Sie befinden sich hier:

Transportverschlüsselung gewährleistet grundsätzlich ein angemessenes Datenschutzniveau

Laut einer Entscheidung des Verwaltungsgerichts (VG) Mainz ist auch bei Berufsgeheimnisträgern grundsätzlich ein angemessenes Schutzniveau im Sinne des Art. 32 Abs. 1 DSGVO durch Nutzung einer (obligatorischen) Transportverschlüsselung anzunehmen, soweit nicht im Einzelfall besondere Anhaltspunkte für einen erhöhten Schutzbedarf bestehen.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz erteilte einem Rechtsanwalt eine Verwarnung nach Art. 58 Abs. 2 lit. b DSGVO, weil dieser personenbezogene Daten ohne ein dem Risiko angemessenes Schutzniveau verarbeitet habe. Zur Begründung führte der LfDI aus, dass ein Verstoß gegen Art. 5 Abs. 1 lit. f und Abs. 2 DSGVO vorliege. Der Versand per unverschlüsselter E-Mail biete keine ausreichende Sicherheit für Nachrichten, die sensible Informationen enthielten. Gerade als Berufsgeheimnisträger solle der Rechtsanwalt mit gutem Beispiel vorangehen und seine Mitarbeiter für die Einhaltung des Datenschutzes sensibilisieren und entsprechend anweisen. Wenn diese entgegen dessen Anweisungen eine von ihm nicht autorisierte Form des Versandes wählten, sei dem Rechtsanwalt dies zuzurechnen.

Gegen diese datenschutzrechtliche Verwarnung hatte der Rechtsanwalt Klage erhoben.

Das VG Mainz erklärte die Verwarnung durch den LfDI als materiell rechtswidrig. Die Tatbestandsvoraussetzungen des Art. 58 Abs. 2 lit. b DSGVO hätten nicht vorgelegen, da kein Datenschutzverstoß gegeben sei.

„Es liegt kein Verstoß gegen datenschutzrechtliche Vorschriften vor. Der Versand der gerügten E-Mail ohne Nutzung einer sog. Ende-zu-Ende-Verschlüsselung oder sonstiger über eine (obligatorische) Transportverschlüsselung hinausgehenden Sicherungsmaßnahmen stellt hier keinen Verstoß gegen Art. 5 Abs. 1 lit. f, Abs. 2 DS-GVO dar. Demnach müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Der Verantwortliche (Art. 4 Nr. 7 DSGVO) ist für die Einhaltung dieser Vorgaben verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Die Einhaltung dieser Vorgaben setzt insbesondere geeignete technische und organisatorische Maßnahmen zum Schutz vor unbefugter und unrechtmäßiger Verarbeitung und vor unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung voraus. Die technischen und organisatorischen Anforderungen an die Sicherheit der Verarbeitung ergeben sich im Wesentlichen aus Art. 32 Abs. 1 DSGVO. Demnach treffen der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; wobei die Verschlüsselung ausdrücklich in Art. 32 Abs. 1 Hs. 2 lit. a) DSGVO genannt wird. Gemäß Art. 32 Abs. 2 DSGVO sind bei der Beurteilung des angemessenen Schutzniveaus insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

Es ist hier davon auszugehen, dass die streitgegenständliche E-Mail mit einer (obligatorischen) Transportverschlüsselung (SSL/TLS) versendet worden ist. Eine solche Transportverschlüsselung war in diesem konkreten Fall ausreichend. Es hätten keine darüber hinausgehenden Sicherungsmaßnahmen ergriffen werden müssen (insbesondere keine Ende-zu-Ende-Verschlüsselung), um ein angemessenes Schutzniveau sicherzustellen.

Insgesamt ist davon auszugehen, dass die DSGVO im Normtext selbst ausdrücklich keine spezifischen Regelungen für Berufsgeheimnisträger enthält; vielmehr gelten grundsätzlich – vorbehaltlich nationaler Anpassungen nach Art. 90 DSGVO (siehe dazu § 29 Abs. 3 BDSG) – die allgemeinen Vorschriften. Demnach bestimmen zunächst die Art. 9 und 10 DSGVO, welche Datenkategorien generell besonderen Schutz genießen. Pauschal kann daher (datenschutzrechtlich) zunächst nicht allein deshalb von einer besonderen Schutzbedürftigkeit ausgegangen werden, weil eine mandatsbezogene Kommunikation erfolgt.

Die von dem Verantwortlichen ggf. zu ergreifenden technischen und organisatorischen Maßnahmen schließen unter anderem die Verschlüsselung personenbezogener Daten ein (vgl. Art. 32 Abs. 1 Hs. 2 lit. a DSGVO). Dabei enthält Art. 32 Abs. 2 DSGVO keinen ausdrücklich abschließenden Katalog an Kriterien („insbesondere“), die bei der Bestimmung des angemessenen Schutzniveaus eine Rolle spielen können. Insoweit verbietet sich regelmäßig eine bloß schematische Betrachtungsweise. Vielmehr ist eine objektive Bewertung im jeweiligen Einzelfall hinsichtlich der Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung durchzuführen (vgl. ErwGr. 76 DSGVO). Zwar sehen weder Art. 32 Abs. 1 DSGVO noch ErwGr. 76 DSGVO ausdrücklich ein Rangverhältnis der dort genannten Kriterien vor, allerdings kommt der „Art der Daten für potenziell eintretende Schadensereignisse eine besonders hohe Bedeutung“ zu.

Während die Transportverschlüsselung ohne weiteres als weit verbreiteter Standard anzusehen sein dürfte, trifft den Verantwortlichen bei der Implementierung einer Ende-zu-Ende-Verschlüsselung regelmäßig ein höherer Aufwand. Neben der Nutzung von derartigen E-Mail-Protokollen (z.B. S/MIME oder PGP), die allerdings auch auf Absender- und Empfängerseite entsprechende Software und Kenntnisse erfordern, kommen letztlich auch einseitige Implementierungsmaßnahmen, wie z.B. Übersendung einer passwortgeschützten Datei, in Betracht. Damit dürfte eine kostenschonende Implementierung zwar generell möglich und für den jeweiligen Verantwortlichen nicht von vornherein unzumutbar sein. Allerdings bedeutet dies nicht, dass dies zwingend zu einer entsprechenden Verpflichtung des Verantwortlichen führt. Schließlich können bei der Übersendung einer passwortgeschützten Datei unter Umständen (zivilrechtliche) Zugangsprobleme auftreten; auch fehlt es an einer ohne weiteres gegebenen Möglichkeit der Weiterleitung für den Empfänger.

Aus alledem folgt, dass bei Daten, die unter Art. 9 oder 10 DSGVO fallen, in jedem Fall besondere Schutzmaßnahmen zu ergreifen sind, da insoweit schon aufgrund der allgemeinen datenschutzrechtlichen Wertung stets von einem hohen Risiko ausgegangen werden muss. Gleiches dürfte für Fälle gelten, wenn etwa ein „Interesse krimineller und ressourcenreicher Dritter“ absehbar ist. Auch wenn die DSGVO Berufsgeheimnisträger nicht ausdrücklich im Normtext adressiert, kann diese Eigenschaft in der Gesamtabwägung bezüglich des „angemessenen Schutzniveaus“ eine Rolle spielen (vgl. ErwGr. 75 Satz 1 DSGVO: „Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten“), aber muss für sich genommen noch nicht allein ausschlaggebend sein, um einen höheren Schutzbedarf zu begründen. Daher erscheint es allenfalls sachgerecht, bei nicht von Art. 9 und 10 DSGVO erfassten Daten im Rahmen einer mandatsbezogenen Kommunikation von Rechtsanwälten als Berufsgeheimnisträger in Zweifelsfällen eine widerlegliche Vermutung für einen besonderen Schutzbedarf der übermittelten Informationen zu sehen. Ein solcher Zweifelsfall liegt hier indes nicht vor.

Generell wird aber die Verwendung einer Transportverschlüsselung datenschutzrechtlich – auch bei Berufsgeheimnisträgern – ausreichend sein, sofern keine Anhaltspunkte für besonders sensible Daten bestehen oder sonstige Umstände hinzutreten. Vielmehr ist die Kommunikation mittels (obligatorisch) transportverschlüsselter E-Mails auch im geschäftlichen Verkehr durchaus als sozialadäquat und wohl derzeit noch als (Mindest-)Stand der Technik einzustufen. Ebenso gehört die etwaige (unbefugte) Kenntnisnahme Dritter von Inhalten der elektronischen Kommunikation – wie auch bei anderen (analogen) Kommunikationsformen – zum allgemeinen Lebensrisiko. Besondere Anhaltspunkte, die einen erhöhten Schutzbedarf begründen und das bei einer hier vorliegenden Form der Transportverschlüsselung bestehende Restrisiko als nicht (mehr) angemessen erscheinen lassen, lagen hier nicht vor. Es handelte sich zunächst weder um Daten, die von Art. 9 und 10 DSGVO erfasst waren, noch kamen diese den dort genannten Datenkategorien auch nur nahe. Dabei dürfte auch anzunehmen sein, dass die vorgenannten Vorschriften tendenziell eng oder zumindest nicht schematisch auszulegen sind. Schließlich war hier zudem keine „Bewertung“ des Verhaltens oder der Leistungsfähigkeit des betroffenen Beschwerdeführers oder sonstiger Personen (vgl. ErwGr. 75 Satz 3 DSGVO) Gegenstand der E-Mail. Spezielle Indizien für einen naheliegenden Verlust der Vertraulichkeit lagen nicht vor („Eintrittswahrscheinlichkeit“); die sonstigen Umstände, Zwecke und der Umfang der Datenverarbeitung bieten ebenfalls keine Anhaltspunkte für einen in diesem Einzelfall wesentlich erhöhten Schutzbedarf. Allein die Tatsache, dass der Kläger und die Betroffenen (untereinander) in eine (jedenfalls außergerichtliche) rechtliche Auseinandersetzung verwickelt waren, reicht nicht aus.

Hier ist demnach nicht davon auszugehen gewesen, dass es sich – mangels gegenteiliger Anhaltspunkte – jedenfalls um derart schutzbedürftige Datenverarbeitungsvorgänge handelt, bei denen für die tatsächlich erfolgte Art der Versendung im Einzelfall kein angemessenes Schutzniveau gewährleistet war.“

Fundstelle: Urteil des VG Mainz vom 17.12.2020, Aktenzeichen: 1 K 778/19.MZ – abrufbar im Internet beispielsweise unter http://landesrecht.rlp.de/jportal/portal/t/116a/page/bsrlpprod.psml?pid=Dokumentanzeige&showdoccase=1&js_peid=Trefferliste&documentnumber=3&numberofresults=1286&fromdoctodoc=yes&doc.id=MWRE210000638&doc.part=L&doc.price=0.0&doc.hl=1

nach oben