Mauß Datenschutz GmbH
  • Über uns
  • Hinweisgebersystem
  • Websitemonitoring
  • Kontakt
  • Blog
  • Newsletter
  • Impressum
  • Datenschutzhinweise
  • Click to open the search input field Click to open the search input field Suche
  • Menü Menü
e-mail verschlüsselung ao bfdi datenschutz schulung sensibilisierung datenschutzhinweise

Unverschlüsselter Versand von E-Mails mit Einwilligung – immer noch ein Thema

16. April 2021/von Datenschutzbeauftragter/tma

Die Kommunikation per E-Mail ist seit Jahren (Jahrzehnten?) in der Berufswelt und auch im privaten Bereich angekommen. E-Mails sind sozusagen „Stand der Technik“ bezogen auf die zur Verfügung stehenden Kommunikationsmittel. Leider wurden sie in den 80er Jahren „erfunden“, zu einer Zeit also, in der nicht absehbar war, dass sie in der Zukunft (heute) auch über öffentliche Netze (das Internet) verschickt werden. Das Thema „Privatheit“ ist dementsprechend wenig berücksichtigt worden. Bis heute wurde daran immer wieder gearbeitet. Aufgrund der notwendigen (oder zumindest gewünschten) Abwärtskompatibilität sind die gemachten Veränderungen jedoch stets Add-Ons geblieben, die man einsetzen kann (Betonung auf „kann“). So ist es auch beim Thema Verschlüsselung.

Verschlüsselung ist nicht gleich Verschlüsselung

Es existieren nicht nur mehrere Vorgehensweisen bei der Verschlüsselung (Transportverschlüsselung, Inhaltsverschlüsselung), sondern auch noch diverse Möglichkeiten, diese technisch zu implementieren: Symmetrisch, asymmetrisch und das auch noch mit unterschiedlichen Algorithmen und Verschlüsselungsstärken. Nicht alle Techniken sind miteinander kompatibel.

Anders ausgedrückt: Es gibt eine ganzes Bündel an möglichen Maßnahmen und wenn sich Sender und Empfänger nicht ausreichend absprechen und gegebenenfalls im Vorfeld sogar noch Daten (zum Beispiel die öffentlichen Schlüssel) austauschen, dann werden Versuche, verschlüsselt zu kommunizieren sehr anstrengend oder sogar scheitern.

Wird mit Privatpersonen kommuniziert, gestaltet sich das Ganze eher noch komplizierter, denn für Unternehmen ist die Einführung und konsequente Nutzung von Verschlüsselung zwar aufwändig und häufig auch teuer aber zumindest machbar. Privatpersonen sind jedoch nur in seltenen Fällen technisch so versiert, dass die Nutzung von Verschlüsselungstechniken problemlos funktioniert.

Alter Hut?

Hier ein kurzer Einschub: Ja, wir hatten bereits zwei Mal (siehe hier und hier) über das Thema E-Mails und Verschlüsselung berichtet. Es gibt aus technischer Sicht auch keine Neuigkeiten. Allerdings haben sich sowohl der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), als auch die Hamburgische Aufsichtsbehörde zu diesem Thema geäußert. Interessanter Weise mit teilweise unterschiedlichen, bzw. unterschiedlich dogmatischen, Ansichten. Dies ist unser eigentliches Thema, bis hierhin war nur Einleitung 😉.

Wie wir in unserem Artikel über die Anpassung der BORA geschrieben hatten, bezog die Hamburgische Aufsicht die Möglichkeit für den unverschlüsselten Versand von E-Mails zwischen Rechtsanwält*in und Mandant*in in der Vergangenheit ausschließlich bezogen auf das Mandatsgeheimnis. Sobald im Rahmen dieser Kommunikation auch personenbezogene Daten unverschlüsselt übermittelt werden, sollte diese Möglichkeit nicht bestehen. Dass dies eine für die Praxis vollkommen untaugliche Ansicht ist, versteht sich (vermutlich) von selbst.

Was sagt der BfDI?

Der BfDI argumentiert nun in seinem 29. Tätigkeitsbericht analog bezüglich der Anpassung der Abgabenordnung (AO). So wird nun seit 12.12.2020 im neu gefassten §87a Abs. 1 Satz 3 AO die unverschlüsselte Kommunikation per E-Mail erlaubt, „soweit alle betroffenen Personen schriftlich eingewilligt haben“. Eine ähnliche Regelung also wie in der BORA. Der BfDI führt wie folgt aus:

Eine Einwilligung kann sich nicht auf die gesetzliche Verpflichtung zur Einhaltung der notwendigen technischen und organisatorischen Maßnahmen beziehen. Das liegt daran, dass die vom Verantwortlichen zu treffenden technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO frei wählbar und damit nicht einwilligungsfähig sind.

… und was der HmbBfDI?

Ganz (naja, zumindest teilweise) anders sah das der Hamburgische Beauftragte für den Datenschutz und die Informationsfreiheit (HmbBfDI), also die Hamburgische Aufsichtsbehörde, in diesem Vermerk vom 18.02.2021: Dort wird zwar ähnlich argumentiert, dass die Verpflichtung des Art. 32 DSGVO, angemessene technische und organisatorische Maßnahmen (TOM) zu treffen, unabdingbar sind. Allerdings lässt sich der HmbBfDI nun (anders als noch im Jahr 2018) darauf ein, den betroffenen Personen das Recht zuzugestehen, auf die Anwendung der TOM in Einzelfällen freiwillig(!) zu verzichten. Mit anderen Worten: Wenn eine datenschutzrechtlich wirksame Einwilligung (siehe Art. 7 DSGVO und Art. 13 DSGVO) für den konkreten Einzelfall vorliegt, kann beispielsweise auf die Verschlüsselung personenbezogener Daten in E-Mails verzichtet werden. Das Thema der Freiwilligkeit dürfte hier der Knackpunkt sein. Um die Freiwilligkeit sicherzustellen, muss der für die Verarbeitung Verantwortliche in der Lage sein, verschlüsselt per E-Mail zu kommunizieren und somit diesen sicheren Übermittlungsweg zumindest anbieten. Nur dann darf er – auf Wunsch der betroffenen Person – darauf verzichten, diese einzusetzen. Dies wird voraussichtlich nur dann ein realistisches Szenario sein, wenn die betroffene Person nicht in der Lage ist, zu verschlüsseln. Ist der Verantwortliche aufgrund der fehlenden Implementierung einer Verschlüsselungsmöglichkeit gar nicht in der Lage, E-Mails zu verschlüsseln, dann wird hingegen die Einwilligung nicht als freiwillig anzusehen sein, da die Empfänger*in letztlich gar keine Wahl hat.

Dies formuliert der HmbBfDI in seinem Fazit auch sehr deutlich:

Der Verantwortliche und der Auftragsverarbeiter haben die nach Art. 32 DSGVO erforderlichen Maßnahmen zwingend umzusetzen und vorzuhalten. Betroffene Personen können in die Herabsetzung des nach Art. 32 DSGVO vorgesehenen Schutzniveaus allerdings bezogen auf ihre eigenen Daten im Einzelfall einwilligen, wenn die Einwilligung freiwillig im Sinne des Art. 7 DSGVO erfolgt. Dies setzt jedoch voraus, dass der Verantwortliche die nach Art. 32 DSGVO erforderlichen Schutzvorkehrungen grundsätzlich vorhält und der betroffenen Person auf Verlangen zur Verfügung stellt, ohne dass der betroffenen Person Nachteile dadurch entstehen.

Unstrittig ist, dass sich eine Einwilligung immer nur auf die eigene Person beziehen kann. Werden in einer Kommunikation auch personenbezogene Daten Dritter ausgetauscht (z.B. bei der Kommunikation mit dem Rechtsanwalt über die Prozessgegner*in), dann scheidet jegliche Möglichkeit des unverschlüsselten Versands auf Basis von AO, BORA oder Einwilligung aus.

Fazit

Letztlich bedeutet dies, dass die Verantwortlichen Technologien zur Verschlüsselung implementieren und anbieten müssen. Nur, sofern die betroffenen Personen dann freiwillig und im Einzelfall darauf verzichten, kann eine alternative unverschlüsselte Kommunikation auch zulässig sein. Die in der BORA und nun auch in der AO formulierten Ausnahmen von der Verschlüsselungspflicht können sich weiterhin ausschließlich auf die berufsrechtlichen Regelungen beziehen. Für jegliche Übermittlung personenbezogener Daten ist immer die DSGVO anzuwenden.

Müssen Sie mit betroffenen Personen per E-Mail kommunizieren? Wir unterstützen Sie bei der Auswahl und Einführung von Verschlüsselungslösungen.

https://datenschutzbeauftragter-hamburg.de/wp-content/uploads/2021/01/yada-yada-1432921-scaled.jpg 1707 2560 Datenschutzbeauftragter/tma /wp-content/uploads/2016/06/datenschutz_hamburg_logo.png Datenschutzbeauftragter/tma2021-04-16 10:45:082021-04-27 08:56:44Unverschlüsselter Versand von E-Mails mit Einwilligung – immer noch ein Thema
Das könnte Sie auch interessieren
gesetz rechtliche verpflichtung double opt in schrems standardvertragsklauseln scc c2p einwilligung drittstaaten transfers Serie Rechtsgrundlagen: Erfüllung einer rechtlichen Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO
bdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitung Beschäftigtendatenschutz nach der DSGVO und dem BDSG-neu
eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss uk einwilligung newsletter werbung soft opt-in EU arbeitet nach der DSGVO nun an der ePrivacy-Verordnung
datenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigert verschlüsselung Schadenersatz bei Datenschutzverstößen nach der DSGVO
widerruf einwilligung double opt in verzicht auf datenschutz consentmanager Serie Betroffenenrechte: Das Recht auf Widerruf einer Einwilligung nach Art. 7 Abs. 3 DSGVO
standard-datenschutzmodell datenschutz-folgenabschätzung datenübermittlung ausland prüfung dsms datenschutzmanagementsystem dsfa zertifizierung forschung zweckänderung prüfung fragebogen Pflicht zur Einführung eines Datenschutz-Management-Systems (DSMS) unter der DSGVO

Bitte beachten Sie

Unsere Beiträge sind stets als allgemeine Information zu verstehen. Sie stellen die persönliche Meinung der jeweiligen Autor*innen dar und können eine professionelle Datenschutzberatung nicht ersetzen. Für die Korrektheit übernehmen wir keine Gewähr. Alle Informationen basieren auf unserem Wissensstand zum Zeitpunkt der Veröffentlichung. Sie können möglicherweise durch Rechtsprechung, Aussagen der Aufsichtsbehörden zum Datenschutz, geänderte Gesetzgebung oder ähnliches nicht mehr aktuell sein. Dies gilt insbesondere mit zunehmendem zeitlichen Abstand zum Veröffentlichungszeitpunkt.

Melden Sie sich für unseren kostenlosen Newsletter an

Abonnieren Sie unseren kostenlosen Newsletter.

Selbstverständlich können Sie sich jederzeit wieder abmelden. Für alle weiteren Details beachten Sie bitte unsere Datenschutzhinweise.

Sie erhalten in den nächsten Minuten eine E-Mail mit einem Bestätigungs-Link. Bitte prüfen Sie Ihren Posteingang und ggf. auch den Spamordner. Bitte klicken Sie den Bestätigungs-Link an, um Ihr Abonnement zu bestätigen. Erst danach ist das Abonnement aktiv. Vielen Dank für Ihr Interesse an unserem Newsletter. Mauß Datenschutz GmbH

Suchen

Search Search

Kontakt

Mauß Datenschutz GmbH

Neuer Wall 10
20354 Hamburg

Telefon:
040 / 999 99 52-0

Rechtliches

Impressum
Datenschutzhinweise

© Copyright Mauß Datenschutz GmbH | Datenschutz | Impressum | Kontakt         
Link to: Auskunftsanfragen von Polizei und anderen Behörden Link to: Auskunftsanfragen von Polizei und anderen Behörden Auskunftsanfragen von Polizei und anderen Behördenbußgeld ermittlungen staatsanwaltschaft herausgabe Link to: Googles Cookie-Ersatz: FLoC – aus Datenschutzsicht eine Verbesserung? Link to: Googles Cookie-Ersatz: FLoC – aus Datenschutzsicht eine Verbesserung? google floc cookies trackingGoogles Cookie-Ersatz: FLoC – aus Datenschutzsicht eine Verbesserung?
Nach oben scrollen Nach oben scrollen Nach oben scrollen