Die Datensicherheit muss unter anderem mit angemessenen technischen Massnahmen gewährleistet werden. Frei zugängliche IT-Infrastruktur auf der Gästetoilette verletzt diese datenschutzrechtliche Pflicht.
Diese Erkenntnis stammt – via Anwaltskollege Carlo Piltz – aus dem Tätigkeitsbericht 2021 der Datenschutz-Aufsichtsbehörde im deutschen Bundesland Niedersachsen:
«In einem sanktionierten Fall wurden Telekommunikations-Hardware, ein Server und die Backup- Technik in einer Gästetoilette untergebracht. Der Server-Schrank, der über kein intaktes Schloss verfügte, hatte eine relativ geringe Höhe und diente zugleich als Wickeltisch. Weder die leichte Zugänglichkeit noch das Risiko für die Verfügbarkeit (Feuchtigkeitsschäden) waren unter Gesichtspunkten der Art. 25, 32 DS-GVO akzeptabel.»
Und:
«Nachdem meine Behörde interveniert hatte, wurde zunächst das Schloss des Server-Schrankes ausgetauscht und zeitnah der Schrank mit einer Wand von der restlichen Toilette abgetrennt. Die Geldbuße wurde für den Zustand vor dem Umbau festgesetzt.»
Der Verantwortliche wurde von der Landesbeauftragte für den Datenschutz (LfD) Niedersachsen in unbekannter Höhe gebüsst.
Die Datensicherheit muss (selbstverständlich) auch gemäss dem schweizerischen Datenschutzrecht gewährleistet werden.
Art. 8 nDSG lautet unter anderem wie folgt:
«Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit.»
Und:
«Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden.»
Der Bundesrat bestimmt die Mindestanforderungen. Wer diese Mindestanforderungen nicht einhält, kann gemäss dem neuen Datenschutzgesetz persönlich mit Busse bis zu 250’000 Franken bestraft werden (Art. 61 lit. c nDSG).