Ist das Schutzniveau der DSGVO verzichtsfähig?
PSP Case Study zur DSGVO: Praxisfall 9

DSGVO: Praktischer Fall

Frau Maier (s. Fall 2) sendet der Huber AG eine (unverschlüsselte) E-Mail mit ihrer Bewerbung, welche neben einem Foto auch die Angabe enthält, dass Frau Maier zu 60 % schwerbehindert ist.

Alternativ: Der Mandant sendet dem Anwalt verschiedene Unterlagen zu einem anstehenden Klageverfahren per E-Mail, der Anwalt beantwortet dies mit einem Schriftsatzentwurf per E-Mail an den Mandanten. Gegebenenfalls hat der Mandant im Rahmen der Begründung des Mandatsverhältnisses eine Erklärung unterzeichnet, dass ihm die Gefahren unverschlüsselten E-Mail-Verkehrs bekannt sind, er aber trotz dieser Gefahren unverschlüsselt E-Mails mit seinem Anwalt austauschen möchte.

Möglicherweise wird die E-Mail zwischen den Servern automatisch transportverschlüsselt (wenn beide Server die sogenannte „TLS-Verschlüsselung“ nutzen), möglicherweise wird die E-Mail auch unverschlüsselt gesendet. Für den Bediener (absendende/empfangende Person) ist das nur dann erkennbar, wenn diese Form der Verschlüsselung in den Servern als „mandatory“ eingestellt wird. Denn nur in diesen Fällen wird die Übertragung vom sendenden Server abgelehnt, sodass der Absender eine „Fehlermeldung“ erhält. Eine Ende-zu-Ende-Verschlüsselung ist hingegen ohne vorherigen Austausch von Schlüsseln bzw. Zertifikaten über eine „gewöhnliche“ E-Mail-Adresse ohnehin technisch nicht möglich. Der Landesdatenschutzbeauftragte von Mecklenburg-Vorpommern führt in seinem Tätigkeitsbericht 2018 aus, die Ende-zu-Ende-Verschlüsselung sei der „Stand der Technik“ (im Sinne von Art. 32 DSGVO), fügt aber an, es sei „in der Praxis in absehbarer Zeit noch immer nicht durchgängig möglich [...], eine Ende-zu-Ende-Verschlüsslung durchzusetzen“, sodass auch eine Transportverschlüsselung (mit TLS 1.2, STARTTLS und DANE) „hinnehmbar“ sei. Als Alternative wird das Versenden von verschlüsselten PDF- und ZIP-Dateien als E-Mail-Anhänge mit entsprechend „starkem“ Passwort angeführt.

Der Landesdatenschutzbeauftragte Nordrhein-Westfalen führt auf seiner Internetseite unter dem Punkt „Technische Anforderungen an technische und organisatorische Maßnahmen beim E-Mail-Versand“ aus:

Die Kommunikation per E-Mail bedarf mindestens der Transport-Verschlüsselung, wie sie von den namhaften europäischen Providern standardmäßig angeboten wird. 

Die Transportverschlüsselung sollte entsprechend der Technischen Richtlinie „BSI TR-03108 Sicherer E-Mail-Transport“ implementiert sein. In Abhängigkeit vom Schutzbedarf der versendeten Daten und dem Risiko können Abweichungen von der Richtlinie statthaft sein.

Es ist zu berücksichtigen, dass bei einer Transportverschlüsselung die E-Mails auf den E-Mail-Servern im Klartext vorliegen und grundsätzlich einsehbar sind.  Bei besonders schützenswerten Daten (z. B. Kontobewegungsdaten, Finanzierungsdaten, Daten zum Gesundheitszustand, Mandantendaten von Rechtsanwälten und Steuerberatern, Beschäftigtendaten) ist eine alleinige Transportverschlüsselung möglicherweise nicht ausreichend. Zusätzliche technische und organisatorische Maßnahmen, wie z. B. eine Ende-zu-Ende-Verschlüsselung können geboten sein. Sollte dies nicht gewährleistet werden können, sind ggf. alternative Übertragungswege denkbar: Hierzu zählen der elektronische Austausch über eine gesicherte Verbindung (Web-Portal des Verantwortlichen mit Zugangsbeschränkungen) oder die klassische postalische Zusendung.

Der Betreff der E-Mail sollte keine personenbezogenen Daten enthalten.“

Die Huber AG könnte sich allerdings gleichwohl auf den Standpunkt stellen, es sei ja Sache von Frau Maier, ihre Bewerbung nicht per E-Mail zu verschicken. Sie habe damit auf den Schutz einer Verschlüsselung für ihre E-Mail verzichtet. Der Anwalt könnte sich auf den Standpunkt stellen, wenn der Mandant ihm schon unverschlüsselte E-Mails schickt, habe er doch freiwillig auf diesen Aspekt der Datensicherheit verzichtet. Dies gilt umso mehr, wenn der dies schriftlich erklärt.

Muss also die Huber AG eine besondere Plattform für Bewerber zur Verfügung stellen, sodass die Bewerber ihre Unterlagen über eine verschlüsselte Verbindung hochladen können? Es gibt Datenschutzaufsichtsbehörden, die in dieser Richtung der „notwendigen Optionen“ bei den Übermittlungswegen tendieren. Das würde dann auf ein Bewerberportal mit einem eigenem „Datenbereich“ für jeden Bewerber hinauslaufen, dann aber bitte mit entsprechenden Zugangsdaten: Die französische Datenschutzaufsichtsbehörde CNIL hat im Mai 2019 ein Bußgeld von EUR 400.000 für ein Unternehmen verhängt, innerhalb von dessen Webauftritt sämtliche Daten von Mietwohnungsbewerbern einfach unter X.com/Zahl.pdf abrufbar waren, d. h. man konnte „irgendeine“ Zahl eingeben und erhielt „irgendein Dokument“ von „irgendeinem Betroffenen“ zurück. Und muss der Anwalt dem Mandanten die Verwendung einer Ende-zu-Ende-Verschlüsselung von E-Mails aufoktroyieren und anderenfalls auf E-Mail-Kommunikation verzichten, auch wenn der Mandant darauf beharrt und weiter unverschlüsselte E-Mails schreibt? Oder darf der Anwalt darauf vertrauen, dass ein Mandant bei seinem Server die Verwendung einer TLS-Verschlüsselung vorgegeben hat, oder muss er das eigens prüfen? Muss der Anwalt einen elektronischen Datenraum mit gesichertem Zugriff für den Mandanten bereitstellen für den Fall, dass der Mandant E-Mail-Kommunikation nicht verschlüsseln kann oder will?

Kann der Betroffene auf Datensicherheit verzichten?

Soweit das in der Vergangenheit überhaupt thematisiert wurde, sind Aufsichtsbehörden der Ansicht, dass die DSGVO durchgängig zwingendes Recht ist. Auch und insbesondere die Schutzvorschriften der DSGVO in Sachen Datensicherheit (Art. 32 Abs. 1 lit. a DSGVO) stünden nicht zur Disposition der Parteien. In diesem Sinne entschied auch die österreichische Datenschutzbehörde im November 2018. Ein Betroffener könne nicht auf den Schutz verzichten, den die DSGVO ihm gewährt. Es ist offen, was das konkret für den Beispielsfall der Verschlüsselung bedeutet, d. h. welches Vorgehen hier später als „Stand der Technik“, als „hinsichtlich der Implementierungskosten zumutbar“, als „dem Risiko angemessen“ angesehen werden wird, das auch mit Zustimmung des Betroffenen nicht unterschritten werden durfte. Die DSGVO sagt dazu nichts.

Im Grundsatz könnte man sagen: Natürlich kann der Betroffene verzichten, denn er kann ja selbst eine unverschlüsselte E-Mail verschicken oder auch gleich die Information bei Facebook oder Twitter öffentlich zugänglich machen. Man würde ihm aber von vornherein keinen Vorwurf machen können, „seine“ Daten nicht gemäß den Anforderungen des Art. 32 DSGVO verschlüsselt zu haben – denn er ist der Betroffene, nicht der Verantwortliche. Er kann als Betroffener auch eine Information des Verantwortlichen, die nur seine personenbezogenen Daten enthält, öffentlich machen (soweit er keine sonstigen Gesetze verletzt), denn er hat die Verfügungsbefugnis über „seine“ personenbezogenen Daten. Für die Frage aber, ob der Betroffene den Verantwortlichen von dessen sicherheitsbezogenen Pflichten „entlasten“ kann, ergibt sich daraus eigentlich nichts, denn das hängt davon ab, ob diese Pflichten des Verantwortlichen nur zugunsten des Betroffenen bestehen oder die Einhaltung dieser Pflichten auch im Interesse der „Allgemeinheit“ liegt (im Sinne von „Gesetze sind einzuhalten“).

Standesrecht der Rechtsanwälte

Die berufsständischen Vertretungen (Bundessteuerberaterkammer etc.) sind der Meinung, dass ein – so müsste man es wohl zusammenfassen – „einigermaßen wohlinformierter“ Betroffener freiwillig auf den Schutz der Verschlüsselung verzichten könne. Die Rechtsanwaltszunft hat dazu ab 2020 Folgendes in ihr Standesrecht aufgenommen (§ 2 BORA):

„Zwischen Rechtsanwalt und Mandant ist die Nutzung eines elektronischen oder sonstigen Kommunikationsweges, der mit Risiken für die Vertraulichkeit dieser Kommunikation verbunden ist, jedenfalls dann erlaubt, wenn der Mandant ihr zustimmt. Von einer Zustimmung ist auszugehen, wenn der Mandant diesen Kommunikationsweg vorschlägt oder beginnt und ihn, nachdem der Rechtsanwalt zumindest pauschal und ohne technische Details auf die Risiken hingewiesen hat, fortsetzt.“

Dahinter steht die (schon wesentlich länger als der Datenschutz bestehende) Vorstellung, dass (alleine) der Mandant „Herr des Geheimnisses“ ist. Dies lässt sich allerdings mit einem „zwingenden Datenschutz“, der nicht zur Disposition der Parteien steht, nicht vereinbaren – schon gar nicht in Bezug auf Dritte, deren Daten erfahrungsgemäß in der Mehrzahl der Kommunikationen ebenfalls verarbeitet werden (man denke nur an das cc-Feld in E-Mails oder an Mailtexte, die inhaltlich Bezug zu dritten Personen aufweisen). Deshalb bestimmt das Standesrecht denn auch ergänzend: „Die Vorschriften zum Schutz personenbezogener Daten bleiben unberührt“. Und auch die Zustimmung des Bundesjustizministeriums zur neuen Regelung enthielt die Warnung, diese sei formal auf das anwaltliche Berufsrecht beschränkt. Einerseits ist damit erklärtermaßen gemeint, dass der Anwalt auch bei Zustimmung des Mandanten in eine bestimmte Kommunikationsform bei seiner Antwort die nach dem Datenschutzrecht erforderlichen Schutzmaßnahmen ergreifen muss. Damit sollen vor allem die Schutzstandards der IT-Sicherheit (Art. 32 DSGVO) gemeint sein, was im Bereich des E-Mail-Versands – neben allgemeiner Serversicherheit wie Virenschutz, Firewall, Betriebssystems-Updates etc. – eigentlich nur (mindestens) eine TLS-Verschlüsselung oder eine (Passwort-)Verschlüsselung von Anlagen meinen kann. Andererseits lässt auch das Bundesjustizministerium offen, ob unverschlüsselte E-Mails unter der DSGVO überhaupt zulässig sind. Der Europäische Gerichtshof wird derartige (standesrechtliche) Regelungen bei einem DSGVO-Streitfall vermutlich weitgehend ignorieren. Die entscheidende Frage in diesem Kontext ist ohnehin: Muss der Anwalt, der seinen E-Mail-Server so konfiguriert hat, dass standardmäßig TLS-Verschlüsselung eingesetzt wird, dafür sorgen, dass der Server nicht (automatisch) unverschlüsselt E-Mails austauscht, wenn die „Gegenstelle“ (also der E-Mail-Server des Kommunikationspartners) nicht ebenso konfiguriert ist? Dann würde bei Versendung einer E-Mail eine Fehlermeldung generiert und der Anwalt müsste dafür sorgen, dass der Kommunikationspartner entweder eine entsprechende Verschlüsselung „einschaltet“ oder es müsste ein anderer Übertragungsweg – etwa über einen verschlüsselten Anhang – gewählt werden. Herkömmlich ist es anders, wie man einem Computermagazin entnehmen kann:

„Die SMTP-Clients in gängigen Mailservern sind grundsätzlich bedingungslos auf Transport eingestellt. Sie führen „Opportunistische TLS“ durch. Bietet der Server STARTTLS an, versuchen sie verschlüsselten Transport herbeizuführen. Fehlt ESMTP im Banner des Servers, schalten sie auf herkömmliches SMTP zurück. Sie verzichten auf Transportverschlüsselung, weil es keine Gelegenheit (lat.: opportunitas) dazu gibt.“

Nach einer Google-Statistik erfolgt zwischen 90 und 95% des E-Mail-Verkehrs unter TLS-Verschlüsselung, wobei sich dies auf sämtliche – auch veraltete und damit anfällige – TLS-Versionen erstreckt. Der Prozentsatz der Fälle, in denen die oben zitierte Technische Richtlinie „BSI TR-03108 Sicherer E-Mail-Transport“ eingehalten wird, dürfte daher wesentlich darunter liegen. Und dass überhaupt bisher schon so viel E-Mail-Verkehr TLS-verschlüsselt wird, liegt mutmaßlich auch nicht an den DSGVO-Vorgaben, sondern daran, dass, wie ein US-Blog aufzählt, viele US-Compliance-Vorgaben – natürlich unabhängig von der DSGVO – (irgend)eine E-Mail-Verschlüsselung unbedingt erfordern:

„email encryption is a requirement for pretty much every compliance framework including HIPAA, HITECH, PCI DSS, Sarbanes-Oxley, GLBA, SB1386, SEC 17a-4, NASD3010, FRCP, FINRA, etc.“

Das bayerische Landesamt für Datenschutzaufsicht vertritt im Kontext von Patientendaten eine etwas andere Lösung als das übliche schwarz/weiß zur Einwilligungsfähigkeit. Einwilligungen zur Absenkung des Schutzniveaus sollen zwar möglich, aber nicht grenzenlos sein:

„In keinem Fall ist ein völliges Absenken des Schutzniveaus möglich: Es gibt einen Mindeststandard (derzeit opportunistische Transportverschlüsselung), der eingehalten werden muss. Zudem muss eine dem Risiko der Rechte und Freiheiten entsprechende sichere Alternative ohne Medienbruch angeboten werden. Dies kann z. B. ein ausreichend sicheres Onlineportal oder ein inhaltsverschlüsselter E-Mail-Verkehr sein.“

Ist das Risiko jedoch erhöht und die Anzahl der Kommunikationspartner begrenzt, so soll hiernach eine verpflichtende Transportverschlüsselung einzusetzen sein, soweit dies nicht im Einzelfall unverhältnismäßig ist. Gleichwohl fügt das bayerische Landesamt an:

„Eine Absenkung des Schutzniveaus sehen wir innerhalb sehr enger Grenzen nur dann als möglich an, wenn die betroffene Person damit einen Nutzen verbindet – „Komfort“ würden wir selbstverständlich auch dazu zählen. Allerdings muss dann die Zustimmung für diese Form der E-Mail-Kommunikation eingeholt, die Risiken transparent beschrieben und eine sichere Alternative ohne Medienbruch angeboten werden. Dies wäre beispielsweise dann der Fall, wenn ein Arzt oder eine Versicherung eine sichere Alternative mittels PGP oder einem Online-Portal bieten, ein Patient oder Kunde aber für sich entscheidet, nur mittels „normaler“ E-Mail (d. h. opportunistisch transportverschlüsselt) kommunizieren zu wollen. Eine Absenkung unter einer Transportverschlüsselung sehen wir nicht als möglich an, da die Risiken massiv zunehmen würden und eine transparente Zustimmung für die meisten Betroffenen in Anbetracht der Komplexität des weltweiten Internetverkehrs samt Bedrohungsszenarien kaum einzuholen wäre. Eine sichere Alternative zur E-Mail könnte auch der Einsatz eines datenschutzkonformen Messengers oder ein mit Blick auf Sicherheit entwickeltes Online-Portal mit Zwei-Faktor-Authentifizierung sein.“

Man kann also festhalten: Entweder Art. 32 DSGVO fordert eine Verschlüsselung für anwaltliche Kommunikation oder er fordert dies nicht. Nationale Gesetze oder Standesrecht werden daran nichts ändern können. Ob Art. 32 DSGVO für anwaltliche Kommunikation eine Verschlüsselung erfordert, kann nur der Europäische Gerichtshof verbindlich entscheiden. Der Europäische Gerichtshof beginnt datenschutzrechtliche Entscheidungen üblicherweise mit der sinngemäßen Feststellung, dass der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere aber der in der EU-Grundrechtecharta verankerten Grundrechte auf Privatsphäre und auf Datenschutz, ein hohes Schutzniveau erfordern. Was sich daran, bezogen auf den konkret zu entscheidenden Fall, anschließt, ahnt man gewöhnlich schon mit dem Lesen dieser ersten allgemeinen Feststellung. Dazu muss man weder besonders vorgebildet im Datenschutzrecht noch besonders beschlagen in puncto IT-Sicherheit sein.

Schadensersatzansprüche

In einer Fallkonstellation, über die das Amtsgerichts Bochum im März 2019 entschied, hatte ein betreuter, d. h. nicht mehr selbst geschäftsfähiger, Betroffener, eine Anwältin als Betreuerin zugeordnet bekommen. Diese sendete sowohl die sie legitimierende „Bestallungsurkunde“ als auch – nach dem Ende der Betreuung – den entsprechenden Nachweis über das Betreuungsende per unverschlüsselter E-Mail an den Vermieter des Betroffenen. Es ist nicht überliefert, ob die E-Mail TLS-verschlüsselt worden war oder nicht, also ob sie tatsächlich gänzlich „unverschlüsselt“ war. Der Betroffene verlangte Schadensersatz.

Das Amtsgericht Bochum stellte zunächst fest, dass es kein Problem mit der datenschutzrechtlichen Legitimationsgrundlage für die Übermittlungen gebe, sondern nur ein Problem der Datensicherheit. Da allerdings nicht aufgezeigt werden konnte, dass ein (unbefugter) Dritter tatsächlich auf die übermittelten Daten zugegriffen hatte, wurde ein Schadensersatzanspruch gegen die Anwältin (Art. 82 DSGVO) verneint. Dies ist deshalb bemerkenswert, weil sowohl der Sicherheitsmangel als solcher (Art. 32 DSGVO) als auch eine „Bereitstellung“ gegenüber (unbefugten) Dritten (siehe dazu Fall 41) einen Datenschutzverstoß darstellt. Aber, so das Amtsgericht Bochum, ohne (irgendeinen) Schaden kein Schadensersatz. Darin steckt die Erkenntnis, dass alleine die Tatsache, dass Daten Dritten zugänglich waren, aber kein Zugriff nachweisbar ist, auch keinen immateriellen Schaden zur Folge hat. Das „Offen-Zutage-Liegen“ von Daten würde demnach zwar ein Bußgeld auslösen können, wäre aber „schadensersatzfrei“. Man wird sehen, ob sich dies als Grundsatz durchsetzt.

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden