Dieser Artikel beantwortet Ihnen folgende Fragen:
Welche technischen und organisatorischen Maßnahmen sind im E-Mail-Verkehr erforderlich?
Welches übergeordnete Ziel verfolgt der Datenschutz im Allgemeinen?
Können Betroffene in ein Sicherheitsniveau unterhalb der Anforderungen des Art. 32 DSGVO einwilligen?
Es ist allgemein bekannt, dass auch die Verarbeitung personenbezogener Daten in E-Mails den strengen Datenschutzvorschriften der DSGVO unterliegt. Denn gemäß Art. 32 DSGVO sind Verantwortliche grundsätzlich dazu verpflichtet, angemessene technische und organisatorische Maßnahmen (TOM) zu ergreifen, um ein angemessenes Schutzniveau für personenbezogene Daten sicherzustellen. Überdies fordert Art. 5 Abs. 1 lit. f) DSGVO eine geeignete Sicherheit bei der Datenverarbeitung, einschließlich Schutz vor unbefugtem Zugriff, Verlust oder Schäden durch entsprechende Maßnahmen.
Um Verstöße gegen diese Normen zu verhindern, müssen etwa Behörden die Sicherheit ihrer E-Mail-Kommunikation gemäß aktuellem Stand der Technik gewährleisten. Daher ist es grundlegend erforderlich, dass E-Mails mit personenbezogenen Daten mindestens eine “Transportverschlüsselung” aufweisen, während bei besonders sensiblen Daten die Anwendung von “Inhaltsverschlüsselung” empfohlen wird.
Allerdings stellt sich die Frage, ob Betroffene die Möglichkeit haben, in ein bestimmtes (in der Praxis oft geringeres) Schutzniveau einzuwilligen oder ob die Vorgaben des Art. 32 DSGVO zwingend sind. Hiermit hatte sich das SG Hamburg in einem aktuellen Fall zu beschäftigten. Im Kern hatte das Gericht vorliegend über die Frage zu entscheiden, ob eine betroffene Person in den unverschlüsselten Versand von E-Mails (als niedrigeres Schutzniveau) einwilligen kann.
Hintergrund der Entscheidung
Der Kläger, der seit über zehn Jahren schwerbehindert und blind war, bezog Leistungen gemäß dem Sozialgesetzbuch, Zweites Buch (SGB II). In mehrfachen Anfragen an das Jobcenter bat er darum, ihm Bescheide und Formulare als PDF-Dokumente per unverschlüsselter E-Mail zukommen zu lassen. Grund hierfür war, dass er aufgrund seiner Behinderung Unterlagen in Papierform nicht lesen konnte. Er war deshalb auf die Nutzung einer Vorlesesoftware angewiesen ist. Diese Software war jedoch ausschließlich mit Dateien des PDF-Formats kompatibel.
Trotz wiederholter Bitten des Klägers entsprach das Jobcenter nicht seinem Wunsch. Das Jobcenter verweigerte die unverschlüsselte Übermittlung der Unterlagen mit Verweis auf Vorgaben des Datenschutzrechts und die daraus erwachsende Pflicht zur Einrichtung entsprechender TOMs, die im vorliegenden Fall die Verschlüsselung des E-Mailverkehrs erforderlich machen würden.
Der Kläger teilte mit, dass er mit einer unverschlüsselten Übersendung einverstanden sei. Darüber hinaus verwies er auf gesetzliche Vorschriften zur Barrierefreiheit. Er argumentierte, dass die technischen Anforderungen für verschlüsselte E-Mails für ihn unüberwindbar seien, da er spezielle Software nutzte, um PDF-Dateien in Braille-Schrift umzuwandeln.
Da das Jobcenter weiterhin die gewünschte Form der Dokumentenübermittlung verweigerte, sah sich der Kläger gezwungen, eine Klage einzureichen. Er forderte, dass ihm Bescheide und Formulare in barrierefreier Form, insbesondere als PDF-Dokument per unverschlüsselter E-Mail, zugesandt werden.
Entscheidung des Gerichts
Das Sozialgericht entschied, dass eine betroffene Person in den unverschlüsselten Versand von E-Mails einwilligen kann. Die Behörde war deshalb verpflichtet, dem Kläger sämtliche angeforderten Unterlagen als unverschlüsselte PDF-Dokumente per E-Mail zuzusenden.
Dieser Anspruch des Klägers ergab sich aus dem Behindertengleichstellungsgesetz, das sowohl bundesgesetzliche als auch hamburgische Regelungen einschloss.
Das Gericht wertete die ursprüngliche Anfrage des Klägers an die Behörde, ihm unverschlüsselte E-Mails zuzusenden, als Einwilligung gem. Art. 6 Abs. 1 a) DSGVO. Demnach war die Verarbeitung der personenbezogenen Daten grundsätzlich möglich.
Den vom Jobcenter vorgebrachten datenschutzrechtlichen Bedenken beim Versenden von unverschlüsselten Dokumenten widersprach das Gericht. Anders als die Behörde meinte, war das Gericht der Auffassung, dass die Verschlüsselung vorliegend nicht zwingend wegen Art. 32 DSGVO vorgenommen werden muss.
Was ist in Art. 32 DSGVO geregelt?
Art. 32 DSGVO legt die Verpflichtung für Verantwortliche und Auftragsverarbeiter fest, angemessene technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau personenbezogener Daten sicherzustellen. Diese Maßnahmen sollen insbesondere die Integrität, Vertraulichkeit und Verfügbarkeit der Daten gewährleisten. Zudem sieht der Artikel vor, dass bei der Einschätzung der Angemessenheit dieser Maßnahmen die Art, den Umfang, die Umstände und den Zweck der Verarbeitung sowie die unterschiedlichen Risiken für die Rechte und Freiheiten natürlicher Personen berücksichtigt werden müssen.
Das Gericht bemängelte insbesondere, dass keine angemessene Abwägung zwischen den Rechten des Klägers und den datenschutzrechtlichen Anforderungen vorgenommen wurde. Art. 32 DSGVO legt fest, dass technische und organisatorische Maßnahmen ergriffen werden müssen, um ein angemessenes Schutzniveau zu gewährleisten. Allerdings verlangt dieser Artikel nicht, dass Datensicherheit um jeden Preis durchgesetzt wird – so das SG Hamburg. Vielmehr müssen die potenziellen Risiken der Datenverarbeitung für die Rechte und Freiheiten des Betroffenen sorgfältig abgewogen werden.
In diesem speziellen Fall bestand jedoch eine besondere Situation. Es gab nicht nur die Gefahr einer Verletzung des Grundrechts des Klägers auf informationelle Selbstbestimmung, sondern auch das Risiko, dass sein individuelles Schutzrecht gegen Diskriminierung beeinträchtigt wird. Das Gericht betonte in diesem Zusammenhang, dass Datenschutz nicht um jeden Preis durchgesetzt werden sollte, insbesondere wenn die betroffene Person ihre ausdrückliche Einwilligung gegeben hat.
Das SG Hamburg führte in diesem Zusammenhang aus:
Es leuchtet dem Gericht nicht ein […] aus welchem Grund der Schutz der Daten des Klägers – in dessen unverschlüsselte Übermittlung er zur Durchsetzung seines Rechtes auf Gleichbehandlung längst eingewilligt hat (s.o.) – dem Recht übergeordnet werden soll, nicht benachteiligt zu werden.
Die Verweigerung der Behörde stand daher im Widerspruch zum Verfassungsrecht.
Bewertung für die Praxis
Die Frage, ob Betroffene darin einwilligen können, dass Verantwortliche oder Auftragsverarbeiter ganz oder teilweise auf Maßnahmen, Fähigkeiten und Verfahren gem. Art. 32 DSGVO verzichten, ist sowohl in der Literatur als auch in der vorhandenen Rechtsprechung umstritten.
Das Urteil des SG Hamburg bejaht dies mit der zentralen Botschaft, dass Datenschutz kein Selbstzweck ist, sondern vorrangig dem Schutz der informationellen Selbstbestimmung dient. Deshalb müsse die Entscheidung darüber, welche Risiken für ihre personenbezogenen Daten noch akzeptabel sind und welche nicht, als Ausfluss der Selbstbestimmung der betroffenen Person von ihr getroffen werden. Nach Ansicht des SG Hamburg kann eine Abdingbarkeit von technischen und organisatorischen Maßnahmen also in Betracht gezogen werden, wenn dies das Interesse des Betroffenen im Einzelfall erfordert.
Bisher hat jedoch weder der Europäische Gerichtshof (EuGH) noch ein höchstrichterliches Gericht zu dieser wichtigen Frage Stellung genommen. Es bleibt also abzuwarten, wie sich die Rechtsprechung in dieser Angelegenheit entwickeln wird.
