Update Datenschutz Nr. 115
Mal wieder: Unverschlüsselter Emailversand möglich?
Aus aktuellem Anlass – das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein („ULD“) teilte am 18.08.2022 der kassenärztlichen Vereinigung Schleswig-Holstein mit, dass durch das neue eRezept generierte QR-Codes nicht ohne weiteres per Email verschickt werden könnten – ist es notwendig, erneut das Thema Versand von Emails und personenbezogenen Daten ins Auge zu fassen. Verantwortliche beschäftigt es regelmäßig, welche Kommunikationsmöglichkeiten sie mit ihren Kunden und Geschäftspartnern haben. Der Postversand ist gegebenenfalls langsam und teuer, der Faxversand unsicher und Messenger lassen nur begrenzte Umfänge zu, von den weitergehenden datenschutzrechtlichen Fragen beim Einsatz von Messengern wie WhatsApp mal ganz abgesehen. Da liegt es nahe, auf Emails zurückzugreifen, da heutzutage fast jeder über eine Emailadresse verfügt. Das gilt für normale geschäftliche Kommunikation, aber auch für Kommunikation zwischen Arzt und Patient, Bank und Bankkunde oder Rechtsanwalt und Mandant.
I. Auffassung der Datenschutzkonferenz
Das Problem dabei ist, dass zumindest eine unverschlüsselte Email die Datensicherheit vergleichbar mit der Postkarte hat. Jeder, der sie auf dem Transportweg in die Hand nimmt, kann die Inhalte lesen. Daher ist es heute gängige Praxis, dass Emails transportverschlüsselt verschickt werden; nahezu alle professionelle Emailanbieter und Unternehmen verwenden diese Transportverschlüsselung.
Die Frage, die sich für Verantwortliche stellt, ist: Reicht das? Die in der Datenschutzkonferenz („DSK“) versammelten deutschen Datenschutzaufsichtsbehörden meinen, dass nein, jedenfalls wenn es um sensible personenbezogene Daten geht, wie etwa Bankinformationen oder Daten, die dem Berufsgeheimnis unterliegen.
Sie sind der Auffassung, dass eine Transportverschlüsselung allein nicht ausreicht, sondern zusätzlich eine qualifizierte inhaltliche Verschlüsselung vorgenommen werden müsse (vgl. Orientierungshilfe v. 13.03.2020, – siehe dazu unser Update Datenschutz Nr. 79 und Beschluss der DSK vom 24.11.2021). Insbesondere in ihrem Beschluss vom 24.11.2021 hält die DSK fest, dass die vom Verantwortlichen nach Art. 32 DSGVO vorzuhaltenden technischen und organisatorischen Maßnahmen nicht disponibel seien. Ein Verzicht auf hinreichende technische Maßnahmen sei auch nicht auf Basis einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO möglich. Diese Maßgabe relativiert die DSK in ihrem Beschluss vom 24.11.2021 etwas, indem sie festhält, dass in ganz besonderen Ausnahmefällen davon abgewichen werden könne. In ihrer öffentlichen Kommunikation und so auch im Fall des eRezepts geht sie aber auf diese Abweichungsmöglichkeiten nicht ein, so dass der Eindruck entsteht, dass Art. 32 DSGVO absolut anzuwenden sei.
II. Abweichende, flexiblere Rechtsprechung
Diese Position der Datenschutzkonferenz ist allerdings zu hinterfragen und es lohnt sich für Verantwortliche, einen genaueren Blick darauf zu werfen. Art. 32 DSGVO erfordert bei der Wahl der technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten, dass angemessene Mittel eingesetzt werden, die den notwendigen Schutz der Rechte und Freiheiten der Betroffenen berücksichtigen. Wenn aber ein Betroffener nach Kenntnis der Tatsachen auf einen besonderen Schutz seiner Rechte und Freiheiten verzichtet, dann ist es auch angemessen, das Schutzniveau der technischen und organisatorischen Maßnahmen abzusenken. Das ist auch nur folgerichtig, denn das Datenschutzrecht hat keinen absoluten Anspruch, sondern den Sinn und Zweck, die Selbstbestimmung der Betroffenen bei Verwendung ihrer personenbezogenen Daten zu gewährleisten. Das kommt gerade im Rahmen des Tatbestands der Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. Art. 7 DSGVO zum Ausdruck, denn dort erlaubt die DSGVO ja gerade Verarbeitungen, für die keine anderen Rechtsgrundlagen bestehen, anhand der informierten und freiwilligen Einwilligung der Betroffenen. Insoweit hält die DSGVO das Prinzip der Privatautonomie der Betroffenen aufrecht, indem sie gerade nicht einen absoluten Anspruch erhebt, sondern den Betroffenen immer noch Wahlmöglichkeiten anbietet.
Folgerichtig existiert mit einem Urteil des OLG Düsseldorf vom 28.10.2021 (OLG Düsseldorf, Urteil 28.10.2021, Az. 16 U 275/20) auch obergerichtliche Rechtsprechung, die ausdrücklich festhält, dass die DSGVO einem Verzicht auf einen verschlüsselten Versand von personenbezogenen Daten in Emails nicht entgegensteht. Das OLG Düsseldorf hält darin ausdrücklich fest:
„Die Einwilligung ist eine auf der privatautonomen Entscheidung des Betroffenen beruhender Rechtfertigungstatbestand. Es widerspräche der Privatautonomie, wenn die Einwilligung nicht zu einem Verzicht auf Anonymisierungs-, Pseudonymisierungs- sowie Verschlüsselungstechniken führen könnte.“ (OLG Düsseldorf, a.a.O., Rz. 66)
Dabei müssen aber selbstverständlich die Voraussetzungen für eine Einwilligung eingehalten werden. Insbesondere muss diese informiert und freiwillig sein. Außerdem hielt das OLG Düsseldorf fest, dass die Einwilligung in dem konkreten Fall möglich war, weil Alternativen wie der Postversand zur Verfügung standen.
III. Gestaltungsoptionen
Daraus ergeben sich folgende Handlungsempfehlungen für Verantwortliche:
- Auch wenn die Datenschutzkonferenz viel für die Auslegung der DSGVO tut, die kommunizierten Positionen sollten von Verantwortlichen stets genau betrachtet und hinterfragt werden. Gerichte sehen häufig die Fragen nicht ganz so apodiktisch wie die Datenschutzkonferenz und eröffnen Verantwortlichen Gestaltungsmöglichkeiten.
- In Bezug auf Emails ist ein unverschlüsselter Versand von personenbezogenen Daten mit Einwilligung der Betroffenen nach obergerichtlicher Rechtsprechung ausdrücklich möglich, wenn die Betroffenen hinreichend informiert werden, keine Zwangssituation besteht und sie auch alternative Wahlmöglichkeiten wie etwa den Postversand haben.
- Zu beachten ist aber, dass die Einwilligung tatsächlich direkt vom Betroffenen kommen muss. So kann ein Unternehmen beispielsweise nicht in den Versand von personenbezogenen Daten von seinen Mitarbeitern in unverschlüsselter Form einwilligen. Insoweit hat das Unternehmen keine Vertretungsmacht. Die Lösung der Einwilligung kann also nur im direkten Kontakt mit den jeweils Betroffenen angewendet werden. Für alle anderen Konstellationen muss der Verantwortliche andere Lösungen, dann eben auch qualifizierte Verschlüsselungen oder eine abgesicherte Datenaustauschplattform, finden.
Abschließend bleibt festzuhalten, dass die kassenärztliche Vereinigung Schleswig-Holstein nicht gleich ganz aufgeben hätte und seine Teilnahme an der Testphase des eRezepts beenden müssen, sondern alternative Wege hätte aufzeigen können. Gerade Ärzte haben direkt mit ihren Patienten zu tun, so dass der Weg der informierten Einwilligung hier durchaus möglich gewesen wäre. Andere Verantwortliche können insbesondere das Urteil des OLG Düsseldorf aufgreifen, um ihre Verfahren daran auszurichten.