Gemäß Art. 38 Abs. 5 DS-GVO ist der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden. Doch was bedeutet das konkret? Unterliegt der Datenschutzbeauftragte demnach grundsätzlich einem Berufsgeheimnis? Welche Auswirkungen ergeben sich für die Praxis? Dies erläutern wir überblicksartig im nachfolgenden Beitrag.

Vertraulichkeit des Datenschutzbeauftragten

Die Regelung zur Vertraulichkeit des Datenschutzbeauftragten im Rahmen seiner Aufgaben gemäß Art. 38 Abs. 5 DS-GVO bemisst sich grundsätzlich nach dem Recht der Europäischen Union oder des jeweiligen Mitgliedsstaates. Insofern stellt die DS-GVO keine eigenen Vertraulichkeitsverpflichtungen auf, sondern verweist auf bereits bestehende unionsrechtliche und nationale Vorschriften. In Bezug auf den Datenschutzbeauftragten ergeben sich solche beispielsweise aus §§ 6 Abs. 5 Satz 2 und 38 Abs. 2 Bundesdatenschutzgesetz (BDSG).

Demnach bezieht sich die Vertraulichkeitsverpflichtung des Datenschutzbeauftragten auf die Identität von Betroffenen sowie über die näheren Umstände, die Rückschlüsse auf die Identität der Betroffenen zulassen. Diese Regelung steht demnach im unmittelbaren Zusammenhang mit Art. 38 Abs. 4 DS-GVO beziehungsweise § 6 Abs. 5 Satz 1 BDSG, wonach sich Betroffene zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung der Betroffenenrechte im Zusammenhang stehenden Fragen unmittelbar an den Datenschutzbeauftragten wenden können.

Die Regelung zielt damit beispielsweise auf den Schutz von Beschäftigten ab, die ohne eine entsprechende Vertraulichkeitsverpflichtung des Datenschutzbeauftragen womöglich ihren Arbeitsplatz betreffende Nachteile befürchten und somit von einer Kontaktaufnahme mit dem Datenschutzbeauftragten absehen könnten. Die Möglichkeit zur vertraulichen Kontaktaufnahme steht somit auch im Interesse des Verantwortlichen. Schließlich ermöglicht es Betroffenen beispielsweise die Eingabe von Missständen oder die Klärung von Rückfragen direkt gegenüber einer internen Stelle und zahlt entsprechend auf die Pflicht zur effektiven Überwachung und Einhaltung der datenschutzrechtlichen Anforderungen ein. Bestünde für Betroffene eine solche vertrauliche Anlaufstelle nicht, würden diese vermutlich vermehrt die vertrauliche Kontaktaufnahme bei der zuständigen Datenschutz-Aufsichtsbehörde in Anspruch nehmen.

Datenschutzbeauftragte und Berufsgeheimnisträger

Trotz der bestehenden Vertraulichkeitsverpflichtung ist der Datenschutzbeauftragte jedoch grundsätzlich selbst kein Berufsgeheimnisträger im Sinne des § 203 Strafgesetzbuch (StGB). Sofern der Datenschutzbeauftragte allerdings für eine der in § 203 Abs. 1, 2 StGB genannten Personen (z. B. Arzt, Apotheker, Rechtsanwalt, Notar, Sozialarbeiter) tätig ist, kann die Offenbarung von Geheimnissen, die sich aus dieser Tätigkeit ergeben haben, mit einer Freiheitsstrafe bis zu einem Jahr oder mit einer Geldstrafe bestraft werden. Dies ergibt sich aus § 203 Abs. 4 StGB.

Auswirkungen für die Praxis

Unter Berücksichtigung des oben umrissenen Regelungsgegenstandes sollte in der Praxis dementsprechend darauf geachtet werden, dass Betroffene die Möglichkeit haben, den Datenschutzbeauftragten ohne Kenntnisnahme des Verantwortlichen zu kontaktieren. Erfolgt die Einrichtung eines gesonderten E-Mail-Postfaches (z. B. datenschutz@organisation,de), darf hierauf ausschließlich der Datenschutzbeauftragte Zugriff erhalten. Sofern ergänzende, breitgestreute Kommunikationswege bestehen sollen, beispielsweise unter Einbeziehung der Rechtsabteilung, der Datenschutzkoordination oder anderer vergleichbarer Stellen, ist auf den Empfängerkreis deutlich hinzuweisen. Derartige Kommunikationswege können jedoch immer nur in Ergänzung zum direkten Kontakt mit dem Datenschutzbeauftragten angeboten werden.

Weiterhin sollte seitens des Datenschutzbeauftragten im Rahmen von Sachverhaltsaufklärungen Fingerspitzengefühl bewahrt werden. Schließlich können auch Nachfragen zu bestimmten Prozessen oder Systemen gegenüber dem jeweiligen Verantwortlichen schnell einen Rückschluss zu betroffenen Personen zulassen, sofern sich diese gegenüber dem Verantwortlichen beispielsweise bereits offen skeptisch oder abwehrend verhalten haben. Im Zweifel sollte vor der Aufnahme von eigenen Sachverhaltsaufklärungen des Datenschutzbeauftragten ein Gespräch mit den Betroffenen geführt und diese auf die Risiken hingewiesen werden. Unter bestimmten Umständen empfiehlt sich auch eine nachweisliche Entbindung von der Verschwiegenheitsverpflichtung, welche sich beispielsweise an den Anforderungen des Art. 7 DS-GVO orientieren kann. In jedem Fall sollten die bestehenden Regelungen zur Verschwiegenheit ernstgenommen werden.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Braucht es über das Schwärzen von digitalen Dokumenten einen eigenen Blog-Beitrag? Die Erfahrung zeigt: Ja! Und auch die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) berichtet in einem Ende August veröffentlichten Beitrag aus ihrer Aufsichtspraxis, dass Unternehmen und Behörden bei einem Schwärzen von Dokumenten gelegentlich Fehler unterlaufen. Dabei kann ein fehlerhaftes Schwärzen nicht nur eine negative Außenwirkung erzeugen, sondern auch eine meldepflichtige Datenschutzverletzung gemäß Art. 33 Abs. 1 DS-GVO darstellen. Aus diesem Grund werden einige wichtige Aspekte hierbei im nachfolgenden Beitrag zusammengefasst.

Wann sollten Dokumente geschwärzt werden?

Ein Schwärzen einzelner Bestandteile von Dokumenten ist insbesondere dann sinnvoll, wenn zwar grundsätzlich ein Dokument an einen Empfänger übermittelt werden, dieser jedoch nicht alle darin enthaltenen personenbezogenen Daten oder sonstig schutzwürdige Informationen einsehen können soll. Auch durch die Regelungen der DS-GVO selbst kann ein Schwärzen von Dokumentbestandteilen erforderlich werden. So sieht beispielsweise Art. 15 Abs. 4 DS-GVO vor, dass das Recht auf Erhalt einer Kopie der eigenen durch den Verantwortlichen verarbeiteten personenbezogenen Daten nicht die Rechte und Freiheiten anderer Personen beeinträchtigen darf. Die Kopie darf also grundsätzlich nicht die personenbezogenen Daten Dritter umfassen. Dies lässt sich regelmäßig nur durch eine korrekte Schwärzung einzelner Dokumentenbestandteile erreichen.

Bei einem Schwärzen einzelner Passagen sollte jedoch zwingend auch darauf geachtet werden, dass sich ein Personenbezug beispielsweise nicht nur durch Namen, Identifikationsnummern oder andere eindeutige Attribute ergeben kann, sondern ein solcher auch über den Kontext herstellbar ist. Das bedeutet, dass es regelmäßig eben nicht ausreicht, nur einzelne Namen dritter Personen zu schwärzen. Es ist eine objektive Würdigung des gesamten Dokuments erforderlich.

Optische Schwärzung ist nicht ausreichend

Die Praxiserfahrungen zeigen, dass das Nutzen einfacher grafischer Elemente, wie zum Beispiel ein schwarzer Balken über einem Text, nicht nur inhaltlich, sondern auch technisch unzureichend sind. Nicht selten können derartige grafische Elemente durch den Empfänger mit wenigen Klicks entfernt werden. Auch die Textmarker-Funktion wird zum Schwärzen einzelner Passagen gern „missbraucht“. Hierbei ist zwar das Entfernen der Schwärzung nicht unbedingt möglich, wird der geschwärzte Text durch den Empfänger jedoch markiert, kopiert und beispielsweise in einem anderen Text-Dokument eingefügt, so erscheint dort der originale Text ohne Schwärzung. All diesen Vorgehensweisen ist gemein, dass die Sicherheit der Verarbeitung (Art. 32 DS-GVO) hier nur unzureichend Rechnung getragen wird.

Somit sollte zwingend darauf geachtet werden, dass bei der Nutzung von Text-Editoren und PDF-Programmen vom Hersteller konkret bereitgestellte Funktionen zum Schwärzen verwendet werden. Auch wenn diese Funktionen regelmäßig kostenpflichtig sind, gewährleisten – insbesondere unter Berücksichtigung der Fehleranfälligkeit alternativer Methoden – nur diese eine hinreichende Schwärzung von digitalen Dokumenten. Korrekt eingesetzt, ist hierdurch in aller Regel sogar eine Maschinenlesbarkeit der geschwärzten Passagen ausgeschlossen, das wiederrum für die Nutzung geschwärzter Dokumente im Rahmen von KI-Anwendungen oftmals essenziell sein dürfte.

Metadaten nicht vergessen!

Aber nicht nur die Inhaltsdaten eines Dokumentes können Informationen mit Personenbezug aufweisen. Auch der Dokumentenname und weitere Metadaten, das heißt Informationen zum Autor, zum Datum der Erstellung, bei digitalen Foto- und Videoaufnahmen oftmals auch Informationen zu den GPS-Koordinaten, können personenbezogene Daten darstellen. Auch hierbei liefern die Anbieter diverser Anwendungen in der Regel standardmäßig Werkzeuge mit, die ein Entfernen solcher Informationen mit nur wenigen Klicks ermöglichen.

Ein gängiger Anbieter für die Erstellung, Bearbeitung und Darstellung von PDF-Dokumenten stellt der Acrobat Reader dar. Für die Umsetzung der Schwärzung digitaler Dokumente und das Entfernen weiterer personenbezogener Daten aus PDF-Dokumenten, stellt der Anbieter auf seiner Internetseite eine umfassende Schritt-für-Schritt-Anleitung bereit.

Fazit

Das Schwärzen digitaler Dokumente hält einige Fallstricke bereit. Anwender und Anwenderinnen sollten stets sicherstellen, dass die geschwärzten Informationen nicht nur optisch, sondern auch tatsächlich geschwärzt worden und durch den Empfänger nicht mehr lesbar zu machen sind. Wird die Schwärzung nur unzureichend umgesetzt, wird hierbei in der Regel eine Datenschutzverletzung vorliegen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

„Unter Berücksichtigung des Stands der Technik […] treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten […]“. Ähnlich zu dieser Art. 32 Datenschutz-Grundverordnung (DS-GVO) entstammenden Regelung ergeben sich die hinsichtlich bestimmter Produkte oder Sektoren einzuhaltenden IT-Sicherheitspflichten aus verschiedenen nationalen und internationalen spezialgesetzlichen Regelungen, z.B. § 8a Abs. 1 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG, Art. 52 Abs. 7 Satz 1 Rechtsakt zur Cybersicherheit (CSA-VO), § 19 Abs. 4 Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)). Im IT-Sicherheits- und Datenschutzrecht wird zur Bestimmung eines entsprechenden Schutzniveaus in letzter Konsequenz all zu oft auf den unbestimmten Rechtsbegriff „Stand der Technik“ zurückgegriffen. Doch was verstehen wir unter diesem Begriff und wie ist der „Stand der Technik“ in der Praxis zu bestimmen. Mit diesen Fragen soll sich der nachfolgende Beitrag näher befassen.

WARUM BEZIEHEN WIR UNS AUF DEN „STAND DER TECHNIK“?

Bei der Begrifflichkeit „Stand der Technik“ handelt es sich insoweit um einen unbestimmten Rechtsbegriff. Durch die Verwendung unbestimmter Rechtsbegriffe soll eine bestimmte zu erfüllende Anforderung geregelt, jedoch nicht festgelegt werden, wie diese Anforderung im Einzelnen ausgestaltet sind. Unbestimmte Rechtsbegriffe sind grundsätzlich uneingeschränkt gerichtlich überprüfbar. Die Anforderungen an die konkrete Bestimmbarkeit hängen wiederrum von den Eigenarten des zu regelnden Sachbereiches, insbesondere hinsichtlich Ausmaßes, Art und Intensität von Grundrechtseingriffen, ab.

Vor allem aufgrund der dynamischen Technologieentwicklung kommt dem Begriff „Stand der Technik“ im IT-Sicherheits- und Datenschutzrecht besondere Bedeutung zu, da durch die Verwendung dieses zunächst unbestimmten Rechtsbegriffs, entsprechende Flexibilität bei der Festlegung des Sicherheitsniveaus gewahrt werden kann. Der technische Fortschritt unterliegt aufgrund der hohen Dynamik technischer Innovationen und den damit einhergehenden immer kürzeren Innovationszyklen zugleich sich kontinuierlich ändernden Anforderungen an das zu bestimmende Sicherheitsniveau. Insbesondere wegen der zunehmenden Komplexität von IT-Systemen ist eine absolute Sicherheit nicht erreichbar. Eine weitergehende Konkretisierung des Begriffs erfolgt daher regelmäßig nicht. Entscheidend für die tatsächliche Bestimmbarkeit des jeweiligen Sicherheitsniveaus ist mithin die tatsächliche Bestimmbarkeit des jeweiligen Stands der Technik.

WAS IST DER „STAND DER TECHNIK“?

Der Rechtsbegriff „Stand der Technik“ hat eine längere Entwicklung zurückgelegt als es seine aktuelle Verwendung im IT-Sicherheits- und Datenschutzrecht aufgrund zunehmender Implikationen in Gesetzen vermuten lässt. In den jüngeren Gesetzgebungsverfahren hat der Begriff – wie eingangs erwähnt – immer häufiger zur Bestimmung eines Technologieniveaus herangezogen. In den europarechtliche Normen Art. 32 DS-GVO sowie Art. 14 der Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) erfolgt eine die Verwendung des Begriffs „state oft the art“.

In seiner Kalkar-I-Entscheidung beschäftigte sich das Bundesverfassungsgericht 1978 (BVerfG, Beschl. v. 8.8.1978 – 2 BvL 8/77) erstmals mit den Begriffen „anerkannten Regeln der Technik“, „Stand von Wissenschaft und Technik“ und „Stand der Technik“ und so mit der heute bekannten „Drei-Stufen-Theorie. Das Technologieniveau „Stand der Technik“ ist zwischen dem Technologiestand „Stand der Wissenschaft und Forschung“ und dem Technologiestand „allgemeinanerkannten Regeln der Technik“ einzuordnen. Eingegrenzt werden die drei Begriffe zum Technologieniveau zudem durch die „Allgemeine Anerkennung“ sowie die „Bewährung in der Praxis“. Eine Unterscheidung zwischen den drei Begrifflichkeiten ist die wesentliche Grundlage für die Bestimmung des geforderten Technologiestandes. In der Praxis kommt es noch zu häufig zu einer Vermischung und somit keiner trennscharfen Unterscheidung der Begrifflichkeiten. Den „Stand der Technik“ bestimmt das BVerfG als Front der technischen Entwicklung. Somit umfasst der „Stand der Technik“ nicht die beste zur Verfügung stehende Technologie, sondern jene fortschrittlichen Verfahren, die in hinreichendem Maße zur Verfügung stehen und auf gesicherten Erkenntnissen beruhen oder mit Erfolg erprobt wurden. Kurz gesagt: Der Stand der Technik bezeichnet die am Markt verfügbare Bestleistung einer IT-Sicherheitsmaßnahme zur Erreichung eines IT-Sicherheitsziel. Für die Bestimmung eines erforderlichen Sicherheitsniveaus eignet sich daher der Begriff „Stand der Technik“ besonders gut, vollziehen sich IT-Sicherheits- und Datenschutzrecht nicht als wissenschaftliche Konzeption, die sich nach Theoriestatus und Erprobung in der Praxis zu einem anerkannten Standard manifestieren. Von Vorteil ist insoweit, dass eine dynamische in Bezugnahme möglich ist, da auf eine allgemeine Anerkennung verzichtet wird. Dies ist wiederrum erforderlich, um dem technischen Fortschritt gerecht zu werden. Trotz oder vielleicht gerade aufgrund seiner des häufigen Gebrauchens führt die Auslegung sowie Anwendung des „Stand der Technik“ in der Praxis zuweilen jedoch zu ungeahnten Schwierigkeiten.

WIE KÖNNEN WIR DEN STAND DER TECHNIK BESTIMMEN?

Es beststehen zuweilen Verwendungssituationen, in denen direkt aus dem Gesetz durch einen Verweis auf eine technische Norm der „Stand der Technik“ näher bestimmt wird, so beispielsweise in § 18 Abs. 2 Satz 2 De-Mail-Gesetz mit dem Verweis auf die Technische Richtlinie 01201 De-Mail des Bundesamt für Sicherheit in der Informationssicherheit (BSI). Zur weiteren Konkretisierung kann regelmäßig eine Orientierung mittels des sogenannten Soft Law in Form von „branchenüblichen Normen und Standards“ erfolgen. Hierfür kommen eine Reihe nationaler wie auch internationaler technischer Normen, Best Practice, Praxisleitfäden und vergleichbarer Standards in Betracht. Zu nennen sind insbesondere DIN-Normen vom Deutschen Institut für Normung sowie ISO-Normen der International Organisation for Standardization mit Bezug zur IT-Sicherheit wie beispielsweise DIN ISO 19600 für den Inhalt von Compliance Management Systeme, ISO 20000 für IT-Service Management, ISO/IEC 27000-Reihe für Informationssicherheits-Managementsysteme, ISO/IEC 27018 mit datenschutzrechtlichen Anforderungen für Cloud-Anbieter oder die IEC 62443 im Bereich IT-Sicherheit für industrielle Systeme. Von zunehmender Bedeutung sind zudem das IT-Grundschutz-Kompendium des BSI sowie Praxisleitfäden von Interessenverbänden, beispielsweise Bitkom-Kompass für IT-Sicherheitsstandards oder die Handreichung des TeleTrust Bundesverband IT-Sicherheit e.V. Bei diesen technisch geprägten Standards handelt es sich nicht per se um verbindliche Rechtsnormen, sondern laut eines Urteil des Bundesgerichtshof (BGH, Urt. v. 22.8.2019 – III ZR 113/18) vielmehr um „private Regelwerke mit Empfehlungscharakter“.  Dennoch sind diese Regelungswerke zugleich bei der Frage, ob ein bestimmter Sicherheitsstandard eingehalten wird, zur Auslegung heranzuziehen.  Im Grundsatz tragen die technischen Normen und Standards die widerlegliche Vermutung in sich, den aktuellen Stand der Technik einzuhalten. Weiterhin mögen die technischen Normen, Standards und Regelwerke im Ergebnis zwar als unverbindlich und daher als nicht durchsetzbar gelten, entfalten sich durch ihre branchenweite Befolgung aber zunehmende faktische Verbindlichkeit. Jedoch birgt auch die Verwendung derartiger Standards Probleme, welche insbesondere mit Blick auf die ISO-27000-Reihe oder IT-Grundschutz-Kompendium im unterschiedlichen Verwendungs- und Umsetzungsgrad und mithin einer fehlenden Vergleichbarkeit bei der Umsetzung zu sehen sein können. Darüber hinaus unterliegen viele der genannten Standards einer hohen Abstraktheit, was gleichwohl bei den Rechtsanwendern zu einer Scheinsicherheit führt.

FAZIT

Der Umgang und die Verwendung mit dem unbestimmten Rechtsbegriff Stand der Technik gestaltet sich in der Praxis alles andere als leicht. So zwingend die Verwendung des unbestimmten Rechtsbegriffs ist, um auf den stetig technischen Fortschritt und die IT-Systemen innewohnende Dynamik mit größtmöglicher Flexibilität zu reagieren. Umso schwieriger erscheint die tatsächliche Bestimmung des entsprechend einzuhaltenden Schutzniveaus, selbst unter Heranziehung branchenüblicher Normen und Standards.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Am 24. November 2021 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz – kurz: DSK) gegen die Stimme Sachsens einen Beschluss zur Möglichkeit der Nichtanwendung technischer und organisatorischer Maßnahmen nach Art. 32 DS-GVO auf ausdrücklichen Wunsch betroffener Personen gefasst. Der Inhalt des Beschlusses sowie seine möglichen Auswirkungen für die Praxis sollen im nachstehenden Beitrag näher erörtert werden.

WAS BEINHALTET DER BESCHLUSS?

Durch Ziff. 1 folgt direkt die erste diskussionswürdige Aussage: „Die vom Verantwortlichen nach Art. 32 DSGVO vorzuhaltenden technischen und organisatorischen Maßnahmen beruhen auf objektiven Rechtspflichten, die nicht zur Disposition der Beteiligten stehen.“ So weit so gut. Die zentrale Frage, welche hier aufgeworfen werden muss ist, warum die DSK davon ausgeht, dass es sich bei Art. 32 DS-GVO um eine „objektive Rechtspflicht“ handelt. Unter den Terminus objektives Recht sind gemeinhin alle Rechtsvorschriften eines Rechtsstaates in ihrer Gesamtheit zu fassen. Vom objektiven Recht ist das subjektive Recht abzugrenzen, welches den Anspruch bzw. ein sonstiges Recht eines jeden Einzelnen beschreibt. Sofern die DSK in Bezug auf Art. 32 DS-GVO nunmehr eine objektive Rechtspflicht annimmt, verwundert dies mit Blick auf Art. 8 Charta der Grundrechte der Europäischen Union (GRCh) sowie Art. 1 DS-GVO doch sehr. Ausweislich des Art. 1 Abs. 2 DS-GVO werden „die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“ zu Regelungsgegenstand der Datenschutz-Grundverordnung erklärt. Primäres Schutzgut ist also das Grundrecht auf Datenschutz nach Art. 8 GRCh. Nichts anderes gilt im Hinblick auf Art. 32 DS-GVO. Der Zweck dieser Vorschrift ist die Unterstützung und Durchsetzung der in der Datenschutz-Grundverordnung geregelten Vorschriften durch technische und organisatorische Maßnahmen. Die Norm ist in erster Linie auf den Schutz der Rechte und Freiheiten der von der Datenverarbeitung betroffenen Person gerichtet und fungiert insoweit als Ausgestaltung der Grundsätze von Integrität und Vertraulichkeit aus Art. 5 Abs. 1 lit. f) DS-GVO. Das Grundrecht auf den Schutz personenbezogener Daten in seiner Gänze und mithin auch Art. 32 DS-GVO müssen bereits nach dem grundlegenden Verständnis zur Disposition des Grundrechtsträgers, also der betroffenen Person stehen. Es muss der betroffenen Person also auch unbenommen sein, in alle Umstände der Verarbeitungen ihrer personenbezogenen Daten einzuwilligen, sei es die Frage des „Ob“ oder des „Wie“ der Verarbeitung, auch vor dem Hintergrund, dass die Erklärungen möglicherweise als nachteilig oder schädlich für die betroffene Person selbst wahrgenommen werden. Es wird in diesem Zusammenhang vermutlich stets auf den Grad an Informiertheit im Vorfeld der Abgabe der Erklärung abzustellen sein.

Weiter wird in Ziff. 2 wie folgt festgesetzt: „Ein Verzicht auf die vom Verantwortlichen vorzuhaltenden technischen und organisatorischen Maßnahmen oder die Absenkung des gesetzlich vorgeschriebenen Standards auf der Basis einer Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO ist nicht zulässig.“ Mit Blick auf Ziff. 1 des Beschlusses sind die vorstehenden Ausführungen nahezu stringent. Nichts desto trotz verwundert diese Gesamtschau. Hatte sich doch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmdBfDI) in einem Aktenvermerk ursprünglich anders in dieser Thematik positioniert. Wir haben dazu bereits berichtet. Nunmehr schließt die DSK die Möglichkeit einer Einwilligungserklärung zum Verzicht bzw. zu Absenkung des vorzuhaltenden Standards der Sicherheit der Verarbeitung nach allem Anschein nach kategorisch aus.

Nach dem zuvor Gesagten erfahren diese Grundsätze in Ziff. 3 anschließend dann doch eine Ausnahme: „Unter Beachtung des Selbstbestimmungsrechts der betroffenen Person und der Rechte weiterer betroffener Personen kann es in zu dokumentierenden Einzelfällen möglich sein, dass der Verantwortliche auf ausdrücklichen, eigeninitiativen Wunsch der informierten betroffenen Person bestimmte vorzuhaltende technische und organisatorische Maßnahmen ihr gegenüber in vertretbarem Umfang nicht anwendet.“ Mit Blick auf die Ziffern 1 und 2 des Beschlusses sind die Kernaussagen der Ziff. 3 doch sehr verwunderlich. Nachdem vorab starr ein Ausschluss der Möglichkeit des Abbedingens oder Absenkens des Schutzniveaus bekundet wird, erfolgt anschließend doch eine „Rolle rückwärts“ und die DSK lässt unter strengen Voraussetzungen Ausnahmen zu. Hier bleiben bei genauer Betrachtung der Voraussetzungen allerdings viele Fragen offen. Einzig zutreffend dürfte der Hinweis auf die Beachtung des Selbstbestimmungsrechts der betroffenen Person sein. Fraglich ist hingegen, wann es zu dokumentierenden Einzelfällen (eine zahlenmäßige Beschränkung gleich welcher Art scheint dogmatisch nicht vertretbar) kommt und welche Anforderungen an einen ausdrücklichen, eigeninitativen Wunsch der informierten betroffenen Person zu stellen sein wird.

Die Ziff. 4 des Beschlusses kommt letztendlich nahezu unspektakulär daher, da es insoweit nur heißt: „Kapitel V der DSGVO (Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen) bleibt hiervon unberührt.“ Dies dürfte insoweit nicht zu beanstanden sein und wird daher nicht weiter vertieft.

WIE GEHT ES NUN WEITER?

Der HmdBfDI hat in Reaktion auf den Beschluss der DSK seinen eigenen Aktenvermerk überarbeitet. Nach Ansicht der Aufsichtsbehörde ist – dies ist insoweit auch mit den Ausführungen in dem Beschluss übereinstimmend – ein Verzicht der betroffenen Person auf die Anwendung von technischen und organisatorischen Maßnahmen möglich. Hierfür ist erforderlich, dass Verantwortliche die nach Art. 32 DS-GVO erforderlichen Maßnahmen überhaupt bereit hält und dass die Verzichtserklärung der betroffenen Person den Anforderungen des Art. 7 DSGVO analog genügt. In Bezug auf die Verzichtserklärung führt der HmdBfDI aus: „Die DSGVO enthält mit Art. 7 DSGVO grundsätzliche Maßstäbe zur Beurteilung, wie eine Einwilligung der betroffenen Person zu gestalten ist. Diese beziehen sich zwar unmittelbar nur auf das „Ob“ der Verarbeitung, sind jedoch entsprechend auch auf das „Wie“ anzuwenden. Der Verzicht auf die technische Umsetzung („Wie“) einer Verarbeitung ist sinnvollerweise nach denselben Maßstäben zu beurteilen, wie die Frage, ob die Verarbeitung nach Art. 6 DSGVO zulässig ist („Ob“).“ Weiter heißt es: „Eigeninitiativ bedeutet dabei, dass die betroffene Person an den Verantwortlichen mit einem entsprechenden Wunsch herantreten muss. Dies setzt ein aktives Handeln der betroffenen Person voraus. Ein solches aktives Handeln kann eine mündliche oder schriftliche Bitte sein, aber auch das Anklicken eines entsprechenden Auswahlfeldes in einem (Online-)Formular. Ein eigeninitiatives Handeln liegt allerdings nicht vor, wenn die betroffene Person ohne ein eigenes Zutun auf die Anwendung von TOM „verzichtet“, etwa indem sie ein Online-Formular abschickt, bei welchem ein entsprechendes Feld („ich verzichte auf eine verschlüsselte elektronische Kommunikation“) bereits vorausgewählt ist.“

Für die Praxis ergibt sich nach den Ausführungen des HmdBfDI demnach die Erforderlichkeit der Gestaltung einer Verzichtserklärung in der Gestalt bzw. unter den Voraussetzungen einer Einwilligungserklärung, aber eben nicht als solche deklariert. Insbesondere hinsichtlich der Anforderungen an die Freiwilligkeit, Bestimmtheit und Informiertheit der Verzichtserklärung dürften diese als im Einklang mit der Datenschutz-Grundverordnung zu sehen sein, da auf den ersten Blick insoweit keine strengeren Anforderungen aufgestellt werden. Inwieweit die Anforderungen an den eigeninitativen Wunsch der betroffenen Person über die Anforderungen der DS-GVO hinaus gehen oder letztendlich „nur“ eine Umformulierung hinsichtlich der Betätigung des freien Willens ist, wird noch zu erörtern und mit Sicherheit Gegenstand zahlreicher Diskussion sein. Mit Blick auf die oben dargestellten Schutzsphäre des Grundrechtes auf Datenschutz aus Art. 8 GRCh muss ein mögliches Aufstellen strengerer Anforderungen an die Ausübung bzw. Sicherung der Rechtsposition des Grundrechtsträgers dann logischerweise trefflich in Frage gestellt werden.

FAZIT

Die zentrale Problematik des Beschlusses zeigt sich in der Praxis typischerweise anhand der (E-Mail-)Verschlüsselung. In den zu betrachtenden Fällen ergibt eine Abwägung nach Art. 32 DS-GVO – auch im Hinblick auf die von der DSK in der Orientierungshilfe Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail festgelegten Grundsätze – allzu häufig, dass eine Ende-zu-Ende-Verschlüsselung geboten ist. Dies führt nicht zuletzt vermehrt bei den Gruppen der Berufsgeheimnisträgern selbst unter dem Gesichtspunkt, dass die datenschutzrechtlichen Verantwortlichen die erforderlichen entsprechende technische und organisatorische Maßnahmen in Form von Verschlüsselungstechnologien vorhalten, immer wieder zu Nutzerakzeptanzproblemen seitens der betroffenen Personen. Insofern wäre eine vertiefte Auseinandersetzung mit der Problematik seitens der DSK wünschenswert gewesen. Allerdings ist ein Beschluss nun einmal nur ein Beschluss und muss nicht weitergehend begründet werden. Unter Bezugnahme auf die Selbstbestimmtheit der betroffenen Personen erscheint es allerdings nahezu zwingend, dass zu den dispositiven Bestimmungen eben auch jene über die Sicherheit der Verarbeitung zählt. Ob es dafür eines dogmatischen Umweges über eine Verzichtserklärung bedarf oder doch der Gang über eine Einwilligung möglich ist, wird zu beobachten sein. Letztendlich bedarf es in dieser Sache vermutlich einer Klärung durch die Rechtsprechung.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Entsprechend der datenschutzrechtlichen Normierungen haben verantwortliche Stellen im Sinne des Art. 4 Nr. 7 DS-GVO (Datenschutz-Grundverordnung) dafür Sorge zu tragen, dass sowohl die internen Abläufe und Prozesse als auch die dabei eingesetzte Hard- und Software den datenschutzrechtlichen Anforderungen genügen. Die konforme Umsetzung stellt zahlreiche Unternehmen und Behörden regelmäßig vor erhebliche Hürden. Hinzu treten weitere datenschutzrechtliche Herausforderungen, wenn innerhalb der verantwortlichen Stelle einzelne Fachbereiche oder Beschäftigte im Rahmen ihrer täglichen Arbeit nicht-freigegebene Endgeräte oder Anwendungen nutzen.

WAS IST UNTER SCHATTEN-IT ZU VERSTEHEN?

Unter dem Begriff der Schatten-IT sind sämtliche informationstechnische Systeme, Prozesse, Anwendungen und Endgeräte zu verstehen, welche durch einzelne Fachbereiche oder Beschäftigte einer verantwortlichen Stelle ohne Freigabe oder gar Kenntnisnahme der IT-Abteilung beziehungsweise der Leitungsebene angeschafft und eingesetzt werden. Erfasst werden hierbei sowohl individuelle Datenverarbeitungen mit Tabellenkalkulationen, Nutzung einfacher Applikationen wie Messenger-Dienste oder Cloud-Dienste sowie Eigenbeschaffung mobiler Endgeräte, insbesondere Speichermedien.

Zwar kann Schatten-IT grundsätzlich auch dazu dienen Arbeitsabläufe zu effektivieren, jedoch schwächt unzureichend überprüfte Hard- und Software unter Umständen das gesamte Sicherheitsniveau der verantwortlichen Stelle. Cyberkriminellen wird mittels Schatten-IT unter Umständen Tür und Tor zum ansonsten gut geschützten Unternehmensnetzwerk geöffnet.

VON USB-STICKS UND MESSENGER-DIENSTEN

Schatten-IT kann in Unternehmen und Behörden viele Gesichter haben: Die Nutzung von nicht-freigegebenen portablen Speichermedien, insbesondere von USB-Sticks und externen Festplatten, ist dazu geeignet die Sicherheit der Verarbeitung erheblich zu gefährden. Zum einen kann eine Gefährdung der Vertraulichkeit bei einem Verlust des in der Regel unverschlüsselten Speichermediums eintreten. Zum anderen kann hierdurch versehentlich Schadsoftware von netzwerkfremden Endgeräten in das Netzwerk des Unternehmens eingebracht werden.

Die Inanspruchnahme externer Dienstleister kann je nach Anwendungsbereich ebenfalls enorme Auswirkungen auf die datenschutzrechtliche Konformität der verantwortlichen Stelle haben. Insbesondere im Bereich kostenloser Softwarelösungen, beispielsweise in Form von Cloud-Services oder Messenger-Diensten im weitesten Sinne ist eine einfache Zustimmung zu den Nutzungsbedingungen meist ausreichend. Darin enthalten sind oftmals Regelungen hinsichtlich der weitreichenden Verarbeitung von Metadaten, die eine Finanzierung des ansonst kostenfreien Produkts sicherstellen soll. Damit einher gehen datenschutzrechtliche Problematiken im Zusammenhang mit der Rechtmäßigkeit und Transparenz der Datenverarbeitung, der Vertraulichkeit personenbezogener Daten aufgrund unzureichender Verschlüsselung oder der Übermittlung personenbezogener Daten an Drittländer.

STRATEGIEN ZUM UMGANG MIT SCHATTEN-IT

Besonders aufgrund der drohenden Gefährdung der Sicherheitsziele nach Art. 32 DSGVO sowie den möglichen datenschutzrechtlichen Sanktionen, aber auch im Interesse der verantwortlichen Stelle selbst, bedarf es eines strategischen Umgangs mit der Thematik. Dabei können definierte Prozesse hinsichtlich der Anschaffung informationstechnischer Systeme, Anwendungen und Endgeräte oder bezüglich der Erweiterung bestehender Prozesse bzw. Verarbeitungstätigkeiten eine wesentliche Rolle einnehmen. Wie jedoch im Zusammenhang mit vielen Themen des Datenschutzes und der IT-Sicherheit, gelingt dies nicht ohne angemessene Einbeziehung und Berücksichtigung der Belange der Beschäftigten.

Eine umfassende Darstellung der datenschutzrechtlichen Anforderungen, der Strategien zum Umgang mit Schatten-IT und Handlungsempfehlungen für die Praxis, können Sie unserem Beitrag „Datenschutzrechtliche Herausforderungen in Zusammenhang mit Schatten-IT“ entnehmen, welcher in der Ausgabe Nr. 01/2022 des DATENSCHUTZ-BERATER erschienen ist. Den Beitrag können Sie in der digitalen Fassung hier abrufen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

NORMADRESSATEN

Die Anforderungen aus Art. 25 DS-GVO richten sich grundsätzlich an den Verantwortlichen im Sinne des Art. 4 Nr. 7 DS-GVO und somit an sämtliche öffentliche sowie nicht-öffentliche Stellen, welche personenbezogene Daten in eigener Verantwortlichkeit verarbeiten. Dementsprechend bezieht sich die Normierung ausdrücklich nicht auf Auftragsverarbeiter oder sonstige Anbieter von Produkten und Dienstleistungen, sofern sie nicht selbst als Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO tätig werden. Dennoch ist festzuhalten, dass Auftragsverarbeiter und sonstige Anbieter von Produkten und Dienstleistungen die Auswirkungen des Art. 25 DS-GVO zumindest mittelbar betreffen können.

Art. 28 Abs. 1 DS-GVO setzt hinsichtlich der Auftragsverarbeitung beispielsweise voraus, dass Verantwortliche ausschließlich mit solchen Auftragsverarbeitern zusammenarbeiten, „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt […].“ Der Erwägungsgrund 78 zur DS-GVO sieht weiterhin vor, dass Hersteller von Produkten, Diensten und Anwendungen zumindest ermutigt werden, die entsprechenden Anforderungen umzusetzen. Abgestellt wird hierbei auf eine Durchgriffswirkung der rechtlichen Verpflichtung des Verantwortlichen und daraus resultierender Nachfragen datenschutzkonformer Produkte und Dienstleistungen gegenüber den Anbietern. Dies kann durch die Verantwortlichen beispielsweise mittels expliziter vertraglicher Regelungen oder Anforderungen im Rahmen von Ausschreibungen konkret gefordert werden.

MÖGLICHKEITEN ZUR UMSETZUNG DATENSCHUTZFREUNDLICHER TECHNIKGESTALTUNG

Zunächst ist zu betonen, dass Art. 25 Abs. 1 DS-GVO konkret fordert, dass eine Umsetzung entsprechender Maßnahmen zur Gewährleistung des Datenschutzes durch Technikgestaltung bereits zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung, das heißt grundsätzlich bereits vor der Aufnahme der jeweiligen Verarbeitung personenbezogener Daten zu erfolgen hat. Diesbezüglich empfiehlt sich bei der Einführung neuer Verarbeitungstätigkeiten neben der Gewährleistung der weiteren Anforderungen aus der DS-GVO auch in Bezug auf Art. 25 DS-GVO die frühestmögliche Einbeziehung des Datenschutzbeauftragten.

Die Formulierung des Art. 25 Abs. 1 DS-GVO stellt zunächst allgemein auf die Umsetzung geeigneter technischer sowie organisatorischer Maßnahmen ab. Weiterhin wird lediglich eine beispielhafte Benennung der Pseudonymisierung zur Erreichung des Grundsatzes der Datenminimierung vorgenommen. Aus Erwägungsgrund 78 zur DS-GVO ergeben sich jedoch weitreichendere Anforderungen: Gemäß Satz 2 sollte der Verantwortliche interne Strategien festlegen, „die insbesondere den Grundsätzen des Datenschutzes […] Genüge tun.“ Dementsprechend sollte der Verantwortliche vor Aufnahme der Verarbeitung dokumentiert festlegen, durch welche konkreten Funktionalitäten und Prozesse die jeweiligen Grundsätze nach Art. 5 Abs. 1 DS-GVO sichergestellt werden können.

Demnach ist beispielsweise anzuführen, dass durch Bereitstellung von Informationspflichten die Transparenz, durch Festlegung eines Berechtigungskonzeptes die Zweckbindung, durch Verschlankung von Systemen die Datenminimierung, durch Festlegung von Meldeprozessen die Richtigkeit, durch Installation einer Löschroutine die Speicherbegrenzung sowie durch Verwendung von Signaturen die Integrität gewährleistet werden. Im Ergebnis muss eine umfassende Darstellung der Gewährleistung der datenschutzrechtlichen Grundsätze dokumentiert nachvollziehbar erkennbar sein. Insofern kann dies auch im Rahmen einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO oder der voranzustellenden Risiko-/Schwellenwertanalyse erfolgen.

Darstellungen weiterer möglicher umzusetzender technischer und organisatorischer Maßnahmen ergeben sich darüber hinaus aus den Arbeitspapieren der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) sowie aus den Guidelines 4/2019 des Europäischen Datenschutzausschusses (EDSA).

KRITERIEN UMZUSETZENDER MAßNAHMEN

Nach der Formulierung des Art. 25 Abs. 1 DS-GVO haben die umzusetzenden technischen und organisatorischen Maßnahmen den Stand der Technik, die Implementierungskosten sowie die näheren Umstände der Verarbeitung sowie der sich möglicherweise hieraus ergebenden Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Insoweit muss der Verantwortliche sicherstellen, dass die Ausgestaltung der Verarbeitungstätigkeit aktuellen Leitlinien von Aufsichtsbehörden oder Fachverbänden berücksichtigt, entsprechend der (objektiven) wirtschaftlichen Leistungsfähigkeit des Verantwortlichen verhältnismäßige Maßnahmen realisiert werden sowie etwaige potenzielle Schadenseintritte entsprechend ihren Eintrittswahrscheinlichkeiten und der Schwere des jeweiligen Risikos zu erörtern und abzusichern sind. Auch diesbezügliche Kriterien können in die vorbenannte Risiko-/Schwellenwertanalyse Eingang finden.

Im Ergebnis hat der Verantwortliche hinsichtlich der zu erwartenden Risiken der Verarbeitung wirtschaftlich und technisch angemessene sowie für den effektiven Schutz personenbezogener Daten geeignete Maßnahmen und Prozesse umzusetzen. Dem Verantwortlichen ist hierbei ein umfangreicher Beurteilungsspielraum beizumessen. Dies stellt ihn jedoch nicht grundsätzlich von der Pflicht frei, auf marktübliche Produkte oder Dienstleistungen zu verzichten, sofern ein datenschutzkonformer Einsatz nicht vollumfänglich möglich ist. Im Zweifelsfall ist durch den Verantwortlichen zu prüfen, ob durch Vornahme zusätzlicher Maßnahmen dennoch eine Gewährleistung der datenschutzrechtlichen Grundsätze möglich ist oder gegebenenfalls Alternativen existieren. Erfolgt dies nachweislich nicht, liegt seitens des Verantwortlichen unter Umständen ein fehlerhafter Ermessensgebrauch vor, welcher durch die Aufsichtsbehörden entsprechend beanstandet und sanktioniert werden kann.

UMFANG DATENSCHUTZFREUNDLICHER VOREINSTELLUNGEN

Grundsätzlich setzt Art. 25 Abs. 2 DS-GVO voraus, dass seitens des Verantwortlichen durch entsprechende technische und organisatorische Maßnahmen gewährleistet wird, dass der Umfang der zu verarbeitenden Daten entsprechend des Verarbeitungszwecks auf das absolut erforderliche Minimum reduziert wird. Erreicht werden kann dies, wie auch teilweise in Art. 25 Abs. 2 Satz 2 DS-GVO aufgeführt wird, durch eine Reduzierung der erhobenen personenbezogenen Daten (z.B. durch Reduzierung von Pflichtangaben), einen gemäßigten Umfang der Datenverarbeitung (z.B. durch Verzicht auf Profilbildung), die Festlegung von Speicherfristen (z.B. automatisierte Deaktivierung oder Löschung von inaktiven Nutzenden) sowie eine Beschränkung der Zugänglichkeit (z.B. Einrichtung eines Zugriffskonzeptes). Dabei ist gemäß Art. 25 Abs. 2 Satz 3 DS-GVO zu berücksichtigen, dass derartige Maßnahmen insbesondere dazu geeignet sein müssen, personenbezogene Daten ohne zusätzliches Eingreifen der betroffenen Person vor der Zugänglichmachung gegenüber einem unbestimmten Personenkreis zu schützen. Ändert die betroffene Person jedoch bewusst derartige datenschutzfreundliche Voreinstellungen, ist der Verantwortliche nicht zum Zurücksetzen der Einstellungen verpflichtet.

NACHWEIS DER UMSETZUNG

Wie aus den bisherigen Ausführungen deutlich hervorgeht, lassen die Anforderungen des Art. 25 DS-GVO erheblichen Raum für Argumentationen. Insoweit besteht das Risiko, dass einander entgegenstehende Interessen sowie Rechtsunsicherheiten zu einer unzureichenden Anwendung und einem mangelhaften Nachweis der in Art. 25 DS-GVO dargelegten Anforderungen führen. Dementsprechend gibt Art. 25 Abs. 3 DS-GVO zugleich über genehmigte Zertifizierungsverfahren nach Art. 42 DS-GVO einen entsprechenden Faktor zum Nachweis der entsprechenden Anforderungen an die Hand.

Darüber hinaus empfiehlt sich für Verantwortliche die Festlegung von verbindlichen Leitlinien und internen Strategien, insbesondere zur Gewährleistung der datenschutzrechtlichen Grundsätze sowie deren Nachweis. Weiterhin kann an bestehende Dokumentationen angeknüpft und eine Darstellung potenzieller Risiken und etwaiger Abhilfemaßnahmen im Rahmen einer Risiko-/Schwellenwertanalyse, einer Datenschutz-Folgenabschätzung oder dem Verzeichnis der Verarbeitungstätigkeiten erfolgen.

FAZIT

Zusammenfassend ist festzuhalten, dass es sich bei den Anforderungen aus Art. 25 DS-GVO um eine besonders weitreichende und teilweise schwer zu fassende Thematik handelt. Verantwortliche sollten die Problematik in Abstimmung mit dem Datenschutzbeauftragten zwingend umfassend erörtern sowie notwendige und auf die Verarbeitungstätigkeiten abgestimmte technische und organisatorische Maßnahmen treffen. Zuvor verbindlich festgelegte Leitlinien können insbesondere dabei helfen, die eigentliche Zielsetzung nicht aus dem Blick zu verlieren.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

WAS ENTHÄLT DER VERMERK DES HMBBFDI?

Zunächst wird in einigen grundsätzlichen Erwägungen der Sinn und Zweck bzw. die Systematik von Art. 32 DS-GVO (in Verbindung mit Erwägungsgrund 83 DS-GVO) dargestellt. Hiernach haben grundsätzlich Verantwortliche bzw. Auftragsverarbeiter zu prüfen, welche Risiken sich aus den jeweiligen Datenverarbeitungen ergeben. Konkrete Maßnahmen sind in Anlehnung an anerkannte Sicherheitsmaßnahmenkataloge wie dem BSI-Grundschutz, der ISO 27001 oder dem Standard-Datenschutzmodell zu prüfen.

Anschließend wird die Frage aufgeworfen, ob betroffene Personen in ein niedrigeres Schutzniveau, als rechtlich geboten ist, einwilligen können:

Hierfür betrachtet die Aufsichtsbehörde zunächst die Frage, ob es sich bei Art. 32 DS-GVO um dispositives Recht handelt oder ob Gründe des Systemdatenschutzes entgegenstehen. Im Ergebnis kommt der HmbBfDI zu dem Ergebnis, dass es eine erhebliche Beschränkung der betroffenen Person bedeuten würde, wenn eine Verarbeitung ihrer personenbezogenen Daten, die sie ausdrücklich wünscht, mit Verweis auf den Systemdatenschutz nicht durchgeführt werden kann. Auf den ersten Blick scheinen die Ausführungen des HmbBfDI zu verwundern, ließen die Ausführungen in einem Schreiben der Aufsichtsbehörde vom 08.01.2018 die gegenläufige Rechtsauffassung vermuten. Zutreffend sei nach den Ausführungen im Vermerk aber zwischen den einzelnen Beteiligten zu differenzieren. So enthält der Art. 32 DS-GVO Pflichten für den Verantwortlichen oder Auftragsverarbeiter, die zwar einen Beurteilungsspielraum zulassen, im Kern allerdings zwingend sind und nicht zur Disposition des Verantwortlichen oder Auftragsverarbeiters stehen. Etwas anderes gilt in Bezug auf die betroffene Person, da die DS-GVO ausweislich des Art. 1 Abs. 2 DS-GVO „die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“ zu ihrem Regelungsgegenstand erklärt.  Dieses steht zur Disposition des Grundrechtsträgers, also der betroffenen Person. Die Einwilligung ist demnach in alle Formen der Verarbeitung personenbezogener Daten der betroffenen Person möglich, auch wenn diese möglicherweise von Außenstehenden als für die betroffene Person schädlich wahrgenommen werden. Die Vorgaben des Art. 32 DS-GVO stehen daher nach dem HmbBfDI zur Disposition der betroffenen Person. Für den Verantwortlichen oder Auftragsverarbeiter enthalten sie dagegen verbindliche Regeln.

Voraussetzung für die obenstehende Vorgehensweise ist jedoch zum einen, dass der Verantwortliche oder Auftragsverarbeiter seiner Pflicht zur Schaffung der nach Art. 32 DS-GVO erforderlichen Standards der Datensicherheit nachkommt. Dies begründet sich dadurch, dass eine freie Entscheidung über den Verzicht der Einhaltung der Vorgaben des Art. 32 DS-GVO durch die betroffene Person nur dann getroffen werden kann, wenn die erforderlichen technischen und organisatorischen Maßnahmen durch den Verantwortlichen oder Auftragsverarbeiter zumindest vorgehalten werden. Zum anderen muss die Einwilligung den Anforderungen des Art. 7 DS-GVO (analog) genügen. Diese Voraussetzungen ergeben sich aus den unterschiedlichen Regelungswirkungen, die Art. 32 DS-GVO gegenüber dem Verantwortlichen oder dem Auftragsverarbeiter und der betroffenen Person entfaltet.

WAS SAGEN ANDERE DATENSCHUTZ-AUFSICHTSBEHÖRDEN?

Der Sächsische Datenschutzbeauftragte führt in seinem Tätigkeitsbericht für den Berichtszeitraum 1. Januar 2019 bis 31. Dezember 2019 hinsichtlich der E-Mail-Nutzung durch Steuerberater u.a. wie folgt aus:

„Unter besonderer Berücksichtigung […] der Vorgaben zum Schutz personenbezogener Daten gemäß Artikel 25 und des Artikel 32 Absatz 1 Buchstabe a) DSGVO, wonach die dort ausdrücklich genannte Verschlüsselung eine adäquate Maßnahme zur Gewährleistung der Sicherheit der Verarbeitung darstellt […] kommt damit für Steuerberater grundsätzlich nur eine verschlüsselte E-Mail-Kommunikation in Betracht.“

Weiter heißt es:

„Etwas anderes gilt nur dann, wenn das Steuerbüro seine Mandanten auf die besondere Schutzbedürftigkeit der per E-Mail zu versendenden Daten sowie die speziellen Risiken eines unverschlüsselten E-Mail-Versands hingewiesen hat, diesbezüglich sichere Kommunikationswege (z. B. Verschlüsselung, Postversand) grundsätzlich alternativ anbietet, und sich der Mandant vor diesem Hintergrund bewusst für einen unverschlüsselten E-Mail-Versand entscheidet, d. h. hierfür seine Einwilligung (Artikel 7 DSGVO) erteilt, wobei die diesbezügliche Beweislast beim Steuerberater als dem Versender liegt. Darüber hinaus dürfen solche unverschlüsselt versandten E-Mails keine personenbezogenen Daten Dritter enthalten.“

Ebenfalls in diese Richtung äußert sich der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. Demnach ist ein Unterschreiten der Sicherheitsanforderungen bei der E-Mail-Kommunikation datenschutzrechtlich hinnehmbar, sofern eine freiwillige und informierte Einwilligung der betroffenen Person vorliegt. Als Maßstab für die Einwilligung ist auf Art. 7 DS-GVO abzustellen. Der Berufsgeheimnisträger muss gleichfalls jedoch eine verschlüsselte E-Mail-Kommunikation angeboten haben. Weiter muss der Berufsgeheimnisträger nachweisen, dass die betroffene Person in Kenntnis aller Risiken durch entsprechende Aufklärung sein Einverständnis erteilt hat, unverschlüsselt zu kommunizieren. Von einer informierten Einwilligung ist nicht auszugehen, wenn die betroffene Person, etwa ein Mandant, die unverschlüsselte E-Mail-Kommunikation beginnt. Dies gilt auch für den Fall, dass auf der Homepage des Berufsgeheimnisträgers ein „pauschaler“ Hinweis über die Unsicherheit der unverschlüsselten E-Mail-Kommunikation gegeben wird. Ausgeschlossen wird zudem die Erteilung der Einwilligung in den Fällen, in denen über personenbezogene Daten Dritter kommuniziert wird.

GIBT ES RECHTSPRECHUNG ZU DER THEMATIK?

Ursprünglich hatte sich das VG Berlin in einem Urteil vom 24.05.2011 (Az.: 1 K 133.10) dahingehend geäußert, dass es eine entsprechende Abdingbarkeit technische und organisatorische Maßnahmen anzunehmen sei. Andernfalls ergäbe sich eine Unvereinbarkeit mit dem Recht auf informationelle Selbstbestimmung. Das VG Mainz entschied im letzten Jahr in seinem Urteil vom 17.12.2020 (Az.: 1 K 778/19.MZ) zwar über die Art der Verschlüsselung, hat die Frage der Abdingbarkeit aber offengelassen.

FAZIT

Aus den bisherigen Äußerungen der einzelnen Aufsichtsbehörden geht hervor, dass diese nunmehr grundsätzlichen Möglichkeit des Betroffenen zur Erteilung einer Einwilligung in ein niedrigeres Schutzniveau annehmen, dies aber zugleich an entsprechende Voraussetzungen knüpfen. Unstreitig wird die Einwilligung den Anforderungen des Art. 7 (analog), Art. 4 Nr. 11 DS-GVO entsprechend müssen. Außerdem muss der Berufsgeheimnisträger ausreichend technische und organisatorische Maßnahmen vorhalten, m.a.W. eine verschlüsselte Kommunikation muss vor Erteilung der Einwilligung zumindest angeboten worden sein. Hier wird die Überlegung zu führen sein, dass sich das Angebot zur verschlüsselten Kommunikation nicht ausschließlich auf die E-Mail-Kommunikation beziehen muss. Unter Berufsgeheimnisträgern sind mittlerweile neben diversen E-Mail-Verschlüsselungslösungen ebenfalls Angebote zu Gateway-Lösungen oder Webportalen weit verbreitet. Es wird in der Praxis nicht ausreichend sein, dem Mandanten eine Einwilligung zur unverschlüsselten E-Mail-Kommunikation anzuringen, wenn tatsächlich schon keine Möglichkeit zur Einrichtung einer verschlüsselten Kommunikation besteht.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

SICHERN SIE IHREN ARBEITSPLATZ VOR ZUGRIFFEN DRITTER

Beim Verlassen des Arbeitsplatzes dürfen keine Dokumente und Dateien mit personenbezogenen Daten offenliegend zurückgelassen werden. Sichern Sie aus diesem Grund die verwendeten Endgeräte per passwortgeschützten Sperrbildschirm, schließen Sie geöffnete Akten und verwahren Sie diese nach Möglichkeit in verschließbaren Aktenschränken oder abschließbaren Transportbehältern. Bei einer längeren Abwesenheitszeit sind zudem – sofern möglich – die jeweiligen Räumlichkeiten zu verschließen oder mobile Endgeräte mitzuführen.

SCHÜTZEN SIE PERSONENBEZOGENE DATEN VOR NEUGIERIGEN BLICKEN

Zum Schutz vor neugierigen Blicken sollte Ihr Arbeitsplatz so eingerichtet sein, dass Besucher, Mitreisende oder andere unbefugte Dritte – hierzu gehören grundsätzlich auch Familienangehörige und Mitbewohner – keine Einsicht auf Ihren Bildschirm oder etwaige Dokumente nehmen können. Ist dies aufgrund der örtlichen Gegebenheiten nicht möglich, können Blickschutzfolien einen gleichwertigen Effekt erzielen. Die Verwendung von Blickschutzfolien empfiehlt sich außerdem bei der Nutzung mobiler Endgeräte an öffentlichen Plätzen und in Verkehrsmitteln.

HANDELN SIE IN RAHMEN VON TELEFONATEN UMSICHTIG

Wenn Sie Telefonate durchführen, sollten Sie je nach Sensibilität des Gesprächsinhaltes stets darauf achten, dass sich in unmittelbarer Nähe zu Ihnen keine unbefugten Personen aufhalten. Unter Umständen ist es sinnvoll, das Telefongespräch zunächst zu unterbrechen und einen Rückruf zu einem späteren Zeitpunkt zu vereinbaren. Erteilen Sie darüber hinaus nach Möglichkeit nur im beschränkten Umfang Auskünfte am Telefon. Insbesondere im Rahmen des Social Engineerings verlangen oftmals angebliche Kunden, Kollegen oder Dienstleister umfangreiche Informationen zu geschäftlichen Interna. Vereinbaren Sie im Zweifelsfall auch hierbei gegebenenfalls einen Rückruf und überprüfen Sie die hierfür angegebene Telefonnummer mit möglicherweise Ihnen bereits bekannten Nummern.

NUTZEN SIE AUSSCHLIEßLICH SICHERE NETZWERKVERBINDUNGEN

Auch wenn die jeweils eingesetzten EDV-Geräte sich auf dem aktuellen technischen Stand befinden und über eine aktuelle Sicherheitssoftware verfügen, stellen ungesicherte Netzwerkverbindungen ein erhebliches Sicherheitsrisiko dar. Achten Sie deshalb insbesondere im Rahmen des mobilen Arbeitens auf die ausschließliche Nutzung gesicherter Netzwerkverbindungen. Sollten derartige Netzwerke nicht zur Verfügung stehen, kann unter Umständen auch das dienstliche Smartphone als persönlicher Hotspot verwendet werden.

TRENNEN SIE BERUFLICHES VON PRIVATEM

Die Trennung von beruflichen und privaten Angelegenheiten ist auch im Bereich des Datenschutzes unbedingt zu beherzigen. Dementsprechend sollten über den vom Arbeitgeber zur Verfügung gestellten Arbeitsmitteln, wie beispielsweise Endgeräte und Zugänge zu E-Mail-Postfächern, ausschließlich für geschäftliche Zwecke genutzt werden. Ebenso ist der Einsatz von privaten Geräten (z.B. externe Festplatten oder Drucker) und Zugängen für geschäftliche Zwecke zu unterlassen, sofern dies nicht ausdrücklich von der Geschäftsführung erlaubt wurde.

VERNICHTEN SIE DOKUMENTE UND HARDWARWE MIT PERSONENBEZOGENEN DATEN DATENSCHUTZGERECHT

Werden Dokumente oder Hardware mit personenbezogenen Daten nicht mehr benötigt, sind diese datenschutzkonform zu entsorgen. Dabei muss sichergestellt werden, dass die Möglichkeit eines weiteren Zugriffs oder einer Wiederherstellung ausgeschlossen werden kann. Eine einfache Entsorgung der jeweiligen Datenträger über den Hausmüll ist nicht ausreichend. Papierunterlagen sind zumindest zu schreddern (vgl. DIN 66399, DIN EN 15713), Festplatten fachgerecht, beispielsweise über einen speziellen Dienstleister, zu entsorgen. Beachten Sie zudem, dass moderne Multifunktionsgeräte zum Teil ebenso über Festplatten verfügen, die personenbezogene Daten enthalten können.

MELDUNG VON DATENSCHUTZVERLETZUNGEN

Die Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 und Art. 34 DS-GVO sind ebenfalls im Rahmen des Homeoffices oder des mobilen Arbeitens einschlägig. Sollte Ihnen trotz Beachtung der zuvor aufgeführten Maßnahmen eine Datenschutzverletzung unterlaufen sein oder haben Sie Kenntnis von einer solchen erlangt, wenden Sie sich bitte umgehend sowohl an Ihren Vorgesetzten als auch an Ihren Datenschutzbeauftragten. Diese untersuchen den Vorfall und entscheiden anschließend über das weitere Vorgehen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

BESTEHT EINE (DATENSCHUTZRECHTLICHE) VERSCHLÜSSELUNGSPFLICHT?

Art. 32 DS-GVO führt diesbezüglich aus, dass für die Datenverarbeitung Verantwortliche geeignete technische und organisatorische Maßnahmen zu ergreifen haben, um ein dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenes Schutzniveau zu gewährleisten. Nach Art. 5 Abs. 1 lit. f) DS-GVO müssen Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet.  Dies umfasst u.a. den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen.

WELCHE INTENSITÄT MUSS DIE VERSCHLÜSSELUNG AUFWEISEN?

Man unterscheidet bei der Verschlüsselung von E-Mails grundsätzlich zwei Wege: Die Transport- und die Inhaltsverschlüsselung.

– Transportverschlüsselung: Die E-Mail-Nachrichten werden durch einen verschlüsselten Tunnel geschickt. Jedoch liegen die E-Mails nicht nur bei Absender und Empfänger im Klartext vor, sondern auch auf dazwischenliegenden Knoten. Nachrichten können also mitgelesen werden.

– Inhaltsverschlüsselung: Hierbei wird der E-Mail-Inhalt verschlüsselt. Jedoch bleiben die sogenannten Metadaten (Absender, Betreff der Nachricht, Empfänger usw.) unverschlüsselt und damit lesbar.

Sowohl Ende-zu-Ende-Verschlüsselung als auch Transportverschlüsselung mindern für ihren jeweiligen Anwendungszweck Risiken für die Vertraulichkeit der übertragenen Nachrichten. Der Einsatz von Transportverschlüsselung bietet einen Basis-Schutz und stellt eine Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen dar. In Verarbeitungssituationen mit normalen Risiken wird dabei bereits durch die Transportverschlüsselung eine ausreichende Risikominderung erreicht.[1] TLS („Transport Layer Security“) ist das Standardprotokoll für die Transportverschlüsselung und wird von den namenhaften europäischen Providern standardmäßig angeboten.

Einen deutlich weitergehenden Schutz der Vertraulichkeit der Inhaltsdaten erreichen Sie durch eine Ende-zu-Ende-Verschlüsselung, wofür derzeit die Internet-Standards S/MIME (RFC 5751) und OpenPGP (RFC4880) i.d.R. in Verbindung mit PGP/MIME (RFC 3156) zur Verfügung stehen. Technologien wie S/MIME oder PGP fehlt es nach wie vor am fehlenden Vernetzungseffekt.

Eine Lösung in der Breite kann vermutlich die sog. qualifizierte Transportverschlüsselung darstellen. E-Mails werden nach der vollautomatischen Verifizierung des Empfänger-Servers über eine sichere TLS-Verschlüsselung übertragen. Hierbei wird zunächst die IP-Adresse eines Empfänger-Systems fälschungssicher abgerufen. Anschließend erfolgt eine TLS-Zertifikatsprüfung des Servers und schließlich wird eine verschlüsselte Übertragung nur dann vorgenommen, wenn die vom BSI erlaubten Algorithmen, Chiffren und Schlüssellängen verwendet werden. In vielen Fällen ist die qualifizierte Transportverschlüsselung durch eine Erweiterung des E-Mail-Systems durch ein sog. Add-on möglich.

Grundsätzlich sollten E-Mails mit personenbezogenen Daten, sofern diese nicht pseudonymisiert werden, mindestens mit einer „Transportverschlüsselung“ versendet werden. Es ist jedoch zu berücksichtigen, dass bei einer Transportverschlüsselung die E-Mails auf den E-Mail-Servern im Klartext vorliegen und grundsätzlich einsehbar sind. Bei besonders schützenswerten Daten (z.B. Kontobewegungsdaten, Finanzierungsdaten, Daten zum Gesundheitszustand, Mandantendaten von Rechtsanwälten und Steuerberatern, Beschäftigtendaten) ist eine alleinige Transportverschlüsselung möglicherweise nicht ausreichend. Bei besonders sensiblen Daten sollte daher eine Inhaltsverschlüsselung das Mittel der Wahl darstellen. Sollte dies nicht gewährleistet werden können, sind ggf. alternative Übertragungswege denkbar.[2]

Entsprechende Alternativen können serverseitige Verschlüsselungslösungen, sog. E-Mail-Gateways, darstellen. Bei einem Secure E-Mail-Gateway laufen im Gegensatz zur Ende-zu-Ende-Verschlüsselung sämtliche kryptografischen Vorgänge, etwa das Verschlüsseln und Signieren von Inhalten, über ein dediziertes E-Mail-Gateway. Das Gateway wird an zentraler Stelle des Unternehmensnetzwerks implementiert und wahlweise als Aufsatz für einen bereits vorhandenen E-Mail-Server oder als eigenständiger Server eingesetzt. Weitere Alternativen können der elektronische Austausch über eine gesicherte Verbindung (Web-Portal des Verantwortlichen mit Zugangsbeschränkungen) oder die klassische postalische Zusendung darstellen.

WORAUF MUSS NOCH GEACHTET WERDEN?

Weitere relevante Kriterien sind zum einen Schnittstellen zu weiterer Sicherheitssoftware (bspw. Virenscanner, Firewall) sowie die E-Mail-Archivierung. Um die E-Mails gesetzeskonform identifizieren zu können, sollte das Archivsystem auf die E-Mail-Inhalte im Klartext zugreifen können.

IST EIN VERZICHT AUF DIE E-MAIL-VERSCHLÜSSELUNG MÖGLICH?

Ein Unterschreiten der genannten Sicherheitsanforderungen ist datenschutzrechtlich hinnehmbar, sofern eine freiwillige und informierte Einwilligung der betroffenen Person in eine unverschlüsselte E-Mail-Kommunikation vorliegt. Dies bedeutet unter anderem, dass der Berufsgeheimnisträger eine Verschlüsselung der E-Mail-Kommunikation angeboten haben muss.

Maßstab für die Anforderungen an eine derartige Einwilligung ist Art. 7 DS-GVO. Der Berufsgeheimnisträger hat hiernach nachzuweisen, dass die betroffene Person in Kenntnis aller Risiken durch entsprechende Aufklärung sein Einverständnis erteilt hat, unverschlüsselt zu kommunizieren. Zu Bedenken ist, dass eine solche Einwilligung der betroffenen Person, mit der ein direkter E-Mail-Kontakt besteht, allein nicht ausreichend ist, sofern auch personenbezogene Daten eines Dritten kommuniziert werden.

Von einer informierten Einwilligung ist nicht auszugehen, wenn die betroffene Person, etwa ein Mandant, die unverschlüsselte E-Mail-Kommunikation beginnt. Die Einholung einer pauschalen Einwilligung im Rahmen des der Rechtsbeziehung zugrundeliegenden allgemeinen Vertragswerkes (z.B. Mandatsvereinbarung, Behandlungsvertrag) dürfte problematisch sein, wenn diese mit der entsprechenden Aufklärung zusammen nicht besonders hervorgehoben ist.

FAZIT

In der Konsequenz müssen Verantwortliche i.S.d Art. 4 Nr. 7 DS-GVO – also auch Berufsgeheimnisträger unabhängig von ihrer Organisationsform – daher E-Mail-Kommunikation, die personenbezogene Daten enthält, dem Stand der Technik entsprechend datensicher organisieren, um sich keines Verstoßes gegen die genannten Normen vorwerfen lassen zu müssen.

[1] Orientierungshilfe der Datenschutzkonferenz zu „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail vom 13. Mai 2020.

[2] So die Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen und der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz in entsprechenden Pressemitteilungen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.