ANALYSE, KARTEN, SCHRIFTARTEN & CO. – DATENSCHUTZ BEI INTERNETSEITEN

Seit den Urteilen des Europäischen Gerichtshofes (EuGH) im Oktober 2019 sowie des Bundesgerichtshofes (BGH) im Mai 2020 bezüglich der Verwendung von Cookies sind viele Internetseiten auf umfangreiche „Consent-Tools“ umgestiegen. Jedoch herrschen nach wie vor große Verunsicherungen und Fehlvorstellungen hinsichtlich eines datenschutzkonformen Einsatzes von Drittinhalten (z.B. Schriftarten, Formulare, Karten- oder Medieninhalte). Dieser Beitrag soll die rechtlichen Rahmenbedingungen umreißen und die wesentlichen Implementierungsmöglichkeiten kurz darstellen.


IST EINE EINWILLIGUNG ERFORDERLICH?

Zunächst sollte die Internetseite hinsichtlich eingebundener Drittinhalte, Cookies und Scripts überprüft werden. Unter Umständen ist hierbei die Einbindung Ihres Dienstleisters, welcher die Internetseite erstellt hat und / oder technisch betreut, erforderlich. Im ersten Schritt kann jedoch bereits eigenständig eine Überprüfung mit kostenfreien Anwendungen bei der Erstellung einer ersten Übersicht dienen. Hierfür geeignet scheinen insbesondere Webbkoll, BuiltWith, Ghostery und uBlock Origin. Darüber hinaus bieten auch einige Internetbrowser über integrierte Analysefunktionen.

Die Auflistung der eingesetzten Drittinhalte, Cookies und Scripts sollte kritisch hinterfragt werden: Welche dieser sind (technisch) zwingend erforderlich? Welche optionalen Technologien werden tatsächlich aktiv genutzt? Wurde die / der Datenschutzbeauftragte vor der Implementierung über die Verwendung in Kenntnis gesetzt? Bestehen datenschutzfreundlichere Alternativen?

Erfolgt ein Einsatz von Drittinhalten, Cookies und Scripts, die für einen Einsatz der Internetseite technisch zwingend erforderlich sind, das heißt ein fehlerfreier Aufruf der Internetseite ohne Implementierung und Nutzung dieser gänzlich unmöglich ist, bedarf es keiner Einwilligung der Personen, welche die Internetseite aufrufen. Das betrifft in der Regel zum Beispiel Cookies zur technischen Gewährleistung einer Anmeldung zu einem internen Bereich oder Warenkorbfunktionen zur Abwicklung einer Online-Bestellung.


WELCHE ANFORDERUNGEN WERDEN AN EINE WIRKSAME EINWILLIGUNG GESTELLT?

Grundsätzlich empfiehlt sich bei der Nutzung einwilligungsbedürftiger Drittinhalte, Cookies und Scripts die Verwendung eines sogenannten „Consent-Tools“ (auch: „Cookie-Banner“). Werden hingegen ausschließlich technisch erforderliche Inhalte verwendet, bedarf es eines solchen Banners nicht. In diesem Fall genügt eine Information über die verwendeten Inhalte im Rahmen der Datenschutzinformation (auch: „Datenschutzerklärung“).

Bei einem erstmaligen Aufruf der Internetseite muss gewährleistet sein, dass diese zunächst ausschließlich im technisch erforderlichen Umfang dargestellt wird. Sofern darüber hinaus die Nutzung von Cookies, Drittinhalten und Scripts gewünscht ist, dürfen diese erst nach erteilter Einwilligung der Nutzenden geladen werden. Das Einholen einer rein formalen Einwilligung, wobei eine Datenverarbeitung bereits vor oder gänzlich unabhängig von der konkreten Einwilligung stattfindet, ist unzulässig. Die konkrete Einwilligung der Nutzenden ist stets technisch exakt abzubilden.

Der Europäische Datenschutzausschuss (EDSA) setzt für eine wirksame Einwilligung bereits vor Abgabe der Einwilligung folgende Informationen voraus: Angaben zur verantwortlichen Stelle, Darstellung der konkreten Verarbeitungszwecke, die Kategorien der personenbezogenen Daten, Absicht einer automatisierten Entscheidungsfindung sowie der Übermittlung personenbezogener Daten in ein datenschutzrechtliches Drittland. Weiterhin ist gemäß Art. 7 Abs. 3 DS-GVO ebenfalls vor Abgabe der Einwilligung auf das Bestehen des Widerrufrechts hinzuweisen.

Eine Einwilligung ist tatsächlich nur dann als wirksame Einwilligung zu klassifizieren, sofern die Nutzenden tatsächlich eine Wahl über Zustimmung oder Ablehnung erhalten. Die oftmals vorzufindende Formulierung, wonach die Internetseite Cookies verwendet und mit dem weiteren Besuch von einer Zustimmung ausgegangen wird, erfüllt diese Anforderung nicht. Derartige „Cookie-Banner“ sind schlichtweg nutzlos und aus datenschutzrechtlicher Sicht absolut unzureichend. Ebenfalls als unzulässig einzuordnen sind vorausgefüllte Auswahlfelder oder das sogenannte „Nudging“, also das Beeinflussen der Nutzenden, der Verwendung zuzustimmen, indem die weiteren Optionen (z.B. „Ablehnen“ oder „weitere Einstellungen“) kaum lesbar oder nur schwer auffindbar integriert werden.

Übrigens: Die getätigte Einwilligung darf und sollte aus Gründen der Nachweisbarkeit gespeichert werden. So kann auch vermieden werden, dass Nutzende bei erneutem Aufrufen der Internetseite wiederholt der Datenverarbeitung zustimmen oder diese ablehnen müssen. Das permanente Abfragen wird durch die datenschutzrechtlichen Vorschriften weder verlangt, noch trägt dies zu einem positiven Nutzungserlebnis bei.


WAS BEDEUTET DAS FÜR EINZELNE DATENVERARBEITUNGEN?

Im weiteren Verlauf soll nun kurz dargestellt werden, welchen Maßnahmen in der Regel bei der Implementierung der folgenden Kategorien von Drittinhalten, Cookies und Scripts beachtet werden sollte.

Analyse des Nutzungsverhaltens: Bei einem Einsatz von Analyse- und Trackingdiensten werden durch diese in der Regel Cookies gesetzt, die hinsichtlich der Darstellung der Internetseite als nicht technisch erforderlich zu klassifizieren sind, sodass es grundsätzlich einer Einwilligung der Nutzenden bedarf. Einige Anbieter solcher Dienste werben explizit damit, dass durch den Verzicht einer Cookie-Setzung und stattdessen der Verwendung einer Fingerprinting-Methode das Einwilligungserfordernis umgangen werden kann. Aufgrund der (datenschutzrechtlichen) Vergleichbarkeit beider Methoden sind solche Aussagen mit Vorsicht zu betrachten. Hier bedarf es zuvor einer grundlegenden Überprüfung im Einzelfall.

Darstellung von Karteninhalten: Je nach gewähltem Kartendienst erfolgt oder unterbleibt bei der Nutzung der Karteninhalte das Setzen von Cookies. Mit Blick auf den Grundsatz der Datenminimierung gemäß Art. 5 Abs 1. lit. c DS-GVO sowie auf die Anforderung eines Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen gemäß Art. 25 DS-GVO, sollte eine möglichst datensparsame Kartendarstellung gewählt werden. Sofern eine Cookie-Setzung unausweichlich ist, bedarf es für die Darstellung der Karteninhalte in der Regel der Einwilligung der Nutzenden.

Darstellung von Videoinhalten: Werden bei einem Abspielen eingebundener Videoinhalte keine Cookies gesetzt und findet darüber hinaus keine Übermittlung personenbezogener Daten in ein datenschutzrechtliches Drittland statt, so kann eine Implementierung in der Regel ohne Einwilligung der Nutzenden erfolgen. Eine mögliche Rechtsgrundlage der Datenverarbeitung stellt dann das berechtigte Interesse der verantwortlichen Stelle gemäß Art. 6 Abs. 1 S. 1 lit. f DS-GVO dar. Als Anforderung ist hierbei jedoch zu nennen, dass das Video nur durch einen extra Klick der Nutzenden und nicht automatisch starten darf. So zumindest führt es die FAQ des Bayrischen Landesamtes für Datenschutzaufsicht aus.

Einbindung von Webschriftarten oder Scripts: Beliebt – und oftmals mit einem Hinweis auf die Performance der Internetseite begründet – sind sogenannte Webschriftarten („Fonts“) oder Scripts, die bei einem Aufruf der Internetseite durch die Nutzenden von externen Servern geladen werden. Grundsätzlich lässt sich diese Datenverarbeitung auf das berechtigte Interesse der verantwortlichen Stelle stützen, jedoch sollte eine lokale Installation auf den Servern der verantwortlichen Stelle bevorzugt werden. Ein Drittstaatentransfer sollte grundsätzlich unterbleiben.

Hinweis: Erfolgt im Rahmen der Implementierung und Nutzung der oben aufgeführten Drittinhalte eine Übermittlung personenbezogener Daten in ein datenschutzrechtliches Drittland, so bedarf es für die Übermittlung einer gesonderten Rechtsgrundlage.


WAS IST DARÜBER HINAUS DATENSCHUTZRECHTLICH ZU BEACHTEN?

Unabhängig von der Einwilligungsbedürftigkeit sind sämtliche Datenverarbeitungen in der Datenschutzinformation der Internetseite darzustellen. Die notwendigen Inhalte richten sich hierbei insbesondere nach Art. 13 DS-GVO. Da die Datenverarbeitungen auf jeder Internetseite unterschiedlich sind, gibt es nicht die „eine“ richtige Datenschutzinformation. Aus diesem Grund sollten auch die Ergebnisse sogenannter „Generatoren für Datenschutzerklärungen“ detailliert überprüft und gegebenenfalls angepasst werden.

Kommen im Zusammenhang mit der Internetseite Dienstleister zum Einsatz, die personenbezogene Daten im Auftrag verarbeiten (z.B. Hosting, Wartung und Pflege, Analyse und Tracking), so sind mit diesen zwingend Verträge zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DS-GVO zu schließen. Darüber hinaus muss die verantwortliche Stelle über die Datenverarbeitungen der Internetseite gemäß Art. 30 Abs. 1 DS-GVO ein Verzeichnis der Verarbeitungstätigkeiten führen.


FAZIT

Mit der Bereitstellung und dem Betrieb einer Internetseite gehen zahlreiche datenschutzrechtliche Verpflichtungen einher, die einer detaillierten Betrachtung bedürfen. Aus diesem Grund sollte der / die Datenschutzbeauftragte frühestmöglich bei der Erstellung oder Änderung der Internetseite einbezogen werden. Sollten Sie bei der datenschutzrechtlichen Überprüfung Ihrer Internetseite oder bei der Erstellung einer passgenauen Datenschutzinformation Unterstützung benötigen, können Sie hierfür gern das DID Dresdner Institut für Datenschutz kontaktieren.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Cookies
  • Datenschutzinformation
  • Drittstaaten
  • Einwilligung
  • Internetseite
Lesen

QUO VADIS ePRIVACY?

Berichten zufolge herrscht nunmehr Klarheit darüber, dass auch unter der deutsche EU-Ratspräsidentschaft keine Verständigung der EU-Minister zur geplanten ePrivacy-Verordnung erfolgen wird. Die deutsche EU-Ratspräsidentschaft hatte am 04.11.2020 einen überarbeiteten Entwurf der ePrivacy-Verordnung vorgelegt. Dieser wurde aber wohl als zu restriktiv abgelehnt. Somit ist ein weiterer Versuch auf dem Weg zu gemeinsamen Bestimmungen in den Mitgliedstaaten gescheitert. Einen neuen Anlauf dürfen nunmehr die Portugiesen nehmen, welche die Ratspräsidentschaft übernehmen werden. Doch welche Bedeutung hat all dies für die Datenschutzpraxis? 


WAS IST DIE ePRIVACY-VERORDNUNG?

Die Datenschutz-Grundverordnung (DS-GVO) enthält keine speziellen Regelungen zum Umgang mit elektronischen Kommunikationsdaten. Neben der DS-GVO gilt bisher die bereits 2002 in Kraft getretene Richtlinie 2002/58/EG und regelt die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation. Diese Richtlinie wird gemeinhin als ePrivacy-Richtlinie (ePrivacy-RL) bezeichnet, da diese einmal durch eine ePrivacy-Verordnung (ePrivacy-VO) abgelöst werden soll. Ergänzt wird die ePrivacy-RL seit 2009 durch die sogenannte „Cookie-Richtlinie“ (Richtlinie 2009/136/EG). Die Bezeichnung dieser Richtlinie ist auf die Regelungen des Art. 5 Abs. 3 der Richtlinie zurückzuführen, welcher den Umgang mit Informationen auf dem Endgerät des Nutzers regelt. Die Regelungen der ePrivacy-RL gelten in den EU-Mitgliedstaaten im Gegensatz zu denen der DS-GVO nicht unmittelbar und bedürfen gemäß Art. 288 des Vertrag über die Arbeitsweise der Europäischen Union (AEUV) eines mitgliedstaatlichen Umsetzungsaktes. In Deutschland wurden die Regelungen überwiegend im Telekommunikationsgesetz (TKG), dem Telemediengesetz (TMG) sowie dem Gesetz gegen den unlauteren Wettbewerb (UWG) umgesetzt. Aufgrund der unterschiedlichen Umsetzung der ePrivacy-RL in den Mitgliedstaaten sowie einer darauf aufbauenden nicht einheitlichen Vollzugspraxis der zuständigen Aufsichtsbehörden sollte ursprünglich gemeinsam mit der DS-GVO die ePrivacy-VO in Krafttreten und ihrerseits die ePrivacy-RL ersetzen. Dazu ist es jedoch nicht gekommen.

Das Verhältnis von DS-GVO und ePrivacy-RL wird durch die Kollisionsregel in Art. 95 DS-GVO bestimmt. Hiernach werden durch die DS-GVO natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auferlegt, soweit sie besonderen Pflichten der ePrivacy-RL unterliegen, die dasselbe Ziel verfolgen.    


WIE GEHT ES NUN WEITER?

Wohl bedingt durch die Entwicklung in Sachen ePrivacy-VO sowie die höchstrichterlichen Entscheidungen des Europäischen Gerichtshof (EuGH) in der Rechtssache Planet 49 (EuGH, Urt. V. 01.10.2019 – C-673/17) sowie des Bundesgerichtshof (BGH) im sog. „Cookie-II-Urteil“ (BGH, Urt. V. 28.05.2020 – I ZR 7/16) sah sich der deutsche Gesetzgeber in der Regelungspflicht. So wurde im August der „Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien sowie zur Änderung des Telekommunikationsgesetzes, des Telemediengesetztes und weiterer Gesetze“, kurz gesprochen der Entwurf des Telekommunikations-Telemedien-Datenschutz-Gesetzes (TTDSG-E) des Bundesministeriums für Wirtschaft und Energie (BMWi) geleakt.  


WAS IST DAS TTDSG?

Das TTDSG soll nach den Ausführungen im Referentenentwurf in aller erster Linie für Rechtsklarheit sorgen. Das Nebeneinander von DS-GVO, TMG und TKG führt zu Rechtsunsicherheiten bei Verbrauchern, die Telemedien und elektronischen Kommunikationsdienste nutzen, bei Anbietern von diesen Diensten und bei den Aufsichtsbehörden. Die Neuregelung soll auch dazu dienen, die Verwirklichung eines wirksamen und handhabungsfreundlichen Datenschutzes und Schutzes der Privatsphäre zu erleichtern, insbesondere mit Blick auf die in vielen Fällen erforderliche Einwilligung in die Verarbeitung von Verkehrs- und Standortdaten oder in das Speichern und Abrufen von Informationen auf Endeinrichtungen der Endnutzer. Mit anderen Worten versucht der Gesetzgeber die Vielzahl der einzelnen Datenschutzbestimmungen in den unterschiedlichen Gesetzen in einem Gesetz zusammenzuführen. Der Parlamentarischer Staatssekretär Prof. Dr. Günter Krings aus dem Bundesminister des Innern, für Bau und Heimat sieht in dem TTDSG die Möglichkeit der Beseitigung des gegenwärtigen rechtlichen Flickenteppichs.  


WAS WÜRDE SICH ÄNDERN?

Das TTDSG-E enthält insbesondere Bestimmungen zum Einsatz von Cookies und vergleichbarere Technologien und soll zudem eine Rechtsgrundlage für die Anerkennung und Tätigkeit von Diensten zur Verwaltung persönlicher Informationen (Personal Information Management Services – PIMS) schaffen. Darüber hinaus enthält das TTDSG-E die Bestimmungen, welche bisher in den §§ 88-107 TKG enthalten waren.

Der Blick richtet sich bestimmungsgemäß insbesondere auf § 9 TTDSG-E, welcher eine Regelung zur Einwilligung bei Endeinrichtung, mithin zum Einsatz von Cookies und vergleichbarer Technologien auf dem Endgerät des Nutzers, enthält: 

§ 9 Einwilligung bei Endeinrichtungen 

(1) Das Speichern von Informationen auf Endeinrichtungen des Endnutzers oder der Zugriff auf Informationen, die bereits in seinen Endeinrichtungen des Endnutzers gespeichert sind, ist nur erlaubt, wenn der Endnutzer darüber gemäß der Verordnung (EU) 2016/679 informiert wurde und er eingewilligt hat.

(2) Absatz 1 gilt nicht, wenn die Speicherung von Informationen auf Endeinrichtungen oder der Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind,
1. technisch erforderlich ist, um eine Kommunikation über ein elektronisches Kommunikationsnetz zu übermitteln oder um Telemedien bereitzustellen, deren Inanspruchnahme vom Endnutzer gewünscht wird, 
2. vertraglich ausdrücklich mit dem Endnutzer vereinbart wurde, um bestimmte Dienstleistungen zu erbringen, oder 
3. zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist. 

(3) Im Falle der Inanspruchnahme von Telemedien liegt eine wirksame Einwilligung in die Speicherung von Informationen auf Endeinrichtungen oder in den Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind, vor, 
1. wenn der Diensteanbieter den Endnutzer darüber informiert hat, welche Informationen zu welchem Zweck und wie lange auf Endeinrichtungen gespeichert bleiben und ob Dritte Zugriff auf diese Informationen erhalten, und 
2. der Endnutzer mittels einer Funktion diese Information aktiv bestätigt und die Telemedien in Anspruch nimmt. 

(4) Der Endnutzer kann die Einwilligung auch erklären, in dem er eine dafür vorgesehene Einstellung seines Browsers oder eine andere Anwendung auswählt. 


Der § 9 TTDSG-E sieht im Wesentlichen die Umsetzung des Einwilligungserfordernisses sowie die entsprechenden Ausnahmen hiervon aus Art. 5 Abs. 3 ePrivacy-RL vor. Die Voraussetzungen der Einwilligung richten sich hierbei nach den Vorgaben der DS-GVO. Jedoch gilt bereits jetzt zu hinterfragen, ob die Regelungen aus § 9 Abs. 2 Nr. 2 und Nr. 3 TTDSG-E nicht über den Wortlaut des Art. 5 Abs. 3 ePrivacy-RL hinausgehen und somit überhaupt von Art. 95 DS-GVO erfasst sein können. Der Gesetzesbegründung lässt sich zwar entnehmen, dass mit § 9 Abs. 2 Nr. 2 und Nr. 3 TTDSG-E lediglich Klarstellungsfunktion verfolgt wird. Die Wirksamkeit der Regelung muss wohl dennoch hinterfragt werden. 


FAZIT

Dem Ziel des deutschen Gesetzgebers, Rechtsklarheit im Bereich der elektronischen Kommunikationsdaten zu schaffen, kann man mit dem Entwurf des TTDSG wohl einen nicht unbeachtlichen Schritt näherkommen, obwohl insbesondere die Wirksamkeit einiger Regelungen in Frage gestellt werden muss. Dies gilt auch vor dem Hintergrund, dass der Entwurf die Rechtsprechung von EuGH und BGH berücksichtigt. In jedem Fall dürften die Bemühungen des Gesetzgebers eher Früchte tragen, als weiterhin auf die ePrivacy-Verordnung zu warten. 

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Einwilligung
  • ePrivacy
  • Planet49
  • Telemedien
  • TTDSG
Lesen

E-MAIL-VERSCHLÜSSELUNG BEI BERUFSGEHEIMNISTRÄGERN

Die Kommunikation von Berufsgeheimnisträgern erfolgt heute zu einem großen Teil per E-Mail. E-Mails enthalten zusätzlich zu den Inhaltsdaten (d.h. dem Text der Mail und etwaigen Anhängen) auch Metadaten wie Absender und Empfänger, das Datum und den Betreff. Regelmäßig handelt es sich bei diesen Informationen um personenbezogene Daten gemäß Art. 4 Nr. 1 Datenschutz-Grundverordnung (DS-GVO). Der folgende Beitrag stellt eine datenschutzrechtliche Beurteilung der aktuellen Rechtslage dar.


BESTEHT EINE (DATENSCHUTZRECHTLICHE) VERSCHLÜSSELUNGSPFLICHT?

Art. 32 DS-GVO führt diesbezüglich aus, dass für die Datenverarbeitung Verantwortliche geeignete technische und organisatorische Maßnahmen zu ergreifen haben, um ein dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenes Schutzniveau zu gewährleisten. Nach Art. 5 Abs. 1 lit. f) DS-GVO müssen Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet.  Dies umfasst u.a. den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen.


WELCHE INTENSITÄT MUSS DIE VERSCHLÜSSELUNG AUFWEISEN?

Man unterscheidet bei der Verschlüsselung von E-Mails grundsätzlich zwei Wege: Die Transport- und die Inhaltsverschlüsselung.

– Transportverschlüsselung: Die E-Mail-Nachrichten werden durch einen verschlüsselten Tunnel geschickt. Jedoch liegen die E-Mails nicht nur bei Absender und Empfänger im Klartext vor, sondern auch auf dazwischenliegenden Knoten. Nachrichten können also mitgelesen werden.

– Inhaltsverschlüsselung: Hierbei wird der E-Mail-Inhalt verschlüsselt. Jedoch bleiben die sogenannten Metadaten (Absender, Betreff der Nachricht, Empfänger usw.) unverschlüsselt und damit lesbar.

Sowohl Ende-zu-Ende-Verschlüsselung als auch Transportverschlüsselung mindern für ihren jeweiligen Anwendungszweck Risiken für die Vertraulichkeit der übertragenen Nachrichten. Der Einsatz von Transportverschlüsselung bietet einen Basis-Schutz und stellt eine Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen dar. In Verarbeitungssituationen mit normalen Risiken wird dabei bereits durch die Transportverschlüsselung eine ausreichende Risikominderung erreicht.[1] TLS („Transport Layer Security“) ist das Standardprotokoll für die Transportverschlüsselung und wird von den namenhaften europäischen Providern standardmäßig angeboten.

Einen deutlich weitergehenden Schutz der Vertraulichkeit der Inhaltsdaten erreichen Sie durch eine Ende-zu-Ende-Verschlüsselung, wofür derzeit die Internet-Standards S/MIME (RFC 5751) und OpenPGP (RFC4880) i.d.R. in Verbindung mit PGP/MIME (RFC 3156) zur Verfügung stehen. Technologien wie S/MIME oder PGP fehlt es nach wie vor am fehlenden Vernetzungseffekt.

Eine Lösung in der Breite kann vermutlich die sog. qualifizierte Transportverschlüsselung darstellen. E-Mails werden nach der vollautomatischen Verifizierung des Empfänger-Servers über eine sichere TLS-Verschlüsselung übertragen. Hierbei wird zunächst die IP-Adresse eines Empfänger-Systems fälschungssicher abgerufen. Anschließend erfolgt eine TLS-Zertifikatsprüfung des Servers und schließlich wird eine verschlüsselte Übertragung nur dann vorgenommen, wenn die vom BSI erlaubten Algorithmen, Chiffren und Schlüssellängen verwendet werden. In vielen Fällen ist die qualifizierte Transportverschlüsselung durch eine Erweiterung des E-Mail-Systems durch ein sog. Add-on möglich.

Grundsätzlich sollten E-Mails mit personenbezogenen Daten, sofern diese nicht pseudonymisiert werden, mindestens mit einer „Transportverschlüsselung“ versendet werden. Es ist jedoch zu berücksichtigen, dass bei einer Transportverschlüsselung die E-Mails auf den E-Mail-Servern im Klartext vorliegen und grundsätzlich einsehbar sind. Bei besonders schützenswerten Daten (z.B. Kontobewegungsdaten, Finanzierungsdaten, Daten zum Gesundheitszustand, Mandantendaten von Rechtsanwälten und Steuerberatern, Beschäftigtendaten) ist eine alleinige Transportverschlüsselung möglicherweise nicht ausreichend. Bei besonders sensiblen Daten sollte daher eine Inhaltsverschlüsselung das Mittel der Wahl darstellen. Sollte dies nicht gewährleistet werden können, sind ggf. alternative Übertragungswege denkbar.[2]

Entsprechende Alternativen können serverseitige Verschlüsselungslösungen, sog. E-Mail-Gateways, darstellen. Bei einem Secure E-Mail-Gateway laufen im Gegensatz zur Ende-zu-Ende-Verschlüsselung sämtliche kryptografischen Vorgänge, etwa das Verschlüsseln und Signieren von Inhalten, über ein dediziertes E-Mail-Gateway. Das Gateway wird an zentraler Stelle des Unternehmensnetzwerks implementiert und wahlweise als Aufsatz für einen bereits vorhandenen E-Mail-Server oder als eigenständiger Server eingesetzt. Weitere Alternativen können der elektronische Austausch über eine gesicherte Verbindung (Web-Portal des Verantwortlichen mit Zugangsbeschränkungen) oder die klassische postalische Zusendung darstellen.


WORAUF MUSS NOCH GEACHTET WERDEN?

Weitere relevante Kriterien sind zum einen Schnittstellen zu weiterer Sicherheitssoftware (bspw. Virenscanner, Firewall) sowie die E-Mail-Archivierung. Um die E-Mails gesetzeskonform identifizieren zu können, sollte das Archivsystem auf die E-Mail-Inhalte im Klartext zugreifen können.


IST EIN VERZICHT AUF DIE E-MAIL-VERSCHLÜSSELUNG MÖGLICH?

Ein Unterschreiten der genannten Sicherheitsanforderungen ist datenschutzrechtlich hinnehmbar, sofern eine freiwillige und informierte Einwilligung der betroffenen Person in eine unverschlüsselte E-Mail-Kommunikation vorliegt. Dies bedeutet unter anderem, dass der Berufsgeheimnisträger eine Verschlüsselung der E-Mail-Kommunikation angeboten haben muss.

Maßstab für die Anforderungen an eine derartige Einwilligung ist Art. 7 DS-GVO. Der Berufsgeheimnisträger hat hiernach nachzuweisen, dass die betroffene Person in Kenntnis aller Risiken durch entsprechende Aufklärung sein Einverständnis erteilt hat, unverschlüsselt zu kommunizieren. Zu Bedenken ist, dass eine solche Einwilligung der betroffenen Person, mit der ein direkter E-Mail-Kontakt besteht, allein nicht ausreichend ist, sofern auch personenbezogene Daten eines Dritten kommuniziert werden.

Von einer informierten Einwilligung ist nicht auszugehen, wenn die betroffene Person, etwa ein Mandant, die unverschlüsselte E-Mail-Kommunikation beginnt. Die Einholung einer pauschalen Einwilligung im Rahmen des der Rechtsbeziehung zugrundeliegenden allgemeinen Vertragswerkes (z.B. Mandatsvereinbarung, Behandlungsvertrag) dürfte problematisch sein, wenn diese mit der entsprechenden Aufklärung zusammen nicht besonders hervorgehoben ist.


FAZIT

In der Konsequenz müssen Verantwortliche i.S.d Art. 4 Nr. 7 DS-GVO – also auch Berufsgeheimnisträger unabhängig von ihrer Organisationsform – daher E-Mail-Kommunikation, die personenbezogene Daten enthält, dem Stand der Technik entsprechend datensicher organisieren, um sich keines Verstoßes gegen die genannten Normen vorwerfen lassen zu müssen.

[1] Orientierungshilfe der Datenschutzkonferenz zu „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail vom 13. Mai 2020.

[2] So die Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen und der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz in entsprechenden Pressemitteilungen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Art. 32 DS-GVO
  • Berufsgeheimnisträger
  • E-Mail-Verschlüsselung
  • Einwilligung
  • Sicherheit der Verarbeitung
Lesen