die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) hat in einem Beitrag[i] erläutert, welche technischen Anforderungen beim Versand einer E-Mail beachtet werden sollten.
Da auch die zum Transport notwendigen Daten personenbezogene Daten enthalten (u.a. Absender und Empfänger), wird eine Transportverschlüsselung als Mindestmaßnahme betrachtet. Da dies heute eigentlich bei allen Providern gängige Praxis ist und auch von allen Mailsystemen soweit unterstützt wird, dürften hier keine großen Hindernisse zu erwarten sein. Allerdings wird korrekterweise darauf hingewiesen, dass die jeweilige E-Mail bei der Nutzung einer Transportverschlüsselung auf jedem E-Mail-Server, der an der Kommunikationskette beteiligt ist, im Klartext vorliegt.
Daher geht das LDI davon aus, dass die E-Mails bei „besonders schützenswerten Daten“ (z.B. Kontobewegungsdaten, Gesundheitsdaten, Daten, die einer Verschwiegenheitspflicht unterliegen) eine Transportverschlüsselung möglicherweise nicht ausreichend ist. Als mögliche Maßnahmen wird natürlich die Ende-zu-Ende-Verschlüsselung von E-Mails genannt, aber auch Web-Portale oder die postalische Zustellung werden genannt.
Dies ist nicht neu, wir haben in unseren Beratungen und Informationsschreiben schon oft darauf hingewiesen. Sie erinnern sich sicher an den häufig referenzierten Satz „E-Mails sind wie Postkarten, jeder kann die Lesen“.
Interessant in diesem Zusammenhang ist die neue BORA-Norm, die die Bundesrechtsanwaltskammer (BRAK) im Mai 2019 erlassen hat. So soll der §2 der Berufsordnung der Rechtsanwälte (BORA) zukünftig regeln, dass Rechtsanwälte nur dann zur Verschlüsselung von E-Mails verpflichtet sind, wenn zuvor auf das Risiko hingewiesen wurde und der Betroffene auch dann nicht auf eine verschlüsselte Übermittlung besteht.[ii]
Interessant ist diese neue BORA-Norm vor allem, weil der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit bereits im Januar 2018 festgestellt hat, dass die Einhaltung technischer und organisatorischer Maßnahmen nach dem Stand der Technik nicht abdingbar sind und daher auch eine Einwilligung des Betroffenen in dieser Hinsicht nicht zur Absenkung der Sicherheit führen darf. Vielmehr betrachten die Aufsichtsbehörden die Einwilligung aus Art. 6 Abs. 1 lit. a bzw. Art. 7 DSGVO nur als Mittel zur Erlangung einer Rechtsgrundlage zur Datenverarbeitung. Im Ergebnis dürfte die Einwilligung nicht zur Reduzierung des Sicherheitsniveaus nutzbar sein.
Kurz und knapp: Die DSGVO sieht technische und organisatorische Maßnahmen vor, die nach Umfang der Verarbeitung und nach Risiko für den Betroffenen ausgewählt und umgesetzt werden müssen. Eine Unterschreitung dieses Sicherheitsniveaus ist nicht zulässig. Dies würde nach den Plänen der BRAK allerdings geschehen, unsere Beratung geht hier also ganz klar in eine andere Richtung.
Da sich auch mit der DSGVO prinzipiell nichts an der Vorgabe zur Gewährleistung der Vertraulichkeit durch technische und organisatorische Maßnahmen nach dem Stand der Technik geändert hat, dürfte die Meinung auch weiterhin Bestand haben. Ganz wichtig ist in diesem Zusammenhang das zu erwartende Risiko: Ein Verstoß gegen den damaligen §9 BDSG wurde nicht als Ordnungswidrigkeit geahndet – unter der DSGVO kann ein Verstoß gegen Art. 32 DSGVO allerdings sehr wohl mit einem Bußgeld geahndet werden.
Auch wenn die BORA-Norm als Gesetz in die Berufsordnung einfließt, sehen wir die tatsächliche Anwendbarkeit sehr kritisch, denn die Regelung widerspricht der DSGVO, die als europäische Rechtsnorm über den nationalen Gesetzen steht.
Es wird also spannend bleiben, ob die neue Norm wirklich in die Berufsordnung übernommen wird, wie sich die Aufsichtsbehörden diesbezüglich positionieren werden und ob von dieser Norm eine Signalwirkung in andere Rechtbereiche ausgehen wird.
Wir bleiben für Sie am Ball!
Quellen:
[i] https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Technische-Anforderungen-an-technische-und-organisatorische-Massnahmen-beim-E-Mail-Versand/Technische-Anforderungen-an-technische-und-organisatorische-Massnahmen-beim-E-Mail-Versand.html [ii] https://anwaltsblatt.anwaltverein.de/de/anwaeltinnen-anwaelte/anwaltspraxis/verschwiegenheit-neue-bora-norm-zu-e-mails-an-mandanten?full=1#panel-der-neue-2-bora-im-wortlautAnlage: Veröffentlichtung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 08.01.2018
