Der österreichischen Datenschutzbehörde zufolge können Betroffene zwar in eine Datenverarbeitung einwilligen (ob), nicht jedoch über die Art und Weise der Verarbeitung (wie) entscheiden. Die Sicherheit der Verarbeitung nach Art. 32 DSGVO könne nicht durch die Einwilligung des Betroffenen beschränkt oder gar abbedungen werden. Kurz gefasst: Auch eine Einwilligung in unverschlüsselte E-Mail wäre damit nicht möglich. Zurück zur Post?
Österreichische Datenschutzbehörde, Beschluss vom 18.11.2018, DSB-D213.692/0001-DSB/2018 (Quelle: RIS)
E-Mail in Unternehmen
Unternehmen haben nach Art. 32 DSGVO als Verarbeiter von Daten geeignete technische und organisatorische Maßnahmen zu treffen. Sie müssen ein dem Risiko angemessenes Schutzniveau gewährleisten. In diesem Zusammenhang rückt vielfach die E-Mail als wenig schutzwürdiges Kommunikationsmittel ins Rampenlicht. Die Übertragung erfolgt ohne weitere Maßnahmen unverschlüsselt und damit technisch für jeden lesbar.
Nun gibt es Vertreter, die dem zu beachtenden Stand der Technik die Verschlüsselung von E-Mails attestieren. Technisch will ich das nicht kommentieren; tatsächlich fehlt es den Verschlüsselungstechniken – von S/MIME über SSL/TLS bis PGP – schlicht an Akzeptanz. Auch PDF oder ZIP verschlüsselte Dokumente erweisen sich spätestens bei mehreren Bearbeitern als kaum praktikabel. Die Verschlüsselungsmethoden sind nicht vorhanden oder führen zu Problemen bei mehreren Empfängern. Kaum dass sich jemand das Passwort merkt. Die meisten Empfänger – so auch unsere Erfahrung – wünschen daher explizit die unverschlüsselte Übermittlung.
So rufen selbst bayerische Behörden noch Rechtsanwälte zur unverschlüsselten Nutzung von E-Mails auf, obgleich ihnen jedenfalls das Besondere elektronische Behörden- und das – wenn auch umstrittene – Anwaltspostfach (beBPo und beA) sowie Cloud-Lösungen zur Verfügung stünden.
Doch wie weist man dem Empfänger dessen frivolen und nahezu selbstzerstörerischen Umgang mit personenbezogenen Daten nach? So gingen zahlreiche Unternehmen dazu über, von den Betroffenen eine Einwilligung in den unverschlüsselten Versand einzuholen – mitunter eben auch in Österreich. Ist damit Schluss? Ist diese Einwilligung jetzt unzulässig?
Der Fall: E-Mail in der Klinik
Die Österreichische Datenschutzbehörde war – dem Beschluss zufolge – im amtswegigen Prüfverfahren gegen die Allergie-Tagesklinik D. GmbH (Verantwortliche) wegen Verletzungen von Pflichten nach der DSGVO vorgegangen. Neben dem Fehlen eines Datenschutzbeauftragten, der unterlassenen Datenschutz-Folgeabschätzung beanstandete sie auch die Bindung einer abverlangten Einwilligung in eine unverschlüsselte Übermittlung als unzulässig.
Der Beschluss ist aus mehreren Gründen äußerst lesenswert für alle, die sich für den Datenschutz im Gesundheitswesen interessieren. Vorliegend von Interesse ist jedoch die Rechtsauffassung der Behörde über die Einwilligung in Maßnahmen der Datensicherheit.
Auffassung der Datenschutzbehörde
„Die Frage, ob eine Übermittlung in verschlüsselter oder unverschlüsselter Form erfolgt, ist nämlich eine der Datensicherheitsmaßnahmen nach Art. 32 DSGVO und somit alleine von der Verantwortlichen zu beurteilen. Eine Einwilligung im Sinne des Art. 6 Abs. 1 lit. a bzw. Art. 9 Abs. 2 lit. a DSGVO ist schon deshalb nicht statthaft, weil die Einwilligung hier nicht dazu dient, um eine Rechtsgrundlage für die Datenverarbeitung zu schaffen, sondern um von – gegebenenfalls erforderlichen – Datensicherheitsmaßnahmen zum Nachteil von Betroffenen abweichen zu können.“
Art. 6 Abs. 1 lit. a bzw. Art. 9 Abs. 2 lit. a DSGVO (Einwilligung) treffe ausschließlich eine Regelung über das „Ob“ der Datenverarbeitung, nicht über das „Wie„. Betroffene könnten nicht über Art. 32 DSGVO disponieren.
Meinungsstreit und Kritik
Richtig ist, dass Art. 6 DSGVO keine Rechtsgrundlage für die hier erforderliche Einwilligung sein kann. Art. 6 DSGVO setzt Bedingungen für die Rechtmäßigkeit der Verarbeitung; eine solche kann die Einwilligung nach Art. 6 Abs. 1 Satz 1 lit. 1 DSGVO sein. Sie beinhaltet allerdings nicht den Verzicht auf technische Maßnahmen der Datensicherheit.
Daher stellt sich die weitere Frage, ob eine verschlüsselte E-Mail überhaupt erforderlich ist und wenn, ob Betroffene aufgrund einer anderen Rechtsgrundlage auf den Schutz durch eine unverschlüsselte E-Mail verzichten können. Die österreichische Datenschutzbehörde verneint dies.
Der Streit ist nicht neu. Schon unter Geltung des Bundesdatenschutzgesetzes alter Fassung war umstritten, ob eine Einwilligung in fehlende Datensicherheit möglich sei. Jedenfalls das Recht auf die allgemeine Handlungsfreiheit und auch das Recht auf informationelle Selbstbestimmung gebiete es, den Betroffenen dieses Wahlrecht zu gestatten. Dabei sind allerdings – neben dem Empfänger – auch personenbezogene Daten Dritter, die in der E-Mail verarbeitet werden, zu berücksichtigen. Denn Absender und Empfänger können dessen Einwilligung nicht ersetzen.
Stellt sich die weitere Frage, ob E-Mails überhaupt zu verschlüsseln sind. Aus der DSGVO lässt sich zunächst jedoch keine unmittelbare Pflicht zur Verschlüsselung herleiten. Diese zählt zwar zu den technischen und organisatorischen Maßnahmen. Eine Verschlüsselungspflicht gebietet Art. 32 DSGVO nicht; Art. 32 Abs. 1 DSGVO lautet:
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: (…)“
Die weitere Entwicklung ist jedenfalls zu beobachten. Es empfiehlt sich, erforderliche Prozesse zu schaffen, wie mit der Übermittlung personenbezogener Daten und dem Thema E-Mail-Verschlüsselung praktisch umzugehen ist.
Persönliche Meinung
Persönlich bin ich der Auffassung, dass der Streit an falscher Stelle ausgetragen wird. Die Unternehmen haben es mangels leicht handhabbarer Lösungen und Standards äußerst schwer, die Forderung nach einer verschlüsselten Übermittlung adäquat umzusetzen. Die Empfehlungen der Verbände divergieren. Es bestehen zu viele untereinander inkompatible Insellösungen, proprietäre Lösungen einzelner Anbieter, die von der breiten Masse auch nicht akzeptiert sind. Wie schwer eine sichere und von allen akzeptierte Lösung zu realisieren ist, hat mitunter die Bundesrechtsanwaltskammer bei der Umsetzung des besonderen persönlichen Anwaltspostfachs vorgeführt. Erforderlich sind daher branchenübergreifende, international anerkannte und für alle leicht implementierbare Standards. Sie sollten auf Standardanwendungen aufsetzbar und selbst für gewöhnliche Anwender ohne technischen Sachverstand nutzbar sein. Denn der normale Kunde/Mandant/Patient ist eben kein/e versierte/r Informatiker/in.
Mit dieser Meinung stehe ich nicht alleine da.
Alternativen zu E-Mail
Als Alternativen zu E-Mail bieten sich mittlerweile zahlreiche verschiedene Lösungen an. Manche genießen gegenüber E-Mail klare Vorteile auch bei den täglichen Arbeitsabläufen. Unternehmer sollten daher ihre Kommunikation mittels E-Mail überdenken. Wir haben hier zusammen mit einigen unserer Mandanten bereits passable Lösungen gefunden. Letztlich ist jedoch stets auf den jeweiligen Verwendungszweck und die individuellen Anforderungen und internen Arbeitsabläufe des Unternehmens abzustellen; Mitarbeiter und Kunden sind einzubeziehen.