Erst jüngst hat der Bundesverband IT-Sicherheit e. V. (TeleTrusT) eine vollständig überarbeitete und ergänzte Fassung der Handreichung zum Stand der Technik in der IT-Sicherheit veröffentlicht. „Die Handreichung soll Unternehmen, Anbietern und Dienstleistern Hilfestellung zur Bestimmung des Standes der Technik in der IT-Sicherheit bieten und kann als Referenz z. B. für vertragliche Vereinbarungen, Vergabeverfahren bzw. für die Einordnung implementierter Sicherheitsmaßnahmen dienen.“, so der Bundesverband. Anlass genug, um einen kurzen Blick auf den Begriff „Stand der Technik“ sowie den Inhalt der Handreichung zu werfen.

Stand der Technik

Der Begriff Stand der Technik ist nicht einheitlich definiert und ist zu unterscheiden von den allgemein anerkannten Regeln der Technik und dem Stand von Wissenschaft und Forschung. Zurückzuführen sind sämtliche dieser Begriffe auf die sogenannte Kalkar-Entscheidung des Bundesverfassungsgerichts aus dem Jahr 1978. Die Begriffe unterscheiden sich insbesondere durch die grundsätzliche Anerkennung sowie die Bewährung in der Praxis. In Bezug auf beide Aspekte ist der Stand der Technik zwischen dem Stand der Wissenschaft und Forschung (niedrig) und den allgemein anerkannten Regeln der Technik (hoch) einzuordnen.

Zusammenfassend kann unter dem Stand der Technik eine dynamische Beschreibung zugrundeliegender Technologien zu einem bestimmten Zeitpunkt verstanden werden, welche auf einem neuesten, aber gesicherten Erkenntnisstand von Wissenschaft und Technik beruhen und sich zugleich in der Praxis bereits bewährt haben sowie in einem ausreichenden Maße zur Verfügung stehen. Der aktuelle Stand der Technik ist dementsprechend stets fortlaufend neu zu bewerten, sodass technische und organisatorische Maßnahmen (Art. 32 DS-GVO) über die Zeit gegebenenfalls anzupassen sind.

Orientierung in der praktischen Umsetzung bieten bereits seit einigen Jahren beispielsweise Publikationen des Bundesamts für Sicherheit in der Informationstechnik (BSI), Leitlinien und Empfehlungen des Europäischen Datenschutzausschusses (EDSA) oder die bereits erwähnte Handreichung zum Stand der Technik des TeleTrusT.

Zum Inhalt der Handreichung

Unter Berücksichtigung der Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität beschreibt die Handreichung eine Vielzahl technischer und organisatorischer Maßnahmen, die sich in der Praxis bewährt haben und dem aktuellen Stand der Technik entsprechen. Hierzu zählen beispielsweise die Verschlüsselung von Datenträgern, Netzwerksegmentierung und -separierung sowie Risikomanagement und Sensibilisierung der Anwender. Dabei wird jede Maßnahme anhand eines einheitlichen Schemas dargestellt: Neben einer fachlichen Beschreibung enthält die Handreichung Einschätzungen zu Wirksamkeit, Aufwand, potenziellen Grenzen und praktischer Umsetzbarkeit. Ziel ist es, Verantwortlichen eine nachvollziehbare Entscheidungsgrundlage zur Auswahl und Bewertung geeigneter Schutzmaßnahmen zu bieten.

So heißt es beispielsweise zur E-Mail-Verschlüsselung: „Im E-Mail-Verkehr sollte zur Transportverschlüsselung TLS (Transport Layer Security) in der aktuell gültigen Version, wie in RFC 5246 definiert, eingesetzt werden. Zum Einsatz kommen müssen sichere Verschlüsselungsverfahren (aktuell z. B. AES-256), die Verwendung unsicherer Verschlüsselungsverfahren (z. B. RC4) muss ausgeschlossen werden. Forward Secrecy sollte generell aktiviert werden. Zusätzlich ist es sinnvoll, die bei TLS genutzten Zertifikate der jeweiligen Gegenseite auf Authentizität und Gültigkeit zu überprüfen, z. B. mittels DANE (RFC 7671). Umfassende Empfehlungen zu TLS liefert die Technische Richtlinie TR-02102-2, Teil 2 des BSI.“

Und: „Ende-zu-Ende Verschlüsselung empfiehlt sich zum Schutz besonders schützenswerter Daten. Dazu haben sich zwei Standards etabliert: S/MIME (Secure / Multipurpose Internet Mail Extensions, definiert in RFC 5751) und OpenPGP (Pretty Good Privacy, definiert in RFC 4880).“ Insofern ergibt sich auch aus dieser Darstellung mit Blick auf den Stand der Technik, dass keine grundsätzliche Pflicht zur Ende-zu-Ende-Verschlüsselung bestehen kann.

Weiterhin umfasst die Handreichung auch thematische Exkurse und beschreibt in der aktuellen Fassung beispielsweise auch die Auswirkungen von Künstlicher Intelligenz auf die Informationssicherheit. Dabei wird auch noch einmal das Spannungsfeld zwischen Künstlicher Intelligenz als Werkzeug zur Verbesserung der Informationssicherheit und künstlicher Intelligenz als Werkzeug für Angreifer deutlich. Auch in diesem Kontext legt der Bundesverband IT-Sicherheit e. V. einen Schwerpunkt auf die Darstellung einschlägiger Schutzmaßnahmen.

Fazit

Der Stand der Technik ist ein zentraler Begriff in der Regulatorik – ohne jedoch abschließend definiert zu sein. Er beschreibt den aktuellen Stand erprobter technischer und organisatorischer Maßnahmen, die zur Erreichung eines bestimmten Schutzziels geeignet und allgemein verfügbar sind. Die Handreichung des Bundesverband IT-Sicherheit e. V. liefert eine fundierte, praxisnahe Orientierung zur Bestimmung des Standes der Technik in der IT-Sicherheit. Sie bietet eine strukturierte Darstellung bewährter technischer und organisatorischer Maßnahmen, unterstützt bei der Bewertung und geht auch auf Anforderungen im Bereich Künstliche Intelligenz ein. Damit ist sie ein wertvolles Arbeitsmittel für verschiedenste Organisationen, um gesetzliche Vorgaben umzusetzen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Viel wird in den letzten Wochen und Monaten über die NIS-2-Richtlinie gesprochen und berichtet. Doch was genau regelt diese Richtlinie eigentlich? Welche Ziele verfolgt Sie? Und was hat das alles mit Datenschutz zu tun? Diesen Fragen soll sich der heutige Blog-Beitrag widmen.

Der aktuelle „Umsetzungsstand“

Mit der Richtlinie (EU) 2022/2555 des Europäischen Parlamentes und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) verfolgt die EU allem voran das Ziel der Harmonisierung und Stärkung der Cybersicherheit in Deutschland. Da es sich bei der NIS-2-Richtlinie um eine Richtlinie und beispielsweise im Vergleich zur DS-GVO nicht um eine Verordnung handelt, ist noch eine Umsetzung der vorgaben in nationales Recht erforderlich. So weit, so gut.

Die aktuelle Lage zur Umsetzung der NIS-2-Richtlinie in Deutschland ist vorsichtig ausgedrückt eher bescheiden. Die Umsetzungsfrist ist bereits am 17. Oktober 2024 ausgelaufen, ohne dass es auf Bundesebene zur einer Umsetzung gekommen ist. Es lag zwar ein Referentenentwurf eines Umsetzungsgesetzes, das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), vor. Dieser Entwurf ist jedoch den Neuwahlen der Deutschen Bundesregierung und dem Diskontinuitätsprinzip „zum Opfer“ gefallen. Eine Umsetzung wird nun vermutlich erst im 2. Halbjahr 2025 erfolgen. Die Bundesrepublik wird aufgrund eines Vertragsverletzungsverfahren aber ziemlich sicher zu Kasse gebeten werden. 

In einigen Bundesländern dagegen wurden die Vorgaben in entsprechenden Landesgesetzen ratifiziert. Als Beispiel kann hier auf das Sächsische Informationssicherheitsgesetz des Freistaates Sachsen verweisen werden.

NIS-2-Richtlinie und Datenschutz

Unabhängig von der aktuellen Situation rund um die Umsetzung der Vorgaben der NIS-2-Richtlinie in Deutschland lohnt sich ein Blick in die Regelungen der Richtlinie. Viele Regelungen dienen in erster Linie den gesetzten Zielen, allen voran der Stärkung der Cybersicherheit. Hierfür sind insbesondere die verschärften Vorgaben zu den Risikomanagementmaßnahmen im Bereich der Cybersicherheit (Art. 21 NIS-2-RL) sowie die Berichtspflichten (Art. 23 NIS-2-RL) und die Nutzung der europäischen Schemata für die Cybersicherheitszertifizierung (Art. 24 NIS-2-RL) zu nennen.

Den Fokus möchten wir im Folgenden auf die Risikomanagementmaßnahmen legen. Nach Art. 21 Abs. 1 NIS-2-RL müssen die gesetzlichen Adressaten der Regelungen (sogenannte wesentliche und wichtige Einrichtungen) „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen“, „um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten“.

Anschließend werden in Art. 21 Abs. 2 NIS-2-RL Maßnahmen gelistet, die von den verantwortlichen Einrichtungen mindestens umzusetzen sind. Hierzu gehören unter anderem Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme; Maßnahmen zur Bewältigung von Sicherheitsvorfällen; Maßnahmen zur Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement; Maßnahmen zur Sicherheit der Lieferkette; grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit; Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung sowie die Verwendung von Lösungen zur Multi-Faktor-Authentisierung.

An dieser Stelle können wir nun eine Brücke zum Datenschutz schlagen – es gibt noch weitere Anknüpfungspunkte, die wir heute aber außer Acht lassen wollen. Mit Blick auf die gelisteten Maßnahmen wird deutlich, dass die Umsetzung zahlreicher dieser Maßnahmen nicht ohne die Verarbeitung personenbezogener Daten auskommen wird, vielmehr noch wird die Datenverarbeitung sogar teilweise essentieller Bestandteil sein. Jedoch erfordert die Verarbeitung personenbezogener Daten stets die Einhaltung der Grundsätze aus Art. 5 DS-GVO, insbesondere das Vorliegen einer belastbaren Rechtsgrundlage. An dieser Stelle lohnt sich ein weiterer Blick ins Gesetz, genauer gesagt in Erwägungsgrund 121 Satz 1 NIS-2-RL:

„Die Verarbeitung personenbezogener Daten durch wesentliche und wichtige Einrichtungen in dem zur Gewährleistung der Sicherheit von Netz- und Informationssystemen erforderlichen und verhältnismäßigen Umfang könnte auf der Grundlage als rechtmäßig angesehen werden, dass diese Verarbeitung einer rechtlichen Verpflichtung entspricht, der der Verantwortliche gemäß Artikel 6 Absatz 1 Buchstabe c und Artikel 6 Absatz 3 der Verordnung (EU) 2016/679 [Anm.: DS-GVO] unterliegt.“ Und in Satz 2 heißt es weiter: „Die Verarbeitung personenbezogener Daten könnte auch für berechtigte Interessen erforderlich sein, die von wesentlichen und wichtigen Einrichtungen sowie von Anbietern von Sicherheitstechnologien und -diensten, die im Namen dieser Einrichtungen handeln, gemäß Artikel 6 Absatz 1 Buchstabe f der Verordnung (EU) 2016/679 [Anm.: DS-GVO] wahrgenommen werden […]“.

Für die zur Umsetzung der Maßnahmen nach der NIS-2-RL verpflichteten Unternehmen bedeutet dies, dass zwischen der Rechtsgrundlage Art. 6 Abs. 1 UAbs. 1 lit. c), Abs. 3 DS-GVO i.V.m. mit der Pflicht zur Umsetzung der entsprechenden Maßnahme oder Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO unterschieden werden muss. In der Praxis bedeutet dies eine Differenzierung zwischen dem Verhältnismäßigkeitsgrundsatz und Bestimmtheitserfordernis des Art. 6 Abs. 1 UAbs. 1 lit. c) DS-GVO und der Interessenabwägung nach Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO und dem damit einhergehenden Widerspruchsrecht. Für öffentliche verantwortliche Stellen lohnt sich zudem ein Blick Art. 6 Abs. 1 UAbs. 2 DS-GVO.

Zudem sind die Vorgaben im Rahmen der datenschutzrechtlichen Rechenschaftspflicht, zum Beispiel Erfüllung der Informationspflichten nach Art. 13 und 14 DS-GVO oder Führung des Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO, zu berücksichtigen.  

Verpflichtung trotz nichtumsetzung?

Mit einer spannenden Anschlussfrage zu diesem Thema setzt sich Dr. Jens Eckhardt in der Podcast-Folge „NIS-2: Erfüllung einer Rechtspflicht ohne Rechtspflicht“ bei Otto Schmidt live – der Podcast auseinander: Dürfen die Datenverarbeitungen wie oben beschrieben trotz Nichtumsetzung der NIS-2-RL überhaupt verarbeitet werden? Reinhören lohnt sich.

Fazit

Trotz aktueller Nichtumsetzung der NIS-2-RL in nationales Recht durch die Bundesrepublik Deutschland sind verantwortliche Stelle gut beraten, sich mit den Anforderungen und deren Umsetzung auseinanderzusetzen – denn: Aufgeschoben ist nicht aufgehoben. Hierbei müssen zwingend die datenschutzrechtlichen Implikationen berücksichtigt werden. Wer noch mehr über das Thema erfahren will, hat die Möglichkeit das Aufeinandertreffen von Sicherheitsbedürfnis und Datenschutz in meinem Werk „Verarbeitung personenbezogener Daten zum Schutz gegen Cyber-Angriffe“ erschienen im Oldenburger Verlag für Wirtschaft, Informatik und Recht nachzulesen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

E-Mail-Kommunikation ist im heutigen Geschäftsverkehr nach wie vor nicht wegzudenken. Je nach Anwendungsfall kann sich hieraus auch mal eben ein ganz heißes Thema entwickeln. Das betrifft insbesondere Fragen rund um die E-Mail-Sicherheit; ganz speziell die (Ende-zu-Ende-)Verschlüsselung des E-Mail-Versandes erhitzt nach wie vor regelmäßig die Gemüter. Es liegt bereits etwas zurück, aber wir haben in der Vergangenheit schon über das Thema E-Mail-Kommunikation und mögliche Pflichten zur Nutzung von Verschlüsselungstechnologien berichtet. Konkret adressierte unserer Beitrag die E-Mail-Verschlüsselung bei Berufsgeheimnisträgern. Sofern man sich etwas vertiefter mit der Thematik auseinandersetzt, wird man sehr schnell merken, dass dies kein ganz einfaches Thema ist, vielmehr kann man sich durchaus gut die Finger daran verbrennen.

Nunmehr ist die Feuer neu entfacht wurden. „Schuld“ ist das Urteil des Oberlandesgericht (OLG) Schleswig-Holstein vom 18. Dezember 2024 (Az.: 12 U 9/24). Auf die Entscheidung und mögliche Auswirkungen für die Praxis soll sich der nachfolgende Beitrag fokussieren.

Worum geht es in dem Urteil?

Dem Urteil lag folgender Sachverhalt zu Grunde: Ein Unternehmen versendete eine Schlussrechnung über 15.000 Euro per einfacher E-Mail an einen Geschäftspartner. Die betroffene E-Mail wurde jedoch abgefangen und manipuliert. Es wurde dabei unter anderem die Bankverbindung verändert. Der Empfänger bemerkte die Manipulation nicht und überwies den Betrag auf das falsche Konto. Das Unternehmen fordertet im weiteren Fortgang erneute Überweisung der Rechnungssumme. Der Geschäftspartner und Auftraggeber verweigerte die Zahlung mit der Begründung, dass die Rechnung unzureichend geschützt versandt worden sei. Im konkreten Fall wies der E-Mail-Versand lediglich eine Sicherung mittels der sogenannten Transportverschlüsselung (TLS-Verschlüsselung) auf. Das Unternehmen – aus der Baubranche – erhob hieraufhin Klage auf Zahlung des offenen Rechnungsbetrages.

Welche Anforderungen gelten nun für Verantwortliche?

Das OLG entschied in der Sache, dass die Sicherheitsmaßnahmen (hier: Transportverschlüsselung) nicht für den konkreten Fall der E-Mail-Kommunikation angemessen und ausreichend gewesen sei. Vielmehr habe das Unternehmen versäumt die erforderliche Ende-zu-Ende-Verschlüsselung einzurichten:

„Vielmehr hat der Verantwortliche die Möglichkeit, aber auch die Verpflichtung, nach dem in Art. 5 Abs. 2 DSGVO formulierten und in Art. 24 DSGVO konkretisierten Grundsatz seiner Rechenschaftspflicht darzulegen und zu beweisen, dass die von ihm getroffenen Sicherheitsmaßnahmen geeignet waren, um die personenbezogenen Daten entsprechend dem von der Datenschutzgrundverordnung verlangten Sicherheitsniveau vor dem Zugriff Unbefugter zu schützen […] Das ist der Klägerin vorliegend nicht gelungen, da der Senat die Transportverschlüsselung, die sie beim Versand der streitgegenständlichen Email – von der Beklagten bestritten – verwendet haben will (in Form von SMTP über TLS), nicht für ausreichend und damit auch nicht für „geeignet“ im Sinne der Datenschutzgrundverordnung hält.“

Mit Blick auf das Datenschutzrecht ergeben sich insbesondere aus Art. 24 und Art. 32 DS-GVO entsprechende Sicherheitsanforderungen. Insbesondere Art. 32 Abs. 1 lit. a) DS-GVO fordert:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten […].“

Das Gesetz bekennt sich also relativ klar zur Verschlüsselung als technische Maßnahme. Eine bestimmte Verschlüsselungstechnologie wird offenkundig jedoch nicht gefordert. Das OLG konstatiert, dass Unternehmen bei dem Versand von Rechnungen oder aber anderen sensiblen Daten ein angemessenes Sicherheitsniveau gewährleisten müssen:

„Die DSGVO verlangt von Unternehmen, sensible Daten gegen Datenschutzverletzungen zu sichern. Sensible Daten sind z. B. personenbezogene Daten, die übertragen, gespeichert oder anderweitig verarbeitet werden.“ Außerdem: „Nach Ansicht des Senats ist danach eine Transportverschlüsselung beim Versand von geschäftlichen Emails mit personenbezogenen Daten zwischen Unternehmer und Kunden jedenfalls bei dem hier bestehenden hohen finanziellen Risiko durch Verfälschung der angehängten Rechnung der Klägerin für den Kunden nicht ausreichend und kann keinen „geeigneten“ Schutz im Sinne der DSGVO darstellen. Vielmehr ist die End-to-End-Verschlüsselung zurzeit das Mittel der Wahl.“

Diese Entscheidung zu einer konkreten technischen Maßnahme überrascht, ist jedoch zu begrüßen. Gleichwohl darf die Entscheidung nicht direkt als Blaupause für sämtliche E-Mail-Kommunikation dienen. Fordern doch die gesetzlichen Vorgaben selten konkrete technische und organisatorische Maßnahmen.Im Ergebnis kommt das OLG zu dem Ergebnis, dass ein Schadenersatzanspruch aus Art. 82 DS-GVO begründet ist. Zu dem Schadenersatzanspruch nach der Datenschutz-Grundverordnung haben wir bereits hier, hier sowie hier und hier berichtet.

Fazit

Für die Praxis lässt sich jedenfalls ableiten, dass Verantwortliche gut beraten sind, die Vorgaben zu IT-Sicherheit respektive zur Datensicherheit nicht nur ernst zu nehmen, sondern die bereits lange fällige Umsetzung anzugehen. Dies gilt nicht wenige mit dem Blick auf die kommenden Anforderungen im Bereich des IT-Sicherheitsrechtes. Denn sollte die Umsetzung der NIS-2-Richtlinie in Deutschland durch die Neuwahlen des Bundestages vorerst zum Halten gekommen sein, so ist aufgeschoben bekanntlich nicht aufgehoben.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Der Bundesgerichtshof (BGH) hat am 18. November 2024 (VI ZR 10/24) über Ansprüche von betroffenen Personen im Zusammenhang mit sogenanntem „scraping“ (deutsch: „abschürfen“) entschieden. Nachdem im Rahmen von unterinstanzlichen Urteilen die Schadensersatzansprüche in der Regel verneint wurden, hat der BGH im Wege eines Leitentscheidungsverfahrens hiervon abweichend geurteilt. Die höchstrichterliche Entscheidung hat nun Einfluss auf unzählig ähnlich gelagerte Klagen, die derzeit an Landes- und Oberlandesgerichten in Deutschland anhängig sind. Auch wenn im konkreten Fall lediglich ein Schadensersatz in Höhe von 100 Euro als angemessen angesehen wurde, sollten die Auswirkungen dieser Entscheidung für die Praxis nicht unterschätzt werden.

Zum Sachverhalt

Hintergrund der unzähligen Klagen sind Vorfälle aus den Jahren 2018 und 2019, im Rahmen derer Unbekannte eine beträchtliche Anzahl nicht-veröffentlichter personenbezogener Daten – darunter zum Beispiel Telefonnummern – von rund 533 Millionen Facebook-Nutzenden aus 106 Ländern abgriffen und anschließend verknüpft mit abrufbaren Profilinformationen im April 2021 im sogenannten Darknet weltweit veröffentlichten. Hiervon betroffene Personen machten infolgedessen gegenüber dem Facebook-Betreiber Meta verschiedenste Ansprüche geltend. Meta habe in mehrfacher Hinsicht gegen die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) verstoßen, insbesondere aufgrund einer unzureichenden Gewährleistung der Sicherheit der Verarbeitung personenbezogener Daten unter Berücksichtigung des aktuellen Stands der Technik und unzureichender Voreinstellungen. Dies habe dazu geführt, dass den Unbekannten das Scraping der personenbezogenen Daten erheblich erleichtert wurde.

Im konkreten Fall hatte zwar zunächst das Landgericht Bonn (LG Bonn, Urt. v. 29.3.2023, Az. 13 O 125/22) dem Kläger 250 Euro Schadensersatz zugesprochen, die Klage im Übrigen jedoch abgewiesen, woraufhin im Rahmen des Berufungsverfahrens das Oberlandesgericht Köln (OLG Köln, Urt. v. 7.12.2023, Az. 15 U 67/23) die Klage insgesamt abwies. Nach Ansicht des OLG Köln reiche weder der bloße Kontrollverlust zur Annahme eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DS-GVO aus, noch habe der Kläger im Rahmen des Verfahrens substantiiert darlegen können, aufgrund des Kontrollverlustes über seine personenbezogenen Daten psychisch beeinträchtigt worden zu sein. Mit Beschluss vom 31. Oktober 2024 bestimmte der BGH das zugrundeliegende Verfahren zum Leitentscheidungsverfahren gemäß § 552b ZPO (Zivilprozessordnung).

Zur Entscheidung

Nach Ansicht des BGH lässt sich der Anspruch des Klägers auf Ersatz eines immateriellen Schadens mit der Begründung des OLG Köln nicht verneinen. Nach der maßgeblichen Rechtsprechung des Europäischen Gerichtshofes (EuGH) zu Art. 82 Abs. 1 DS-GVO, kann bereits ein kurzzeitiger Verlust der Kontrolle über die eigenen personenbezogenen Daten infolge eines Verstoßes gegen die Anforderungen der DS-GVO einen immateriellen Schadensersatz begründen (vgl. zuletzt EuGH, Urt. v. 4.10.2024, Rs. C-200/23). Es bedarf demnach weder einer konkreten missbräuchlichen Verwendung der personenbezogenen Daten zum Nachteil der betroffenen Person noch sonstiger zusätzlicher spürbar negativer Folgen. Begründete Befürchtungen oder Ängste vor einem Missbrauch der personenbezogenen Daten können ebenfalls Gründe für die Annahme eines immateriellen Schadens sein, sind jedoch keine zwingenden Voraussetzungen dafür.

Auch den Anträgen des Klägers auf Feststellung einer Ersatzpflicht für etwaige zukünftige Schäden, die aus dem ursprünglichen Verstoß resultieren können und Unterlassung der Verwendung der Telefonnummer ohne entsprechende Einwilligung wurden stattgegeben. Für den konkreten Fall könnte somit eine Haftung Metas für Schäden, die aufgrund der Veröffentlichung personenbezogener Daten im Darknet gegebenenfalls erst in Zukunft eintreten, bestehen. Derartige Schäden könnten beispielsweise aus der Übermittlung von Phishing-E-Mails oder weiteren kriminellen Aktivitäten wie Identitätsdiebstahl resultieren.

Der BGH hat nun zur neuen Verhandlung und Entscheidung an das OLG Köln zurückverwiesen. Das Berufungsgericht muss nun also noch einmal im Detail prüfen, inwiefern Datenschutzverstöße vorliegen und hierin tatsächlich ein Schadensersatzanspruch sowie eine mögliche Haftung begründet sein kann. In diesem Zusammenhang erteilte der BGH Hinweise zur Bemessung des immateriellen Schadens und führte aus, dass keine Bedenken dagegen bestünden, die Höhe des Schadensersatzes in einer Größenordnung von 100 Euro zu bemessen. Die hierbei angesetzte Höhe des Schadensersatzes scheint zwar zunächst gering, ausgehend von mehreren zehntausenden oder gar hunderttausenden Betroffenen allein in Deutschland, können jedoch insgesamt Schadensersatzforderungen in mehrstelliger Millionenhöhe auflaufen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Bereits im vergangenen Jahr haben wir im Rahmen eines Blog-Beitrags überblicksartig die grundsätzlichen datenschutzrechtlichen Anforderungen im Zusammenhang mit künstlicher Intelligenz (KI) beleuchtet. Seither hat sich einiges getan: Neben dem Inkrafttreten der KI-Verordnung zum 1. August 2024 haben sich mittlerweile auch einige Datenschutz-Aufsichtsbehörden der Thematik angenommen und einschlägige Dokumente sowie Checklisten veröffentlicht. Dieser Beitrag gibt einen Überblick über die zunehmende Anzahl relevanter Regelungen und Empfehlungen.

KI-Verordnung in Kraft

Am 1. August 2024 ist die weltweit erste umfassende Verordnung über KI in Kraft getreten. Ziel dieser ist insbesondere die Gewährleistung eines Einsatzes vertrauenswürdiger und die Grundrechte der Menschen wahrenden KI. Bei der sogenannten KI-Verordnung (KI-VO, engl. AI Act) handelt es sich damit um keine Verordnung datenschutzrechtlichen Ursprungs, sondern um eine Regulation aus Sicht des Produktsicherheitsrechts. Gemäß Art. 2 Abs. 7 KI-VO gelten die Regelungen der KI-VO neben denen der Datenschutz-Grundverordnung, das heißt ergänzend zu dieser.

Die spezifischen Anforderungen der Verordnung werden gemäß Art. 113 KI-VO in Abstufungen anwendbar:

• Anwendbarkeit ab dem 2. Februar 2025: Regelungen zum Gegenstand und Anwendungsbereich sowie zu den Begriffsbestimmungen der KI-VO und zu den verbotenen Praktiken im Bereich der künstlichen Intelligenz. Darüber hinaus werden Anbieter und Betreiber von KI-Systemen gemäß Art. 4 KI-VO zur Gewährleistung von KI-Kompetenz verpflichtet.

• Anwendbarkeit ab dem 2. August 2025: Regelungen bezüglich zuständiger Behörden sowie für KI-Modelle mit allgemeinem Verwendungszweck (z.B. Large Language Models [LLM]). Weiterhin werden ab diesem Zeitpunkt die ersten Sanktionsregelungen wirksam.

• Anwendbarkeit ab dem 2. August 2026: Ab diesem Zeitpunkt werden grundsätzlich alle Anforderungen der KI-VO anwendbar, welche nicht ausdrücklich für einen anderen Zeitpunkt vorgesehen sind. Ab August 2026 greifen beispielswiese die Pflichten für Betreiber von Hochrisiko-KI, unter anderem in Form von Transparenz- und Berichtspflichten.

• Anwendbarkeit ab dem 2. August 2027: Regelung zur Einstufung bestimmter Hochrisiko-KI entsprechend des Art. 6 Abs. 1 KI-VO sowie der hieraus resultierenden Verpflichtungen.

Unter Berücksichtigung der vielfältigen Anforderungen an Anbieter und Betreiber von KI-Systemen, sollten sich diese möglichst frühzeitig mit den entsprechenden Normen und Pflichten auseinandersetzen.

Positionierung datenschutzrechtlicher Aufsichtsbehörden

Um Anbietern und Betreibern von KI-Systemen im datenschutzrechtlichen Kontext Unterstützung bieten zu können, haben zwischenzeitlich eine Reihe datenschutzrechtlicher Aufsichtsbehörden unterschiedlichste Arbeits- und Diskussionspapiere veröffentlicht:

• Bereits im August 2022 stellte die französische Datenschutz-Aufsichtsbehörde CNIL ein „self-assessment guide for artificial intelligence“ bestehend aus unterschiedlichen Fact Sheets zur datenschutzkonformen Einführung und Nutzung von KI-Systemen zur Verfügung. Gegenstand dieser sind insbesondere die Gewährleistung des Datenschutzes in der Phase des Trainings von KI-Systemen, die Gewährleistung der Sicherheit der Verarbeitung sowie die Umsetzung von Betroffenenrechten.

• Am 7. November 2023 wurde ein Diskussionspapier zu Rechtsgrundlagen im Datenschutz bei Einsatz von künstlicher Intelligenz durch den Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg veröffentlicht. Bis zum 1. Februar 2024 konnten Interessierte das Diskussionspapier kommentieren und mitdiskutieren.

• Kurz darauf folgte am 13. November 2023 eine Checkliste des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zum Einsatz LLM-basierter Chatbots. Die Checkliste sieht beispielsweise die Etablierung verbindlicher Compliance-Regelungen sowie die Vermeidung der Ein- und Ausgabe personenbezogener Daten vor.

• Zu Beginn dieses Jahres stellte dann das Bayerische Landesamt für Datenschutzaufsicht am 24. Januar 2024 das Dokument „Datenschutzkonforme künstliche Intelligenz: Checkliste mit Prüfkriterien nach DS-GVO“ zur Verfügung. Enthalten ist darin beispielsweise auch eine explizite Empfehlung zur Bewertung von Risiken bei einem Einsatz von KI-Systemen.

• Am 6. Mai 2024 erblickte die viel diskutierte Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) mit dem Titel „Künstliche Intelligenz und Datenschutz“ das Licht der Welt. Die Orientierungshilfe greift einige Punkte der Checkliste der Hamburger Aufsichtsbehörde auf, legt jedoch einen besonderen Schwerpunkt auf die Ein- und Ausgabe von personenbezogenen Daten einschließlich solcher im Sinne des Art. 9 Abs. 1 DS-GVO.

• Am 2. Juli 2024 veröffentlichte die französische Aufsichtsbehörde CNIL aktualisierte datenschutzrechtliche Anleitungen für die Entwicklung von KI-Systemen. Die zur Verfügung gestellten How-to Sheets bilden einen aktuellen Diskussionsstand ab und sind bis einschließlich 1. September 2024 Gegenstand einer öffentlichen Konsultation.

• Eine weitere Veröffentlichung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit erfolgt am 15. Juli 2024 mit dem Diskussionspapier: Large Language Models und personenbezogene Daten. Insbesondere die These, dass die bloße Speicherung eines Large Language Models keine Verarbeitung im Sinne des Art. 4 Nr. 2 DS-GVO darstelle, wird in Fachkreisen kontrovers diskutiert.

• Weiterhin ist in Kürze mit einer weiteren Veröffentlichung des Bayerischen Landesamt für Datenschutzaufsicht zu rechnen: Auf der Internetseite kündigt die Aufsichtsbehörde eine Handreichung zum Thema KI und Datenschutz-Folgenabschätzung an.

Sichere Nutzung von KI gewährleisten

Darüber hinaus gibt es natürlich eine Reihe weiterer nützlicher Veröffentlichungen, die an dieser Stelle nicht abschließend aufgelistet werden können. Neben den oft diskutierten Anforderungen in Bezug auf die Rechtmäßigkeit der Verarbeitung personenbezogener Daten, der Umsetzung von Transparenzpflichten (Transparenz von KI-Systemen, Bundesamt für Sicherheit in der Informationstechnik) sowie der Gewährleistung von Betroffenenrechten sollte jedoch auch die Sicherheit der Verarbeitung (Art. 32 DS-GVO) vermehrt in den Fokus genommen werden.

In diesem Kontext kann beispielweise auf die Veröffentlichung OWASP Top 10 for LLM Applications vom 16. Oktober 2023 verwiesen werden. Das 35-seitige Dokument beschreibt im Kontext von Large Language Models hochkritische Sicherheitsprobleme und richtet sich dabei insbesondere an Entwickler, Datenwissenschaftler und Sicherheitsexperten.

Sämtlichen Veröffentlichungen ist gemein, dass Datenschutz und KI sich nicht widersprechen müssen, es allerdings eine Vielzahl unterschiedlichster Anforderungen zu berücksichtigen gilt. Dementsprechend sollten Anbieter und Betreiber von KI-Systemen den Datenschutzbeauftragten möglichst früh in Entwicklungs- und Implementierungsprozesse einbinden sowie bis Februar 2025 eine entsprechende KI-Kompetenz sicherstellen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

WAS ENTHÄLT DER VERMERK DES HMBBFDI?

Zunächst wird in einigen grundsätzlichen Erwägungen der Sinn und Zweck bzw. die Systematik von Art. 32 DS-GVO (in Verbindung mit Erwägungsgrund 83 DS-GVO) dargestellt. Hiernach haben grundsätzlich Verantwortliche bzw. Auftragsverarbeiter zu prüfen, welche Risiken sich aus den jeweiligen Datenverarbeitungen ergeben. Konkrete Maßnahmen sind in Anlehnung an anerkannte Sicherheitsmaßnahmenkataloge wie dem BSI-Grundschutz, der ISO 27001 oder dem Standard-Datenschutzmodell zu prüfen.

Anschließend wird die Frage aufgeworfen, ob betroffene Personen in ein niedrigeres Schutzniveau, als rechtlich geboten ist, einwilligen können:

Hierfür betrachtet die Aufsichtsbehörde zunächst die Frage, ob es sich bei Art. 32 DS-GVO um dispositives Recht handelt oder ob Gründe des Systemdatenschutzes entgegenstehen. Im Ergebnis kommt der HmbBfDI zu dem Ergebnis, dass es eine erhebliche Beschränkung der betroffenen Person bedeuten würde, wenn eine Verarbeitung ihrer personenbezogenen Daten, die sie ausdrücklich wünscht, mit Verweis auf den Systemdatenschutz nicht durchgeführt werden kann. Auf den ersten Blick scheinen die Ausführungen des HmbBfDI zu verwundern, ließen die Ausführungen in einem Schreiben der Aufsichtsbehörde vom 08.01.2018 die gegenläufige Rechtsauffassung vermuten. Zutreffend sei nach den Ausführungen im Vermerk aber zwischen den einzelnen Beteiligten zu differenzieren. So enthält der Art. 32 DS-GVO Pflichten für den Verantwortlichen oder Auftragsverarbeiter, die zwar einen Beurteilungsspielraum zulassen, im Kern allerdings zwingend sind und nicht zur Disposition des Verantwortlichen oder Auftragsverarbeiters stehen. Etwas anderes gilt in Bezug auf die betroffene Person, da die DS-GVO ausweislich des Art. 1 Abs. 2 DS-GVO „die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“ zu ihrem Regelungsgegenstand erklärt.  Dieses steht zur Disposition des Grundrechtsträgers, also der betroffenen Person. Die Einwilligung ist demnach in alle Formen der Verarbeitung personenbezogener Daten der betroffenen Person möglich, auch wenn diese möglicherweise von Außenstehenden als für die betroffene Person schädlich wahrgenommen werden. Die Vorgaben des Art. 32 DS-GVO stehen daher nach dem HmbBfDI zur Disposition der betroffenen Person. Für den Verantwortlichen oder Auftragsverarbeiter enthalten sie dagegen verbindliche Regeln.

Voraussetzung für die obenstehende Vorgehensweise ist jedoch zum einen, dass der Verantwortliche oder Auftragsverarbeiter seiner Pflicht zur Schaffung der nach Art. 32 DS-GVO erforderlichen Standards der Datensicherheit nachkommt. Dies begründet sich dadurch, dass eine freie Entscheidung über den Verzicht der Einhaltung der Vorgaben des Art. 32 DS-GVO durch die betroffene Person nur dann getroffen werden kann, wenn die erforderlichen technischen und organisatorischen Maßnahmen durch den Verantwortlichen oder Auftragsverarbeiter zumindest vorgehalten werden. Zum anderen muss die Einwilligung den Anforderungen des Art. 7 DS-GVO (analog) genügen. Diese Voraussetzungen ergeben sich aus den unterschiedlichen Regelungswirkungen, die Art. 32 DS-GVO gegenüber dem Verantwortlichen oder dem Auftragsverarbeiter und der betroffenen Person entfaltet.

WAS SAGEN ANDERE DATENSCHUTZ-AUFSICHTSBEHÖRDEN?

Der Sächsische Datenschutzbeauftragte führt in seinem Tätigkeitsbericht für den Berichtszeitraum 1. Januar 2019 bis 31. Dezember 2019 hinsichtlich der E-Mail-Nutzung durch Steuerberater u.a. wie folgt aus:

„Unter besonderer Berücksichtigung […] der Vorgaben zum Schutz personenbezogener Daten gemäß Artikel 25 und des Artikel 32 Absatz 1 Buchstabe a) DSGVO, wonach die dort ausdrücklich genannte Verschlüsselung eine adäquate Maßnahme zur Gewährleistung der Sicherheit der Verarbeitung darstellt […] kommt damit für Steuerberater grundsätzlich nur eine verschlüsselte E-Mail-Kommunikation in Betracht.“

Weiter heißt es:

„Etwas anderes gilt nur dann, wenn das Steuerbüro seine Mandanten auf die besondere Schutzbedürftigkeit der per E-Mail zu versendenden Daten sowie die speziellen Risiken eines unverschlüsselten E-Mail-Versands hingewiesen hat, diesbezüglich sichere Kommunikationswege (z. B. Verschlüsselung, Postversand) grundsätzlich alternativ anbietet, und sich der Mandant vor diesem Hintergrund bewusst für einen unverschlüsselten E-Mail-Versand entscheidet, d. h. hierfür seine Einwilligung (Artikel 7 DSGVO) erteilt, wobei die diesbezügliche Beweislast beim Steuerberater als dem Versender liegt. Darüber hinaus dürfen solche unverschlüsselt versandten E-Mails keine personenbezogenen Daten Dritter enthalten.“

Ebenfalls in diese Richtung äußert sich der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. Demnach ist ein Unterschreiten der Sicherheitsanforderungen bei der E-Mail-Kommunikation datenschutzrechtlich hinnehmbar, sofern eine freiwillige und informierte Einwilligung der betroffenen Person vorliegt. Als Maßstab für die Einwilligung ist auf Art. 7 DS-GVO abzustellen. Der Berufsgeheimnisträger muss gleichfalls jedoch eine verschlüsselte E-Mail-Kommunikation angeboten haben. Weiter muss der Berufsgeheimnisträger nachweisen, dass die betroffene Person in Kenntnis aller Risiken durch entsprechende Aufklärung sein Einverständnis erteilt hat, unverschlüsselt zu kommunizieren. Von einer informierten Einwilligung ist nicht auszugehen, wenn die betroffene Person, etwa ein Mandant, die unverschlüsselte E-Mail-Kommunikation beginnt. Dies gilt auch für den Fall, dass auf der Homepage des Berufsgeheimnisträgers ein „pauschaler“ Hinweis über die Unsicherheit der unverschlüsselten E-Mail-Kommunikation gegeben wird. Ausgeschlossen wird zudem die Erteilung der Einwilligung in den Fällen, in denen über personenbezogene Daten Dritter kommuniziert wird.

GIBT ES RECHTSPRECHUNG ZU DER THEMATIK?

Ursprünglich hatte sich das VG Berlin in einem Urteil vom 24.05.2011 (Az.: 1 K 133.10) dahingehend geäußert, dass es eine entsprechende Abdingbarkeit technische und organisatorische Maßnahmen anzunehmen sei. Andernfalls ergäbe sich eine Unvereinbarkeit mit dem Recht auf informationelle Selbstbestimmung. Das VG Mainz entschied im letzten Jahr in seinem Urteil vom 17.12.2020 (Az.: 1 K 778/19.MZ) zwar über die Art der Verschlüsselung, hat die Frage der Abdingbarkeit aber offengelassen.

FAZIT

Aus den bisherigen Äußerungen der einzelnen Aufsichtsbehörden geht hervor, dass diese nunmehr grundsätzlichen Möglichkeit des Betroffenen zur Erteilung einer Einwilligung in ein niedrigeres Schutzniveau annehmen, dies aber zugleich an entsprechende Voraussetzungen knüpfen. Unstreitig wird die Einwilligung den Anforderungen des Art. 7 (analog), Art. 4 Nr. 11 DS-GVO entsprechend müssen. Außerdem muss der Berufsgeheimnisträger ausreichend technische und organisatorische Maßnahmen vorhalten, m.a.W. eine verschlüsselte Kommunikation muss vor Erteilung der Einwilligung zumindest angeboten worden sein. Hier wird die Überlegung zu führen sein, dass sich das Angebot zur verschlüsselten Kommunikation nicht ausschließlich auf die E-Mail-Kommunikation beziehen muss. Unter Berufsgeheimnisträgern sind mittlerweile neben diversen E-Mail-Verschlüsselungslösungen ebenfalls Angebote zu Gateway-Lösungen oder Webportalen weit verbreitet. Es wird in der Praxis nicht ausreichend sein, dem Mandanten eine Einwilligung zur unverschlüsselten E-Mail-Kommunikation anzuringen, wenn tatsächlich schon keine Möglichkeit zur Einrichtung einer verschlüsselten Kommunikation besteht.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

BESTEHT EINE (DATENSCHUTZRECHTLICHE) VERSCHLÜSSELUNGSPFLICHT?

Art. 32 DS-GVO führt diesbezüglich aus, dass für die Datenverarbeitung Verantwortliche geeignete technische und organisatorische Maßnahmen zu ergreifen haben, um ein dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenes Schutzniveau zu gewährleisten. Nach Art. 5 Abs. 1 lit. f) DS-GVO müssen Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet.  Dies umfasst u.a. den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen.

WELCHE INTENSITÄT MUSS DIE VERSCHLÜSSELUNG AUFWEISEN?

Man unterscheidet bei der Verschlüsselung von E-Mails grundsätzlich zwei Wege: Die Transport- und die Inhaltsverschlüsselung.

– Transportverschlüsselung: Die E-Mail-Nachrichten werden durch einen verschlüsselten Tunnel geschickt. Jedoch liegen die E-Mails nicht nur bei Absender und Empfänger im Klartext vor, sondern auch auf dazwischenliegenden Knoten. Nachrichten können also mitgelesen werden.

– Inhaltsverschlüsselung: Hierbei wird der E-Mail-Inhalt verschlüsselt. Jedoch bleiben die sogenannten Metadaten (Absender, Betreff der Nachricht, Empfänger usw.) unverschlüsselt und damit lesbar.

Sowohl Ende-zu-Ende-Verschlüsselung als auch Transportverschlüsselung mindern für ihren jeweiligen Anwendungszweck Risiken für die Vertraulichkeit der übertragenen Nachrichten. Der Einsatz von Transportverschlüsselung bietet einen Basis-Schutz und stellt eine Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen dar. In Verarbeitungssituationen mit normalen Risiken wird dabei bereits durch die Transportverschlüsselung eine ausreichende Risikominderung erreicht.[1] TLS („Transport Layer Security“) ist das Standardprotokoll für die Transportverschlüsselung und wird von den namenhaften europäischen Providern standardmäßig angeboten.

Einen deutlich weitergehenden Schutz der Vertraulichkeit der Inhaltsdaten erreichen Sie durch eine Ende-zu-Ende-Verschlüsselung, wofür derzeit die Internet-Standards S/MIME (RFC 5751) und OpenPGP (RFC4880) i.d.R. in Verbindung mit PGP/MIME (RFC 3156) zur Verfügung stehen. Technologien wie S/MIME oder PGP fehlt es nach wie vor am fehlenden Vernetzungseffekt.

Eine Lösung in der Breite kann vermutlich die sog. qualifizierte Transportverschlüsselung darstellen. E-Mails werden nach der vollautomatischen Verifizierung des Empfänger-Servers über eine sichere TLS-Verschlüsselung übertragen. Hierbei wird zunächst die IP-Adresse eines Empfänger-Systems fälschungssicher abgerufen. Anschließend erfolgt eine TLS-Zertifikatsprüfung des Servers und schließlich wird eine verschlüsselte Übertragung nur dann vorgenommen, wenn die vom BSI erlaubten Algorithmen, Chiffren und Schlüssellängen verwendet werden. In vielen Fällen ist die qualifizierte Transportverschlüsselung durch eine Erweiterung des E-Mail-Systems durch ein sog. Add-on möglich.

Grundsätzlich sollten E-Mails mit personenbezogenen Daten, sofern diese nicht pseudonymisiert werden, mindestens mit einer „Transportverschlüsselung“ versendet werden. Es ist jedoch zu berücksichtigen, dass bei einer Transportverschlüsselung die E-Mails auf den E-Mail-Servern im Klartext vorliegen und grundsätzlich einsehbar sind. Bei besonders schützenswerten Daten (z.B. Kontobewegungsdaten, Finanzierungsdaten, Daten zum Gesundheitszustand, Mandantendaten von Rechtsanwälten und Steuerberatern, Beschäftigtendaten) ist eine alleinige Transportverschlüsselung möglicherweise nicht ausreichend. Bei besonders sensiblen Daten sollte daher eine Inhaltsverschlüsselung das Mittel der Wahl darstellen. Sollte dies nicht gewährleistet werden können, sind ggf. alternative Übertragungswege denkbar.[2]

Entsprechende Alternativen können serverseitige Verschlüsselungslösungen, sog. E-Mail-Gateways, darstellen. Bei einem Secure E-Mail-Gateway laufen im Gegensatz zur Ende-zu-Ende-Verschlüsselung sämtliche kryptografischen Vorgänge, etwa das Verschlüsseln und Signieren von Inhalten, über ein dediziertes E-Mail-Gateway. Das Gateway wird an zentraler Stelle des Unternehmensnetzwerks implementiert und wahlweise als Aufsatz für einen bereits vorhandenen E-Mail-Server oder als eigenständiger Server eingesetzt. Weitere Alternativen können der elektronische Austausch über eine gesicherte Verbindung (Web-Portal des Verantwortlichen mit Zugangsbeschränkungen) oder die klassische postalische Zusendung darstellen.

WORAUF MUSS NOCH GEACHTET WERDEN?

Weitere relevante Kriterien sind zum einen Schnittstellen zu weiterer Sicherheitssoftware (bspw. Virenscanner, Firewall) sowie die E-Mail-Archivierung. Um die E-Mails gesetzeskonform identifizieren zu können, sollte das Archivsystem auf die E-Mail-Inhalte im Klartext zugreifen können.

IST EIN VERZICHT AUF DIE E-MAIL-VERSCHLÜSSELUNG MÖGLICH?

Ein Unterschreiten der genannten Sicherheitsanforderungen ist datenschutzrechtlich hinnehmbar, sofern eine freiwillige und informierte Einwilligung der betroffenen Person in eine unverschlüsselte E-Mail-Kommunikation vorliegt. Dies bedeutet unter anderem, dass der Berufsgeheimnisträger eine Verschlüsselung der E-Mail-Kommunikation angeboten haben muss.

Maßstab für die Anforderungen an eine derartige Einwilligung ist Art. 7 DS-GVO. Der Berufsgeheimnisträger hat hiernach nachzuweisen, dass die betroffene Person in Kenntnis aller Risiken durch entsprechende Aufklärung sein Einverständnis erteilt hat, unverschlüsselt zu kommunizieren. Zu Bedenken ist, dass eine solche Einwilligung der betroffenen Person, mit der ein direkter E-Mail-Kontakt besteht, allein nicht ausreichend ist, sofern auch personenbezogene Daten eines Dritten kommuniziert werden.

Von einer informierten Einwilligung ist nicht auszugehen, wenn die betroffene Person, etwa ein Mandant, die unverschlüsselte E-Mail-Kommunikation beginnt. Die Einholung einer pauschalen Einwilligung im Rahmen des der Rechtsbeziehung zugrundeliegenden allgemeinen Vertragswerkes (z.B. Mandatsvereinbarung, Behandlungsvertrag) dürfte problematisch sein, wenn diese mit der entsprechenden Aufklärung zusammen nicht besonders hervorgehoben ist.

FAZIT

In der Konsequenz müssen Verantwortliche i.S.d Art. 4 Nr. 7 DS-GVO – also auch Berufsgeheimnisträger unabhängig von ihrer Organisationsform – daher E-Mail-Kommunikation, die personenbezogene Daten enthält, dem Stand der Technik entsprechend datensicher organisieren, um sich keines Verstoßes gegen die genannten Normen vorwerfen lassen zu müssen.

[1] Orientierungshilfe der Datenschutzkonferenz zu „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail vom 13. Mai 2020.

[2] So die Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen und der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz in entsprechenden Pressemitteilungen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.