mail verschlüsselung einwilligung

Ist eine Einwilligung für unverschlüsselten Versand von E-Mails überhaupt möglich?

Bereits im November 2018 entschied die Österreichische Datenschutzaufsicht im Rahmen einer Untersuchung der Verarbeitung personenbezogener Daten durch eine Allergie-Tagesklinik, dass Verstöße gegen mehrere Vorgaben der DS-GVO vorliegen. Wir wollen uns hier allerdings nur mit einem Detail des Urteils beschäftigen: Die Einwilligung in den unverschlüsselten Versand von Patientendaten ist gemäß dem Beschluss der Behörde unzulässig.

Einwilligungen nur in Verarbeitungen!

Wie kommt die Aufsichtsbehörde zu dieser Auffassung? Letztlich soll eine betroffene Person doch im Rahmen des informationellen Selbstbestimmungsrechts selbst entscheiden können, wie ihre personenbezogenen Daten verarbeitet werden?

Die Behörde argumentiert, dass die Einwilligung eine Rechtsgrundlage darstellt, auf deren Basis eine bestimmte Verarbeitung erfolgen kann oder sogar muss. Im vorliegenden Fall wollte ein Patient seine Patientendaten erhalten. Zur Übermittlung dieser Daten war der Verantwortliche verpflichtet, denn der Patient hatte mit seiner Anfrage von seinem Auskunftsrecht gemäß Art. 15 DS-GVO Gebrauch gemacht. Die Rechtsgrundlage war demnach nicht die Einwilligung der betroffenen Person, sondern die rechtliche Verpflichtung, der die Tagesklinik als Verantwortlicher unterlag. Die Art der Übermittlung (unverschlüsselt oder verschlüsselt) lag damit überhaupt nicht mehr im Dispositionsbereich der betroffenen Person. Zur Übermittlung waren – völlig unabhängig von dem Willen der betroffenen Person – die erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DS-GVO zu ergreifen. Insbesondere bei Gesundheitsdaten, die gemäß Art. 9 Abs. 1 DS-GVO zu den besonderen Kategorien personenbezogener Daten gehören, ist hier eine verschlüsselte Übermittlung erforderlich

Pragmatischer Ansatz

Wir halten die Argumentation der Aufsichtsbehörde für interessant und zumindest teilweise nachvollziehbar, sind aber der Auffassung, dass man hier auch deutlich pragmatischer hätte argumentieren können. Letztlich darf man nicht vergessen, dass sämtliche Maßnahmen und Regelungen des Datenschutzes ausschließlich dem informationellen Selbstbestimmungsrecht der betroffenen Personen dienen sollen. Kurz gesagt: Die betroffenen Personen sollen wissen, wie und welche Daten von ihnen verarbeitet werden und auf diese Verarbeitung einen größtmöglichen Einfluss haben. Bei der Gewährleistung dieses Grundrechts haben die Behörden zu unterstützen. Es geht genau nicht darum, den betroffenen Personen vorzuschreiben, wie sie denn ihre Daten zu schützen haben. Wenn jemand seine Gesundheitsdaten im Internet veröffentlichen möchte, dann darf er dies natürlich auch tun.

Und die Regelungen der DS-GVO bieten durchaus genug Spielraum, dieses informationelle Selbstbestimmungsrecht auch im Hinblick auf die unverschlüsselte Übermittlung von Gesundheitsdaten von Gesundheitseinrichtung zu Patient wahrnehmen zu können.

Freiwillige Einwilligung

Zunächst einmal halten wir die Argumentation der Aufsichtsbehörde, dass die Einwilligung hier nicht als Rechtsgrundlage dienen würde, für fragwürdig. Es spricht aus unserer Sicht nichts dagegen, auch wenn andere Rechtsgrundlagen zur Verarbeitung personenbezogener Daten vorliegen, sozusagen „freiwillig“ eine Einwilligung einzuholen. Sehr häufig wird dies beispielsweise getan, obwohl gemäß Art. 6 Abs. 1 lit. f DS-GVO aufgrund eines berechtigten Interesses die Verarbeitung ebenfalls durchgeführt werden könnte. Da gemäß Art. 6 Abs. 1 lit f DS-GVO aber zwischen den berechtigten Interessen des Verantwortlichen sowie den entgegenstehenden Interessen der betroffenen Person abzuwägen ist, besteht bei Anwendung dieser Rechtsgrundlage immer ein gewisses Restrisiko, dass jemand anderes (z.B. eine Aufsichtsbehörde im Rahmen einer Untersuchung) später zu einem anderen Ergebnis kommt und die Verarbeitung daher ohne gültige Rechtsgrundlage stattgefunden haben könnte. Die Einholung einer freiwilligen Einwilligung der betroffenen Person ist hier ein probates Mittel, um Rechtssicherheit zu erlangen.

Im hier vorliegenden Fall hätte man aus unserer Sicht ohne Weiteres auch argumentieren können, dass[anstatt auf die Rechtsgrundlage der Erfüllung einer rechtlichen Verpflichtung, freiwillig und auf Wunsch der betroffenen Person auf die Rechtsgrundlage der Einwilligung zurückgegriffen wird. Und genauso kann man argumentieren, dass die betroffene Person diese Einwilligung nach den eigenen Wünschen gestalten kann. Auch der unverschlüsselte Versand per E-Mail läge dann im Dispositionsbereich der betroffenen Person.

Wie sind die Informationen zur Verfügung zu stellen?

Aber selbst, wenn wir die Einwilligung nicht als Rechtsgrundlage zur Übermittlung der Patientendaten annehmen, räumt die DS-GVO den betroffenen Personen durchaus die Möglichkeit ein, über die Art der Übermittlung zu entscheiden.

Gemäß Art. 15 Abs. 3 DS-GVO, „sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie [die betroffene Person] nichts anderes angibt.“ Die DS-GVO selbst räumt der betroffenen Person also ein Dispositionsrecht hinsichtlich der Art der Übermittlung der zur Verfügung zu stellenden Informationen ein.

Grenzen der Einwilligung

Natürlich sind alle Anforderungen an eine wirksam erteilte Einwilligungserklärung zu erfüllen (siehe hierhier und hier). So muss die Einwilligung freiwillig sein. Das bedeutet, der Verantwortliche muss andere Wege einer sicheren Übermittlung anbieten. Auch wird ein Kind eine solche Einwilligung nicht erteilen können.

Was machen wir denn nun?

Wir sind der Auffassung, dass es sicher auf den Einzelfall ankommt. Insbesondere wird es relevant sein, wer die Einwilligung erteilt, wie diese formuliert ist, und welche alternativen Übermittlungswege der Verantwortliche anbietet.

Ein gewisses Rechtsrisiko sehen wir übrigens für beide Herangehensweisen:

Übermittelt eine Gesundheitseinrichtung Gesundheitsdaten aufgrund einer Einwilligung unverschlüsselt, kann dies dazu führen, dass die zuständige Aufsichtsbehörde dies beanstandet und zumindest versucht, ein Bußgeld zu verhängen. Im umgekehrten Fall ist es aber genauso gut möglich, dass eine betroffene Person, der es zu viel Aufwand bedeutet, sich mit Verschlüsselungstechnologie zu beschäftigen, dem Verantwortlichen vorwirft in unrechtmäßiger Weise die Geltendmachung des Auskunftsrechts zu erschweren und sogar gerichtliche gegen diesen vorgeht. Interessant ist in diesem Zusammenhang auch Erwägungsgrund 63 zum Auskunftsrecht, nach dem eine betroffene Person dieses Recht „problemlos“ wahrnehmen können soll. Unabhängig von der rechtlichen Zulässigkeit einer unverschlüsselten Kommunikation aufgrund einer Einwilligung, sind wir als Datenschützer natürlich der Meinung, dass ein Verantwortlicher immer darauf hinwirken sollte, dass die Kommunikation, gerade bei Übermittlung sensibler Daten, verschlüsselt erfolgt. Hierzu sollten möglichst einfache Wege einer verschlüsselten Übermittlung angeboten werden und die betroffene Person auf die bestehenden Risiken einer unverschlüsselten Kommunikation hingewiesen werden. In vielen Fällen wird oben beschriebenes Dilemma dann gar nicht auftreten.

Eine Spitzfindigkeit zum Schluss

Am Ende des Artikels möchten wir hier noch mit einer Spitzfindigkeit kommen: Art. 15 Abs. 3 DS-GVO verlangt, wie oben geschrieben, die Daten in einem gängigen elektronischen Format zu liefern. Hier wird vom Format gesprochen, nicht aber vom Übermittlungsweg. Unseres Erachtens sind Beispiele für gängige elektronische Formate Dateiformate, wie Excel, PDF, CSV und zahlreiche weitere. Diese kann man aber nicht nur per E-Mail versenden. Es wäre ebenso möglich, ein Portal zum https-verschlüsselten Download zur Verfügung zu stellen. Oder man könnte die Daten auf einem Datenträger, zum Beispiel einer DVD, per Post versenden. Unseres Erachtens wird bei Auskünften nach Art. 15 DS-GVO zu sehr am Übermittlungsweg E-Mail festgehalten.

Benötigen Sie Unterstützung bei Auskünften nach Art. 15 DS-GVO? Wir


Diesen Beitrag teilen