für diese "Verarbeitung" im Sinne der DSGVO. Die Verurteilung zu 1.500 Euro Bußgeld durch das Amtsgericht war daher korrekt, und die Rechtsbeschwerde wurde abgewiesen.

Stand: 02.04.2025

Ist der Einsatz einer Software, die LinkedIn-Accounts von Sales-Mitarbeitern automatisiert nutzt, datenschutz- und wettbewerbsrechtlich zulässig?

Datenschutz und der LinkedIn Sales Navigator

•Die Synchronisierung von Salesforce- und Microsoft 365-Accounts mit Sales Navigator ermöglicht personalisierte Lead-Empfehlungen.

•Importierte CRM-Daten helfen bei der Identifikation relevanter Kontakte und Leads.

•Mit Zustimmung können sie für Analysen und ROI-Berichte genutzt werden, um den Einfluss von Sales Navigator auf Verkaufsabschlüsse zu bewerten.

•Wichtig zu wissen: Alle Daten werden in den USA gespeichert.

Mehr Infos

Datenschutz bei LinkedIn – Risiken 

•LinkedIn fordert Nutzer zur Angabe personenbezogener Daten auf, darunter Name, Ausbildung, Berufserfahrung und Kontakte. Diese Angaben sind freiwillig, werden aber empfohlen, insbesondere für Jobsuchende.

•LinkedIn teilt Daten mit externen Dienstleistern und verbundenen Unternehmen wie Microsoft (Outlook). Hierüber wird aufgeklärt, aus unserer Sicht auch datenschutzkonform.

•Aber: der LinkedIn Sales Navigator kann Datenschutzrisiken mit sich bringen, wenn nicht komplett transparent gearbeitet wird.

•Und: Künstliche Intelligenz analysiert Nutzeraktivitäten zur Optimierung von Vorschlägen.

•Ob LinkedIn insbesondere bezüglich seines Sales-Navigators vollständig DSGVO-konform ist, bleibt umstritten (v.a. weil Nutzer ihre Daten einem breiten Publikum preisgeben).

Mehr Infos

•Unternehmen, die LinkedIn nutzen, müssen bestimmte Datenschutzvorgaben beachten.

•Während das Netzwerk selbst für die Verarbeitung personenbezogener Daten verantwortlich ist, müssen Firmen, die aktiv Nutzerdaten erheben oder weiterverarbeiten, eine eigene Datenschutzerklärung bereitstellen.

•Laut Art. 26 DSGVO besteht bei der Nutzung von LinkedIn-Analysetools eine gemeinsame Verantwortlichkeit, weshalb Unternehmen mit LinkedIn ein Joint-Controller-Agreement abschließen müssen.

•LinkedIn bietet hierfür das Page Insights Joint Controller Addendum an.

Mehr Infos

Pflicht zum Abschluss eines Auftragsverarbeitungsvertrags

•Wird ein externes Unternehmen mit der Erstellung bzw. Zurverfügungstellung einer Software beauftragt, um Leads zu generieren, ist zwingend ein Auftragsverarbeitungsvertrag

Ausführliche Informationen zum Thema Auftragsverarbeitung und AV-Vertrag finden Sie in unserem Blog.

Fazit:

1.Datenschutz

•Joint Controller Addendum abschließen

•Selbst datenschutzkonform arbeiten, insbesondere AV-Vertrag mit Dienstleister abschließen

•Abwarten, was zum Datenschutz hinsichtlich LinkedIN generell von den Aufsichtsbehörden kommt

2. Wettbewerbsrechtlich

•Kein Problem wegen der klaren Ausrichtung von LinkedIN als berufliches Netzwerk, das geradezu dafür gemacht wurde, sich miteinander zu vernetzen.

•Aber: Nutzungsbedingungen nochmal genau anschauen und sich fragen:

•Wie gutes Marketing eigentlich stattfindet (evtl. mehr Aufbau Vertrauen, Präsenz, Fachkompetenz, etc. und weniger massives Bewerben)

Stand: 26.03.2025

Dürfen Spendenquittungen per Mail verschickt werden?

Seit dem 6. Februar 2017 lässt das Bundeministerium für Finanzen die elektronische Versendung von Zuwendungsbestätigungen (Spendenquittungen) zu.

--> Für ab dem 1.1.2017 zufließende Spenden können die Bestätigungen per Mail versandt werden.

Muster für die Erstellung einer Zuwendungsbestätigung

Rechtsgrundlage für die Datenverarbeitung (neben Einwilligung)

• Rechtsgrundlage für die Dokumentation von Spendern: Art. 6 Abs. 1 lit. c) DSGVO iVm § 147 AO

• Rechtsgrundlage für die Erstellung von Spendenbescheinigungen: Art. 6 Abs. 1 lit. c) DSGVO iVm § 50 EStDV 

Verarbeitung für Informationen über künftige Vorhaben: Art. 6 Abs. 1 lit. f DSGVO, da aufgrund der Spende davon ausgegangen werden darf, dass Interesse an der Tätigkeit besteht.

Zusätzliche Besonderheit bei den Fristen beim Zuwendungsempfänger:

-Für eine auf Papier erstellte und übersandte Zuwendungsbestätigung beträgt die Aufbewahrungsfrist 10 Jahre.

-      Bei einer elektronisch bestätigten Spende können die Daten bereits nach 7 Jahren gelöscht werden.

-      Die Frist beginnt mit Ablauf des Jahres der Zuwendung.

Unser Lösungsvorschlag für das Verzeichnis für Verarbeitungstätigkeiten:

Anwendungsbereich:  alle Mitglieder, Spender für die eine E-Mailadresse in der Mitgliederverwaltung hinterlegt wurde

Fazit: Ja, Spendenquittungen dürfen per Mail verschickt werden!

Zweck:                          Erfüllung der gesetzlichen Anforderung, dass den Spendern eine Zuwendungsbestätigung auszustellen ist

Rechtsgrundlage:       Art. 6 Abs. 1 lit. c) DSGVO iVm § 50 EStDV

Beinhaltete Daten:     Name, Adresse, Spendenhöhe

Stand: 26.03.2025

Sind automatische Antwort-E-Mails rechtswidrig?

Urteil des LG München vom 25.02.2025, Az. 33 O 3721/24

Das LG München I entschied, dass eine automatische Antwort-E-Mail, die auf alternative Kontaktwege verweist, eine Irreführung nach § 5a UWG darstellt.

Ein Anbieter von Internetdiensten hatte im Impressum eine E-Mail-Adresse angegeben, die jedoch nur automatische Antworten generierte und auf ein Kontaktformular verwies. Das Gericht stellte klar, dass eine solche Adresse eine unmittelbare Kommunikation ermöglichen muss (§ 5 DDG). Eine rein automatische Antwort ohne echte Erreichbarkeit verstößt gegen gesetzliche Anforderungen.

Das Urteil betont die Bedeutung funktionierender Kommunikationskanäle im Impressum, um Unternehmen schnell auf Rechtsverstöße und Probleme hinweisen zu können.

Stand: 26.03.2025

Zusammenfassung und Bewertung von Bewerbungen durch KI

Möglichkeiten und Grenzen beim Zusammenfassen und Bewerten von Bewerbungen durch KI

Gibt es Regeln beim datenschutzkonformen Schwärzen von Dokumenten und Bildern?

Schwärzen ist eine technische und organisatorische Maßnahme (TOM) nach Art. 25 DSGVO

Wird nicht datenschutzkonform geschwärzt, kann daraus eine Datenpanne nach Art. 33 DSGVO entstehen

• Vorab: Sicherungskopien anlegen

• Digital: Technisch korrektes Schwärzen von Textpassagen muss sichergestellt werden (nicht nur Balken über Text legen/ Farbe ändern – Verdecken ist nicht mit Anonymisierung gleichzusetzen --> Ursprungsformat könnte ggf. wiederhergestellt werden)

• Löschung von Metadaten und Dokumenteneigenschaften, die ggf. Rückschlüsse und Hinweise auf personenbezogene Daten geben könnten

• Sicherste Methode: Dokument digital Schwärzen --> Ausdrucken --> zum Versand wieder einscannen

• Wichtig: Abschließende Prüfung, bevor geschwärzte Dokumente verschickt werden

• Notwendige Schwärzungen auf Bildern und Screenshots sind alle personenbezogenen Daten, wie beispielsweise Gesichter, Nummernschilder, Kontodaten, Steuernummern, etc.

•   Arbeiten mit Unschärfeeffekten ist nur bedingt hilfreich, Original kann mithilfe von KI wieder rekonstruiert werden

Praktikable Lösung:

• Mit Grafiksoftware arbeiten --> Balken auf den zu schwärzenden Bereich legen und Pixel-Effekt anwenden

• Bilder nach Bearbeitung in anderen Dateiformat speichern, damit das Originalbild nicht mehr wiederhergestellt werden kann Löschung von Metadaten

Nützliche Links:

Datenschutzstelle Fürstentum Liechtenstein

Sächsischer Datenschutz- und Transparenzbeauftragte

Stand: 19.03.2025