Guidelines zur elektronischen Kommunikation für EU-Institutionen veröffentlicht

Das Büro des europäischen Datenschutzbeauftragten (EDPS) hat im Dezember 2015 zwei Leitfäden zur elektronischen Kommunikation veröffentlicht, die sich an Verantwortliche aus EU-Institutionen und -gremien richten. Die Leitfäden „eCommunications“ und „Mobile Devices“ sollen praktische Hilfestellungen bei der rechtskonformen Umsetzung von Datenschutzvorgaben auf institutioneller Ebene liefern. Die Leitfäden verfolgen das Ziel, verantwortliche Stellen bei der Einrichtung sicherer Kommunikationswege zum Schutz von personenbezogenen Daten zu unterstützen. Die beiden Dokumente richten sich offiziell an die Institutionen der EU, könnten jedoch auch für andere Unternehmen und Organisationen hilfreich sein, da sie inhaltlich Gemeinsamkeiten mit den existierenden EU-Richtlinien zum Schutz personenbezogener Daten aufweisen (1).

So enthält der Leitfaden „eCommunication“Empfehlungen, die als Checkliste dienen können, die Konformität einer (EU-) Institution mit der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments zum Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten durch EU-Organe und -Einrichtungen zu überprüfen.
Die Empfehlungen beziehen sich beispielsweise auf die ordnungsgemäße Festlegung von Inhalt, Verwendungszweck und Aufbewahrungsdauer von personenbezogenen Daten sowie deren Anonymität in daraus resultierenden Statistiken. Des Weiteren sollen personenbezogene Daten bei der Rechnungsstellung durch externe Dienstleister minimiert werden. Die Überwachung von elektronischer und telefonischer Kommunikation soll ‚progressiv‘ gehandhabt werden. Zudem wird der Zugang zu Email-Postfächern von Mitarbeitern sowie zu Daten aus elektronischer Kommunikation beschränkt. Angemessene Sicherheitsstandards zur Überwachung von Mitarbeitern müssen festgelegt werden (2). Weitere ähnliche und teilweise spezifischere, horizontale Empfehlungen betreffen sämtliche Operationen innerhalb der EU.

Der zweite Leitfaden „Mobile Devices“ behandelt personenbezogene Daten in der Kommunikation mit mobilen Geräten im beruflichen Kontext der EU-Institutionen und soll einen rechtskonformen Umgang mit diesen Daten sicherstellen, insbesondere hinsichtlich der Verordnung Nr. 45/2001.
Hier werden EU-Institutionen angehalten, die Vorteile und Risiken der Nutzung von mobilen Geräten situationsbedingt abzuwägen. Hierbei müssen die zusätzlichen Funktionen der Geräte mit einkalkuliert werden sowie deren Auswirkung auf die Sicherheit der IT-Infrastruktur der Organisation. Zunehmend setzen Mitarbeiter von Institutionen ihre eigenen mobilen Geräte für dienstliche Zwecke ein, was neben Vorteilen wie Kostenersparnis und mehr Flexibilität jedoch auch Risiken für betriebliche und private Daten birgt. Daher ist es wichtig, dass seitens der Institution Rechte und Pflichten beider Seiten definiert und ein Risikomanagement implementiert werden. Sowohl organisatorische als auch technische Maßnahmen sind hier notwendig. Auch sollen Abläufe zur Lebensdauer mobiler Geräte schriftlich festgelegt werden, unter genauer Beachtung des Prinzips der Datensparsamkeit (3). (eh)

Quellen:

1) https://secure.edps.europa.eu/EDPSWEB/edps/EDPS/Dataprotection/Legislation

2) https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Supervision/Guidelines/15-12-16_eCommunications_EN.pdf

3) https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Supervision/Guidelines/15-12-17_Mobile_devices_EN.pdf