DIE EINWILLIGUNG BEI DER E-MAIL-VERSCHLÜSSELUNG

Im Rahmen unseres Beitrages zur E-Mail-Verschlüsselung bei Berufsgeheimnisträgern haben wir bereits über die grundsätzlichen datenschutzrechtlichen Anforderungen bei der E-Mail-Kommunikation berichtet. Unvermeidbar wird bei dieser Thematik früher oder später die Frage aufgeworfen, ob ein Verzicht auf die E-Mail-Verschlüsselung möglich sei. Datenschutzrechtlich stellt sich hierbei die Frage, ob ein Betroffener in ein niedrigeres Schutzniveau, als rechtlich geboten einwilligen kann, m.a.W. steht die Abdingbarkeit des Art. 32 DS-GVO durch Erteilung einer Einwilligung des Betroffenen im Raum. Diesbezüglich hat sich jüngst der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) in einem Aktenvermerk geäußert.


WAS ENTHÄLT DER VERMERK DES HMBBFDI?

Zunächst wird in einigen grundsätzlichen Erwägungen der Sinn und Zweck bzw. die Systematik von Art. 32 DS-GVO (in Verbindung mit Erwägungsgrund 83 DS-GVO) dargestellt. Hiernach haben grundsätzlich Verantwortliche bzw. Auftragsverarbeiter zu prüfen, welche Risiken sich aus den jeweiligen Datenverarbeitungen ergeben. Konkrete Maßnahmen sind in Anlehnung an anerkannte Sicherheitsmaßnahmenkataloge wie dem BSI-Grundschutz, der ISO 27001 oder dem Standard-Datenschutzmodell zu prüfen.

Anschließend wird die Frage aufgeworfen, ob betroffene Personen in ein niedrigeres Schutzniveau, als rechtlich geboten ist, einwilligen können:

Hierfür betrachtet die Aufsichtsbehörde zunächst die Frage, ob es sich bei Art. 32 DS-GVO um dispositives Recht handelt oder ob Gründe des Systemdatenschutzes entgegenstehen. Im Ergebnis kommt der HmbBfDI zu dem Ergebnis, dass es eine erhebliche Beschränkung der betroffenen Person bedeuten würde, wenn eine Verarbeitung ihrer personenbezogenen Daten, die sie ausdrücklich wünscht, mit Verweis auf den Systemdatenschutz nicht durchgeführt werden kann. Auf den ersten Blick scheinen die Ausführungen des HmbBfDI zu verwundern, ließen die Ausführungen in einem Schreiben der Aufsichtsbehörde vom 08.01.2018 die gegenläufige Rechtsauffassung vermuten. Zutreffend sei nach den Ausführungen im Vermerk aber zwischen den einzelnen Beteiligten zu differenzieren. So enthält der Art. 32 DS-GVO Pflichten für den Verantwortlichen oder Auftragsverarbeiter, die zwar einen Beurteilungsspielraum zulassen, im Kern allerdings zwingend sind und nicht zur Disposition des Verantwortlichen oder Auftragsverarbeiters stehen. Etwas anderes gilt in Bezug auf die betroffene Person, da die DS-GVO ausweislich des Art. 1 Abs. 2 DS-GVO „die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“ zu ihrem Regelungsgegenstand erklärt.  Dieses steht zur Disposition des Grundrechtsträgers, also der betroffenen Person. Die Einwilligung ist demnach in alle Formen der Verarbeitung personenbezogener Daten der betroffenen Person möglich, auch wenn diese möglicherweise von Außenstehenden als für die betroffene Person schädlich wahrgenommen werden. Die Vorgaben des Art. 32 DS-GVO stehen daher nach dem HmbBfDI zur Disposition der betroffenen Person. Für den Verantwortlichen oder Auftragsverarbeiter enthalten sie dagegen verbindliche Regeln.

Voraussetzung für die obenstehende Vorgehensweise ist jedoch zum einen, dass der Verantwortliche oder Auftragsverarbeiter seiner Pflicht zur Schaffung der nach Art. 32 DS-GVO erforderlichen Standards der Datensicherheit nachkommt. Dies begründet sich dadurch, dass eine freie Entscheidung über den Verzicht der Einhaltung der Vorgaben des Art. 32 DS-GVO durch die betroffene Person nur dann getroffen werden kann, wenn die erforderlichen technischen und organisatorischen Maßnahmen durch den Verantwortlichen oder Auftragsverarbeiter zumindest vorgehalten werden. Zum anderen muss die Einwilligung den Anforderungen des Art. 7 DS-GVO (analog) genügen. Diese Voraussetzungen ergeben sich aus den unterschiedlichen Regelungswirkungen, die Art. 32 DS-GVO gegenüber dem Verantwortlichen oder dem Auftragsverarbeiter und der betroffenen Person entfaltet.


WAS SAGEN ANDERE DATENSCHUTZ-AUFSICHTSBEHÖRDEN?

Der Sächsische Datenschutzbeauftragte führt in seinem Tätigkeitsbericht für den Berichtszeitraum 1. Januar 2019 bis 31. Dezember 2019 hinsichtlich der E-Mail-Nutzung durch Steuerberater u.a. wie folgt aus:

„Unter besonderer Berücksichtigung […] der Vorgaben zum Schutz personenbezogener Daten gemäß Artikel 25 und des Artikel 32 Absatz 1 Buchstabe a) DSGVO, wonach die dort ausdrücklich genannte Verschlüsselung eine adäquate Maßnahme zur Gewährleistung der Sicherheit der Verarbeitung darstellt […] kommt damit für Steuerberater grundsätzlich nur eine verschlüsselte E-Mail-Kommunikation in Betracht.“

Weiter heißt es:

„Etwas anderes gilt nur dann, wenn das Steuerbüro seine Mandanten auf die besondere Schutzbedürftigkeit der per E-Mail zu versendenden Daten sowie die speziellen Risiken eines unverschlüsselten E-Mail-Versands hingewiesen hat, diesbezüglich sichere Kommunikationswege (z. B. Verschlüsselung, Postversand) grundsätzlich alternativ anbietet, und sich der Mandant vor diesem Hintergrund bewusst für einen unverschlüsselten E-Mail-Versand entscheidet, d. h. hierfür seine Einwilligung (Artikel 7 DSGVO) erteilt, wobei die diesbezügliche Beweislast beim Steuerberater als dem Versender liegt. Darüber hinaus dürfen solche unverschlüsselt versandten E-Mails keine personenbezogenen Daten Dritter enthalten.“

Ebenfalls in diese Richtung äußert sich der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. Demnach ist ein Unterschreiten der Sicherheitsanforderungen bei der E-Mail-Kommunikation datenschutzrechtlich hinnehmbar, sofern eine freiwillige und informierte Einwilligung der betroffenen Person vorliegt. Als Maßstab für die Einwilligung ist auf Art. 7 DS-GVO abzustellen. Der Berufsgeheimnisträger muss gleichfalls jedoch eine verschlüsselte E-Mail-Kommunikation angeboten haben. Weiter muss der Berufsgeheimnisträger nachweisen, dass die betroffene Person in Kenntnis aller Risiken durch entsprechende Aufklärung sein Einverständnis erteilt hat, unverschlüsselt zu kommunizieren. Von einer informierten Einwilligung ist nicht auszugehen, wenn die betroffene Person, etwa ein Mandant, die unverschlüsselte E-Mail-Kommunikation beginnt. Dies gilt auch für den Fall, dass auf der Homepage des Berufsgeheimnisträgers ein „pauschaler“ Hinweis über die Unsicherheit der unverschlüsselten E-Mail-Kommunikation gegeben wird. Ausgeschlossen wird zudem die Erteilung der Einwilligung in den Fällen, in denen über personenbezogene Daten Dritter kommuniziert wird.


GIBT ES RECHTSPRECHUNG ZU DER THEMATIK?

Ursprünglich hatte sich das VG Berlin in einem Urteil vom 24.05.2011 (Az.: 1 K 133.10) dahingehend geäußert, dass es eine entsprechende Abdingbarkeit technische und organisatorische Maßnahmen anzunehmen sei. Andernfalls ergäbe sich eine Unvereinbarkeit mit dem Recht auf informationelle Selbstbestimmung. Das VG Mainz entschied im letzten Jahr in seinem Urteil vom 17.12.2020 (Az.: 1 K 778/19.MZ) zwar über die Art der Verschlüsselung, hat die Frage der Abdingbarkeit aber offengelassen.


FAZIT

Aus den bisherigen Äußerungen der einzelnen Aufsichtsbehörden geht hervor, dass diese nunmehr grundsätzlichen Möglichkeit des Betroffenen zur Erteilung einer Einwilligung in ein niedrigeres Schutzniveau annehmen, dies aber zugleich an entsprechende Voraussetzungen knüpfen. Unstreitig wird die Einwilligung den Anforderungen des Art. 7 (analog), Art. 4 Nr. 11 DS-GVO entsprechend müssen. Außerdem muss der Berufsgeheimnisträger ausreichend technische und organisatorische Maßnahmen vorhalten, m.a.W. eine verschlüsselte Kommunikation muss vor Erteilung der Einwilligung zumindest angeboten worden sein. Hier wird die Überlegung zu führen sein, dass sich das Angebot zur verschlüsselten Kommunikation nicht ausschließlich auf die E-Mail-Kommunikation beziehen muss. Unter Berufsgeheimnisträgern sind mittlerweile neben diversen E-Mail-Verschlüsselungslösungen ebenfalls Angebote zu Gateway-Lösungen oder Webportalen weit verbreitet. Es wird in der Praxis nicht ausreichend sein, dem Mandanten eine Einwilligung zur unverschlüsselten E-Mail-Kommunikation anzuringen, wenn tatsächlich schon keine Möglichkeit zur Einrichtung einer verschlüsselten Kommunikation besteht.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Art. 32 DS-GVO
  • Berufsgeheimnisträger
  • E-Mail-Verschlüsselung
  • Einwilligung
  • Sicherheit der Verarbeitung
Lesen

E-MAIL-VERSCHLÜSSELUNG BEI BERUFSGEHEIMNISTRÄGERN

Die Kommunikation von Berufsgeheimnisträgern erfolgt heute zu einem großen Teil per E-Mail. E-Mails enthalten zusätzlich zu den Inhaltsdaten (d.h. dem Text der Mail und etwaigen Anhängen) auch Metadaten wie Absender und Empfänger, das Datum und den Betreff. Regelmäßig handelt es sich bei diesen Informationen um personenbezogene Daten gemäß Art. 4 Nr. 1 Datenschutz-Grundverordnung (DS-GVO). Der folgende Beitrag stellt eine datenschutzrechtliche Beurteilung der aktuellen Rechtslage dar.


BESTEHT EINE (DATENSCHUTZRECHTLICHE) VERSCHLÜSSELUNGSPFLICHT?

Art. 32 DS-GVO führt diesbezüglich aus, dass für die Datenverarbeitung Verantwortliche geeignete technische und organisatorische Maßnahmen zu ergreifen haben, um ein dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenes Schutzniveau zu gewährleisten. Nach Art. 5 Abs. 1 lit. f) DS-GVO müssen Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet.  Dies umfasst u.a. den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen.


WELCHE INTENSITÄT MUSS DIE VERSCHLÜSSELUNG AUFWEISEN?

Man unterscheidet bei der Verschlüsselung von E-Mails grundsätzlich zwei Wege: Die Transport- und die Inhaltsverschlüsselung.

– Transportverschlüsselung: Die E-Mail-Nachrichten werden durch einen verschlüsselten Tunnel geschickt. Jedoch liegen die E-Mails nicht nur bei Absender und Empfänger im Klartext vor, sondern auch auf dazwischenliegenden Knoten. Nachrichten können also mitgelesen werden.

– Inhaltsverschlüsselung: Hierbei wird der E-Mail-Inhalt verschlüsselt. Jedoch bleiben die sogenannten Metadaten (Absender, Betreff der Nachricht, Empfänger usw.) unverschlüsselt und damit lesbar.

Sowohl Ende-zu-Ende-Verschlüsselung als auch Transportverschlüsselung mindern für ihren jeweiligen Anwendungszweck Risiken für die Vertraulichkeit der übertragenen Nachrichten. Der Einsatz von Transportverschlüsselung bietet einen Basis-Schutz und stellt eine Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen dar. In Verarbeitungssituationen mit normalen Risiken wird dabei bereits durch die Transportverschlüsselung eine ausreichende Risikominderung erreicht.[1] TLS („Transport Layer Security“) ist das Standardprotokoll für die Transportverschlüsselung und wird von den namenhaften europäischen Providern standardmäßig angeboten.

Einen deutlich weitergehenden Schutz der Vertraulichkeit der Inhaltsdaten erreichen Sie durch eine Ende-zu-Ende-Verschlüsselung, wofür derzeit die Internet-Standards S/MIME (RFC 5751) und OpenPGP (RFC4880) i.d.R. in Verbindung mit PGP/MIME (RFC 3156) zur Verfügung stehen. Technologien wie S/MIME oder PGP fehlt es nach wie vor am fehlenden Vernetzungseffekt.

Eine Lösung in der Breite kann vermutlich die sog. qualifizierte Transportverschlüsselung darstellen. E-Mails werden nach der vollautomatischen Verifizierung des Empfänger-Servers über eine sichere TLS-Verschlüsselung übertragen. Hierbei wird zunächst die IP-Adresse eines Empfänger-Systems fälschungssicher abgerufen. Anschließend erfolgt eine TLS-Zertifikatsprüfung des Servers und schließlich wird eine verschlüsselte Übertragung nur dann vorgenommen, wenn die vom BSI erlaubten Algorithmen, Chiffren und Schlüssellängen verwendet werden. In vielen Fällen ist die qualifizierte Transportverschlüsselung durch eine Erweiterung des E-Mail-Systems durch ein sog. Add-on möglich.

Grundsätzlich sollten E-Mails mit personenbezogenen Daten, sofern diese nicht pseudonymisiert werden, mindestens mit einer „Transportverschlüsselung“ versendet werden. Es ist jedoch zu berücksichtigen, dass bei einer Transportverschlüsselung die E-Mails auf den E-Mail-Servern im Klartext vorliegen und grundsätzlich einsehbar sind. Bei besonders schützenswerten Daten (z.B. Kontobewegungsdaten, Finanzierungsdaten, Daten zum Gesundheitszustand, Mandantendaten von Rechtsanwälten und Steuerberatern, Beschäftigtendaten) ist eine alleinige Transportverschlüsselung möglicherweise nicht ausreichend. Bei besonders sensiblen Daten sollte daher eine Inhaltsverschlüsselung das Mittel der Wahl darstellen. Sollte dies nicht gewährleistet werden können, sind ggf. alternative Übertragungswege denkbar.[2]

Entsprechende Alternativen können serverseitige Verschlüsselungslösungen, sog. E-Mail-Gateways, darstellen. Bei einem Secure E-Mail-Gateway laufen im Gegensatz zur Ende-zu-Ende-Verschlüsselung sämtliche kryptografischen Vorgänge, etwa das Verschlüsseln und Signieren von Inhalten, über ein dediziertes E-Mail-Gateway. Das Gateway wird an zentraler Stelle des Unternehmensnetzwerks implementiert und wahlweise als Aufsatz für einen bereits vorhandenen E-Mail-Server oder als eigenständiger Server eingesetzt. Weitere Alternativen können der elektronische Austausch über eine gesicherte Verbindung (Web-Portal des Verantwortlichen mit Zugangsbeschränkungen) oder die klassische postalische Zusendung darstellen.


WORAUF MUSS NOCH GEACHTET WERDEN?

Weitere relevante Kriterien sind zum einen Schnittstellen zu weiterer Sicherheitssoftware (bspw. Virenscanner, Firewall) sowie die E-Mail-Archivierung. Um die E-Mails gesetzeskonform identifizieren zu können, sollte das Archivsystem auf die E-Mail-Inhalte im Klartext zugreifen können.


IST EIN VERZICHT AUF DIE E-MAIL-VERSCHLÜSSELUNG MÖGLICH?

Ein Unterschreiten der genannten Sicherheitsanforderungen ist datenschutzrechtlich hinnehmbar, sofern eine freiwillige und informierte Einwilligung der betroffenen Person in eine unverschlüsselte E-Mail-Kommunikation vorliegt. Dies bedeutet unter anderem, dass der Berufsgeheimnisträger eine Verschlüsselung der E-Mail-Kommunikation angeboten haben muss.

Maßstab für die Anforderungen an eine derartige Einwilligung ist Art. 7 DS-GVO. Der Berufsgeheimnisträger hat hiernach nachzuweisen, dass die betroffene Person in Kenntnis aller Risiken durch entsprechende Aufklärung sein Einverständnis erteilt hat, unverschlüsselt zu kommunizieren. Zu Bedenken ist, dass eine solche Einwilligung der betroffenen Person, mit der ein direkter E-Mail-Kontakt besteht, allein nicht ausreichend ist, sofern auch personenbezogene Daten eines Dritten kommuniziert werden.

Von einer informierten Einwilligung ist nicht auszugehen, wenn die betroffene Person, etwa ein Mandant, die unverschlüsselte E-Mail-Kommunikation beginnt. Die Einholung einer pauschalen Einwilligung im Rahmen des der Rechtsbeziehung zugrundeliegenden allgemeinen Vertragswerkes (z.B. Mandatsvereinbarung, Behandlungsvertrag) dürfte problematisch sein, wenn diese mit der entsprechenden Aufklärung zusammen nicht besonders hervorgehoben ist.


FAZIT

In der Konsequenz müssen Verantwortliche i.S.d Art. 4 Nr. 7 DS-GVO – also auch Berufsgeheimnisträger unabhängig von ihrer Organisationsform – daher E-Mail-Kommunikation, die personenbezogene Daten enthält, dem Stand der Technik entsprechend datensicher organisieren, um sich keines Verstoßes gegen die genannten Normen vorwerfen lassen zu müssen.

[1] Orientierungshilfe der Datenschutzkonferenz zu „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail vom 13. Mai 2020.

[2] So die Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen und der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz in entsprechenden Pressemitteilungen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Art. 32 DS-GVO
  • Berufsgeheimnisträger
  • E-Mail-Verschlüsselung
  • Einwilligung
  • Sicherheit der Verarbeitung
Lesen