Es ist längst kein Geheimnis mehr, dass Unternehmen wie auch die öffentliche Verwaltung gleichermaßen zunehmend einer sich immer weiter zuspitzenden Lage der IT-Sicherheit in Deutschland ausgesetzt gegenübersehen. Dieser Umstand wird nicht nur das Bundesamt für Sicherheit in der Informationstechnik (BSI) im jährlichen Lagebericht dargelegt, sondern ist neben den Fachinformationsquellen zuweilen auch aus den allgemeinen Medien zu entnehmen. Es vergeht nahezu kein Tag ohne Berichterstattung welche Phishing-Kampagnen, Ransomware-Angriffe oder Technologien im Bereich Deepfakes und zahlreiche andere Szenarien zum Gegenstand haben. Durch Cyberangriffe wie Ransomware können komplette Betriebsabläufe gefährdet werden, indem Daten und Systeme verschlüsselt werden können. Die IT- bzw. Cybersicherheitslage ist angespannt. Dieses Lagebild zeichnet sich gleichwohl nicht nur für den deutschen Raum ab. Weltweit sind Unternehmend und Behörden Zielscheiben von Cyberangriffen. Neben Lösegelderpressungen, Umsatzeinbußen, Ausfallkosten durch Beeinträchtigungen von Produktionssystemen, Patentrechtsverletzungen, Imageschäden sowie Kosten für Ermittlungen, Ersatzmaßnahmen und Rechtsstreitigkeiten sind ebenso datenschutzrechtliche Aspekte zu betrachten. Dies gilt sowohl in präventiver Hinsicht – z.B. Einhaltung der Grundsätze aus Art. 5 Abs. 1 lit. f), Art. 32 DS-GVO – als auch für den repressiven Bereich, wie der aktuelle Fall der Centric Health Ltd. anschaulich verdeutlicht. Was sich genau ereignet hat und an welcher Stelle das Datenschutzrecht ins Spiel kommt, soll der nachstehende Beitrag näher beleuchten.

Was ist passiert?

Gegen die Centric Health Ltd. wurde gemäß Art. 83 DS-GVO ein Bußgeld insgesamt in Höhe von EUR 460.000 aufgrund eines Ransomware-Angriffs verhängt. Die Centric Health Ltd. bietet hausärztliche und zahnärztliche Leistungen der primären Gesundheitsversorgung, fachärztliche und berufsbezogene Dienstleistungen für über 400.000 Patienten in ganz Irland. Der Hauptsitz des Unternehmens befindet sich in Dublin. Bei dem Vorfall – der sich bereits 2019 ereignete – waren Daten von ca. 70.000 Patienten betroffen. Bei Ransomware handelt es sich um eine – wenn nicht sogar die – operativ größte Bedrohung im Cybersicherheitsbereich. Ransomware sind Schadprogramme, die den Zugriff auf Daten und Systeme einschränken oder verhindern und eine Freigabe der betroffenen Ressourcen üblicherweise nur gegen Lösegeld erfolgt. Bei dem Einsatz von Ransomware wird das betroffene Opfer demnach bedroht, dass seine Daten gelöscht werden bzw. bereits gelöscht und vorher vorgeblich als Backup ins Netz kopiert oder verschlüsselt und so unzugänglich gemacht wurden. Was bei einem Ransomware-Angriff zu tun ist, haben wir bereits in der Vergangenheit näher beleuchtet.

Im Fall der Centric. Health Ltd. haben sich die Täter über eine Sicherheitslücke Zugriff auf die Computersysteme des Gesundheitsunternehmens verschafft. Dabei wurden personenbezogene Daten von Patienten zunächst verschlüsselt und in einem späteren Schritt durch die Hacker sogar Datensätze von ca. 2.500 Patienten gelöscht. Die Daten auf dem System wurden zwar regelmäßig durch Backups gesichert, und jeden Tag wurde ein Snapshot der Daten erstellt, aber auch diese Sicherungen waren durch den Angriff betroffen. Forensische Untersuchungen haben ergeben, dass anhand der verfügbaren Daten keine Beweise für eine Datenexfiltration festgestellt werden konnten. Unter den betroffenen Datenkategorien befanden sich insbesondere Namen, Geburtsdaten, Sozialversicherungsnummern sowie Kontaktinformationen der Patienten. Es gab in der Folge eine Lösegeldforderung, welcher durch die Centric. Health Ltd. auch nachgekommen wurde, wodurch die Entschlüsselung der Daten erreicht werden sollte.

Was wird der verantwortlichen Stelle vorgeworfen?

Zunächst ist festzuhalten, dass der Fall bereits deshalb besondere Aufmerksamkeit verdient, da es sich um die Verhängung eines Bußgeldes durch die Irische Datenschutzaufsichtsbehörde (An Coimisiún um Chosaint Sonraí) handelt. Der gegenständliche Fall spielt zur Überraschung abseits der großen Tech-Giganten, welche üblicherweise mit der irischen Datenschutzaufsichtsbehörde in Verbindung gebracht werden.

In der Begründung des Bescheides wird u.a. ausgeführt, dass der Verstoß von Centric in der Nichtumsetzung technischer und organisatorischer Maßnahmen, die dem Risiko angemessen sind, das sich aus der Verarbeitung personenbezogenen Daten der Patienten ergibt, liegt. Das Versäumnis die erforderlichen Schutzmaßnahmen nicht rechtzeitig und wirksam zu ergreifen, führte zu der die Möglichkeit, dass personenbezogene Daten von Patienten an Unbefugte weitergegeben wurden. Im Sinne des Art. 4 Nr. 12 DS-GVO liegt demnach eine Verletzung des Schutzes personenbezogener Daten durch eine unbefugte Offenlegung von bzw. einen unbefugten Zugang zu personenbezogenen Daten vor.

Die Untersuchung der Aufsichtsbehörde ergab, dass die Gesundheitseinrichtung keine angemessenen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten ergriffen hatte, was den Angriff noch erleichterte. Vorgeworfen wird der Centric Health Ltd. ein Verstoß gegen Art. 5 Abs. 1 lit. f) DS-GVO [„Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet…“], Art. 5 Abs. 2 DS-GVO sowie Art. 32 Abs. 2 DS-GVO [„Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind…“].

Den Angaben entsprechend verfügte Centric zwar über funktionierende Firewall-Systeme und Protokollierungen. Der forensische Bericht stellte allerdings fest, dass die Konfiguration der Netzwerk-Firewall von Centric zum Zeitpunkt des Vorfalls „vollständig offen war und sämtlichen eingehenden und ausgehenden Datenverkehr durchließ“. Weiterhin sei der Remote Desktop Protocol (RDP) Dienst auf dem Host Server „vollständig dem Internet ausgesetzt und lediglich mit einem Kennwort gesichert, dass ohne große Schwierigkeiten durch einen Brute-Force-Angriff geknackt werden konnte.“ Im forensischen Bericht wird ferner festgestellt, dass die Passwörter für die Administratorkonten „anscheinend einem üblichen organisatorischen Format folgten und nicht den üblichen Passwortsicherheitsstandards entsprachen“. Schließlich wird festgestellt, dass auf das Windows-Betriebssystem im gesamten Jahr 2018 keine Sicherheits- oder Funktionspatches angewendet wurden.

Welche Auswirkungen ergeben sich für die Praxis?

Der gezeigte Fall lässt insoweit aufhorchen, als dass durch die Begründung für die Bußgeldsanktionierung mehr als deutlich hervorgehoben wird, welche Bedeutung der technische Datenschutz einnimmt. Insbesondere Art. 5 Abs. 1 lit. f) i.V.m. Art. 32 DS-GVO verpflichten die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter, ein Sicherheitsniveau zu gewährleisten, das den mit der Verarbeitung personenbezogener Daten verbundenen Risiken angemessen ist.

Zu einem angemessenen Sicherheitsniveau gehören technische Maßnahmen, die in der Lage sind, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste zu gewährleisten. Zu den angemessenen technischen und organisatorischen Maßnahmen im Sinne des Art. 32 DS-GVO gehören – mit Blick auf den konkreten Fall – unter anderem, dass verfügbare Sicherheits-Patches zeitnah eingespielt werden. Weiterhin umfasst sind funktionierende Backups, wobei hierunter nicht nur die gebetsmühlenartige Belehrung zu zählen ist, dass überhaupt ein Backupsystem vorhanden ist. Vielmehr muss das für Sorge getragen werden, dass z.B. im Fall eines Cyberangriffs die Verfügbarkeit der Daten durch das erfolgreiche Einspielen des Backups gewährleistet werden kann. Ebenso stellt eine erfolgreiche Passwortsicherheit einen entscheidenden Schritt für ein angemessenes Sicherheitsniveau dar. Umso erschreckender erscheint es, dass unter den beliebtesten deutschen Passwörter 2022 zuweilen immer noch altbekannte Klassiker zu finden sind.

Fazit

Zusammenfassend lässt sich zunächst festhalten, dass der Fall für datenschutzrechtlich verantwortliche Stellen in jeglicher Hinsicht ein Augenöffner darstellen sollte, welchen Stellenwert die Datensicherheit bzw. die Sicherheit der Verarbeitung nach Art. 5 Abs. 1 lit. f) i.V.m. Art. 32 DS-GVO für die grundlegende Erfüllung der datenschutzrechtlichen Verpflichtungen einnimmt. „Mut zur Lücke“ ist in diesem Bereich selten ein guter Ratschlag, insbesondere auch im Hinblick auf die eingangs erwähnte sich zuspitzende Sicherheitslage.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

WAS ENTHÄLT DER VERMERK DES HMBBFDI?

Zunächst wird in einigen grundsätzlichen Erwägungen der Sinn und Zweck bzw. die Systematik von Art. 32 DS-GVO (in Verbindung mit Erwägungsgrund 83 DS-GVO) dargestellt. Hiernach haben grundsätzlich Verantwortliche bzw. Auftragsverarbeiter zu prüfen, welche Risiken sich aus den jeweiligen Datenverarbeitungen ergeben. Konkrete Maßnahmen sind in Anlehnung an anerkannte Sicherheitsmaßnahmenkataloge wie dem BSI-Grundschutz, der ISO 27001 oder dem Standard-Datenschutzmodell zu prüfen.

Anschließend wird die Frage aufgeworfen, ob betroffene Personen in ein niedrigeres Schutzniveau, als rechtlich geboten ist, einwilligen können:

Hierfür betrachtet die Aufsichtsbehörde zunächst die Frage, ob es sich bei Art. 32 DS-GVO um dispositives Recht handelt oder ob Gründe des Systemdatenschutzes entgegenstehen. Im Ergebnis kommt der HmbBfDI zu dem Ergebnis, dass es eine erhebliche Beschränkung der betroffenen Person bedeuten würde, wenn eine Verarbeitung ihrer personenbezogenen Daten, die sie ausdrücklich wünscht, mit Verweis auf den Systemdatenschutz nicht durchgeführt werden kann. Auf den ersten Blick scheinen die Ausführungen des HmbBfDI zu verwundern, ließen die Ausführungen in einem Schreiben der Aufsichtsbehörde vom 08.01.2018 die gegenläufige Rechtsauffassung vermuten. Zutreffend sei nach den Ausführungen im Vermerk aber zwischen den einzelnen Beteiligten zu differenzieren. So enthält der Art. 32 DS-GVO Pflichten für den Verantwortlichen oder Auftragsverarbeiter, die zwar einen Beurteilungsspielraum zulassen, im Kern allerdings zwingend sind und nicht zur Disposition des Verantwortlichen oder Auftragsverarbeiters stehen. Etwas anderes gilt in Bezug auf die betroffene Person, da die DS-GVO ausweislich des Art. 1 Abs. 2 DS-GVO „die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“ zu ihrem Regelungsgegenstand erklärt.  Dieses steht zur Disposition des Grundrechtsträgers, also der betroffenen Person. Die Einwilligung ist demnach in alle Formen der Verarbeitung personenbezogener Daten der betroffenen Person möglich, auch wenn diese möglicherweise von Außenstehenden als für die betroffene Person schädlich wahrgenommen werden. Die Vorgaben des Art. 32 DS-GVO stehen daher nach dem HmbBfDI zur Disposition der betroffenen Person. Für den Verantwortlichen oder Auftragsverarbeiter enthalten sie dagegen verbindliche Regeln.

Voraussetzung für die obenstehende Vorgehensweise ist jedoch zum einen, dass der Verantwortliche oder Auftragsverarbeiter seiner Pflicht zur Schaffung der nach Art. 32 DS-GVO erforderlichen Standards der Datensicherheit nachkommt. Dies begründet sich dadurch, dass eine freie Entscheidung über den Verzicht der Einhaltung der Vorgaben des Art. 32 DS-GVO durch die betroffene Person nur dann getroffen werden kann, wenn die erforderlichen technischen und organisatorischen Maßnahmen durch den Verantwortlichen oder Auftragsverarbeiter zumindest vorgehalten werden. Zum anderen muss die Einwilligung den Anforderungen des Art. 7 DS-GVO (analog) genügen. Diese Voraussetzungen ergeben sich aus den unterschiedlichen Regelungswirkungen, die Art. 32 DS-GVO gegenüber dem Verantwortlichen oder dem Auftragsverarbeiter und der betroffenen Person entfaltet.

WAS SAGEN ANDERE DATENSCHUTZ-AUFSICHTSBEHÖRDEN?

Der Sächsische Datenschutzbeauftragte führt in seinem Tätigkeitsbericht für den Berichtszeitraum 1. Januar 2019 bis 31. Dezember 2019 hinsichtlich der E-Mail-Nutzung durch Steuerberater u.a. wie folgt aus:

„Unter besonderer Berücksichtigung […] der Vorgaben zum Schutz personenbezogener Daten gemäß Artikel 25 und des Artikel 32 Absatz 1 Buchstabe a) DSGVO, wonach die dort ausdrücklich genannte Verschlüsselung eine adäquate Maßnahme zur Gewährleistung der Sicherheit der Verarbeitung darstellt […] kommt damit für Steuerberater grundsätzlich nur eine verschlüsselte E-Mail-Kommunikation in Betracht.“

Weiter heißt es:

„Etwas anderes gilt nur dann, wenn das Steuerbüro seine Mandanten auf die besondere Schutzbedürftigkeit der per E-Mail zu versendenden Daten sowie die speziellen Risiken eines unverschlüsselten E-Mail-Versands hingewiesen hat, diesbezüglich sichere Kommunikationswege (z. B. Verschlüsselung, Postversand) grundsätzlich alternativ anbietet, und sich der Mandant vor diesem Hintergrund bewusst für einen unverschlüsselten E-Mail-Versand entscheidet, d. h. hierfür seine Einwilligung (Artikel 7 DSGVO) erteilt, wobei die diesbezügliche Beweislast beim Steuerberater als dem Versender liegt. Darüber hinaus dürfen solche unverschlüsselt versandten E-Mails keine personenbezogenen Daten Dritter enthalten.“

Ebenfalls in diese Richtung äußert sich der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. Demnach ist ein Unterschreiten der Sicherheitsanforderungen bei der E-Mail-Kommunikation datenschutzrechtlich hinnehmbar, sofern eine freiwillige und informierte Einwilligung der betroffenen Person vorliegt. Als Maßstab für die Einwilligung ist auf Art. 7 DS-GVO abzustellen. Der Berufsgeheimnisträger muss gleichfalls jedoch eine verschlüsselte E-Mail-Kommunikation angeboten haben. Weiter muss der Berufsgeheimnisträger nachweisen, dass die betroffene Person in Kenntnis aller Risiken durch entsprechende Aufklärung sein Einverständnis erteilt hat, unverschlüsselt zu kommunizieren. Von einer informierten Einwilligung ist nicht auszugehen, wenn die betroffene Person, etwa ein Mandant, die unverschlüsselte E-Mail-Kommunikation beginnt. Dies gilt auch für den Fall, dass auf der Homepage des Berufsgeheimnisträgers ein „pauschaler“ Hinweis über die Unsicherheit der unverschlüsselten E-Mail-Kommunikation gegeben wird. Ausgeschlossen wird zudem die Erteilung der Einwilligung in den Fällen, in denen über personenbezogene Daten Dritter kommuniziert wird.

GIBT ES RECHTSPRECHUNG ZU DER THEMATIK?

Ursprünglich hatte sich das VG Berlin in einem Urteil vom 24.05.2011 (Az.: 1 K 133.10) dahingehend geäußert, dass es eine entsprechende Abdingbarkeit technische und organisatorische Maßnahmen anzunehmen sei. Andernfalls ergäbe sich eine Unvereinbarkeit mit dem Recht auf informationelle Selbstbestimmung. Das VG Mainz entschied im letzten Jahr in seinem Urteil vom 17.12.2020 (Az.: 1 K 778/19.MZ) zwar über die Art der Verschlüsselung, hat die Frage der Abdingbarkeit aber offengelassen.

FAZIT

Aus den bisherigen Äußerungen der einzelnen Aufsichtsbehörden geht hervor, dass diese nunmehr grundsätzlichen Möglichkeit des Betroffenen zur Erteilung einer Einwilligung in ein niedrigeres Schutzniveau annehmen, dies aber zugleich an entsprechende Voraussetzungen knüpfen. Unstreitig wird die Einwilligung den Anforderungen des Art. 7 (analog), Art. 4 Nr. 11 DS-GVO entsprechend müssen. Außerdem muss der Berufsgeheimnisträger ausreichend technische und organisatorische Maßnahmen vorhalten, m.a.W. eine verschlüsselte Kommunikation muss vor Erteilung der Einwilligung zumindest angeboten worden sein. Hier wird die Überlegung zu führen sein, dass sich das Angebot zur verschlüsselten Kommunikation nicht ausschließlich auf die E-Mail-Kommunikation beziehen muss. Unter Berufsgeheimnisträgern sind mittlerweile neben diversen E-Mail-Verschlüsselungslösungen ebenfalls Angebote zu Gateway-Lösungen oder Webportalen weit verbreitet. Es wird in der Praxis nicht ausreichend sein, dem Mandanten eine Einwilligung zur unverschlüsselten E-Mail-Kommunikation anzuringen, wenn tatsächlich schon keine Möglichkeit zur Einrichtung einer verschlüsselten Kommunikation besteht.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

BESTEHT EINE (DATENSCHUTZRECHTLICHE) VERSCHLÜSSELUNGSPFLICHT?

Art. 32 DS-GVO führt diesbezüglich aus, dass für die Datenverarbeitung Verantwortliche geeignete technische und organisatorische Maßnahmen zu ergreifen haben, um ein dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenes Schutzniveau zu gewährleisten. Nach Art. 5 Abs. 1 lit. f) DS-GVO müssen Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet.  Dies umfasst u.a. den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen.

WELCHE INTENSITÄT MUSS DIE VERSCHLÜSSELUNG AUFWEISEN?

Man unterscheidet bei der Verschlüsselung von E-Mails grundsätzlich zwei Wege: Die Transport- und die Inhaltsverschlüsselung.

– Transportverschlüsselung: Die E-Mail-Nachrichten werden durch einen verschlüsselten Tunnel geschickt. Jedoch liegen die E-Mails nicht nur bei Absender und Empfänger im Klartext vor, sondern auch auf dazwischenliegenden Knoten. Nachrichten können also mitgelesen werden.

– Inhaltsverschlüsselung: Hierbei wird der E-Mail-Inhalt verschlüsselt. Jedoch bleiben die sogenannten Metadaten (Absender, Betreff der Nachricht, Empfänger usw.) unverschlüsselt und damit lesbar.

Sowohl Ende-zu-Ende-Verschlüsselung als auch Transportverschlüsselung mindern für ihren jeweiligen Anwendungszweck Risiken für die Vertraulichkeit der übertragenen Nachrichten. Der Einsatz von Transportverschlüsselung bietet einen Basis-Schutz und stellt eine Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen dar. In Verarbeitungssituationen mit normalen Risiken wird dabei bereits durch die Transportverschlüsselung eine ausreichende Risikominderung erreicht.[1] TLS („Transport Layer Security“) ist das Standardprotokoll für die Transportverschlüsselung und wird von den namenhaften europäischen Providern standardmäßig angeboten.

Einen deutlich weitergehenden Schutz der Vertraulichkeit der Inhaltsdaten erreichen Sie durch eine Ende-zu-Ende-Verschlüsselung, wofür derzeit die Internet-Standards S/MIME (RFC 5751) und OpenPGP (RFC4880) i.d.R. in Verbindung mit PGP/MIME (RFC 3156) zur Verfügung stehen. Technologien wie S/MIME oder PGP fehlt es nach wie vor am fehlenden Vernetzungseffekt.

Eine Lösung in der Breite kann vermutlich die sog. qualifizierte Transportverschlüsselung darstellen. E-Mails werden nach der vollautomatischen Verifizierung des Empfänger-Servers über eine sichere TLS-Verschlüsselung übertragen. Hierbei wird zunächst die IP-Adresse eines Empfänger-Systems fälschungssicher abgerufen. Anschließend erfolgt eine TLS-Zertifikatsprüfung des Servers und schließlich wird eine verschlüsselte Übertragung nur dann vorgenommen, wenn die vom BSI erlaubten Algorithmen, Chiffren und Schlüssellängen verwendet werden. In vielen Fällen ist die qualifizierte Transportverschlüsselung durch eine Erweiterung des E-Mail-Systems durch ein sog. Add-on möglich.

Grundsätzlich sollten E-Mails mit personenbezogenen Daten, sofern diese nicht pseudonymisiert werden, mindestens mit einer „Transportverschlüsselung“ versendet werden. Es ist jedoch zu berücksichtigen, dass bei einer Transportverschlüsselung die E-Mails auf den E-Mail-Servern im Klartext vorliegen und grundsätzlich einsehbar sind. Bei besonders schützenswerten Daten (z.B. Kontobewegungsdaten, Finanzierungsdaten, Daten zum Gesundheitszustand, Mandantendaten von Rechtsanwälten und Steuerberatern, Beschäftigtendaten) ist eine alleinige Transportverschlüsselung möglicherweise nicht ausreichend. Bei besonders sensiblen Daten sollte daher eine Inhaltsverschlüsselung das Mittel der Wahl darstellen. Sollte dies nicht gewährleistet werden können, sind ggf. alternative Übertragungswege denkbar.[2]

Entsprechende Alternativen können serverseitige Verschlüsselungslösungen, sog. E-Mail-Gateways, darstellen. Bei einem Secure E-Mail-Gateway laufen im Gegensatz zur Ende-zu-Ende-Verschlüsselung sämtliche kryptografischen Vorgänge, etwa das Verschlüsseln und Signieren von Inhalten, über ein dediziertes E-Mail-Gateway. Das Gateway wird an zentraler Stelle des Unternehmensnetzwerks implementiert und wahlweise als Aufsatz für einen bereits vorhandenen E-Mail-Server oder als eigenständiger Server eingesetzt. Weitere Alternativen können der elektronische Austausch über eine gesicherte Verbindung (Web-Portal des Verantwortlichen mit Zugangsbeschränkungen) oder die klassische postalische Zusendung darstellen.

WORAUF MUSS NOCH GEACHTET WERDEN?

Weitere relevante Kriterien sind zum einen Schnittstellen zu weiterer Sicherheitssoftware (bspw. Virenscanner, Firewall) sowie die E-Mail-Archivierung. Um die E-Mails gesetzeskonform identifizieren zu können, sollte das Archivsystem auf die E-Mail-Inhalte im Klartext zugreifen können.

IST EIN VERZICHT AUF DIE E-MAIL-VERSCHLÜSSELUNG MÖGLICH?

Ein Unterschreiten der genannten Sicherheitsanforderungen ist datenschutzrechtlich hinnehmbar, sofern eine freiwillige und informierte Einwilligung der betroffenen Person in eine unverschlüsselte E-Mail-Kommunikation vorliegt. Dies bedeutet unter anderem, dass der Berufsgeheimnisträger eine Verschlüsselung der E-Mail-Kommunikation angeboten haben muss.

Maßstab für die Anforderungen an eine derartige Einwilligung ist Art. 7 DS-GVO. Der Berufsgeheimnisträger hat hiernach nachzuweisen, dass die betroffene Person in Kenntnis aller Risiken durch entsprechende Aufklärung sein Einverständnis erteilt hat, unverschlüsselt zu kommunizieren. Zu Bedenken ist, dass eine solche Einwilligung der betroffenen Person, mit der ein direkter E-Mail-Kontakt besteht, allein nicht ausreichend ist, sofern auch personenbezogene Daten eines Dritten kommuniziert werden.

Von einer informierten Einwilligung ist nicht auszugehen, wenn die betroffene Person, etwa ein Mandant, die unverschlüsselte E-Mail-Kommunikation beginnt. Die Einholung einer pauschalen Einwilligung im Rahmen des der Rechtsbeziehung zugrundeliegenden allgemeinen Vertragswerkes (z.B. Mandatsvereinbarung, Behandlungsvertrag) dürfte problematisch sein, wenn diese mit der entsprechenden Aufklärung zusammen nicht besonders hervorgehoben ist.

FAZIT

In der Konsequenz müssen Verantwortliche i.S.d Art. 4 Nr. 7 DS-GVO – also auch Berufsgeheimnisträger unabhängig von ihrer Organisationsform – daher E-Mail-Kommunikation, die personenbezogene Daten enthält, dem Stand der Technik entsprechend datensicher organisieren, um sich keines Verstoßes gegen die genannten Normen vorwerfen lassen zu müssen.

[1] Orientierungshilfe der Datenschutzkonferenz zu „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail vom 13. Mai 2020.

[2] So die Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen und der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz in entsprechenden Pressemitteilungen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.