Der Artikel 25 der EU-DSGVO regelt, das der Verantwortliche, also in einer Gemeinde der HBV, alle notwendigen Maßnahmen trifft, um den Datenschutz und die Datenminimierung bestmöglich einzuhalten.
So heisst es dort unter anderem:
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.
Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.“
Damit ist definiert, das der Datenverantwortliche alle notwendigen Maßnahmen treffen müssen, um die Daten vor der Zugänglichkeit Dritter zu schützen. Dazu müssen alle Rechner einem IT-Sicherheitskonzept unterliegen. Auf unbekannte private Geräte hat man keinen Zugriff und können auch keine geforderten sicherheitsrelevaten Voreinstellungen zum Schutze der Daten durch Dritter vornehmen bzw. die Einhaltung der IT Sicherheitskonzepte kontrollieren. Man kämm bei privaten Geräten somit nicht sicherstellen, das hier ein geeignetes Schutzniveau vorliegt und verstoßen damit gegen Artikel 25 der EU-DGSVO, der sie zwingt, alle notwendigen technisch und organisatorischen Maßnahmen (TOM) zu ergreifen, um die Daten zu schützen.
Der Datenverantwortliche muss nach Artikel 25 die „unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken“ bewerten und daraus resultierend Entscheidungen treffen, welche die Zulässigkeit des Datenverarbeitungsverfahren erlauben oder untersagen.
Die ist bei reinen privaten Geräten, die den Anforderungen des IT Sicherheitskonzeptes (Virenschutz, Updates, aktuelles Betriebssystem, Zugangsschutz) nicht gegeben. Sie können als Datenverantwortlicher nicht davon ausgehen, das hier kein Datenabfluss stattfindet, da beispielsweise auch private Geräte ohne eine notwendige datenschutzrechtliche Bereinigung bspw. veräußert werden könnten und somit auch personenbezogene Daten und Zugänge unberechtigt weitergegeben werden könnten. Beispiele sind somit nicht bereinigte Browser- oder Cachedateien.
Eine Vertraulichkeit in die sachgerechte Bearbeitung ist im Sinne der DSGVO nicht ausreichend, da diese nicht durch technisch-organisatorische Maßnahmen gestützt ist. Der Datenschutzbeauftragte muss in einer Gefahren-/Risikoanalyse die möglichen enstehenbaren Gefahren für die zu schützenden Maßnahmen bewerten und daraus technisch-organisatorische Maßnahmen treffen, bis hin zur Untersagung der Datenverarbeitung, wenn der Schutz der Daten in der Gefahren-/Risikoanalyse auf privaten Geräten nicht sicher gestellt ist.