Personenbezogene Daten in unverschlüsselten E-Mails

Mit Beschluss vom 16.11.2018 (Az. DSB-D213.692/0001-DSB/2018) hat die Datenschutzbehörde in Österreich (dsb) in einem Prüfverfahren gegenüber einer Allergie-Tagesklinik entschieden, dass eine Einwilligung in den unverschlüsselten Versand von personenbezogenen Daten unwirksam ist. Der Beschluss ist mittlerweile rechtskräftig.

Argumentation der Datenschutzbehörde

Die österreichische Aufsichtsbehörde stufte die Einwilligungserklärung aus mehreren Gründen als unwirksam ein. Zum einen sei die Regelung nicht hinreichend bestimmt.  In der bereitgestellten Information nach Art. 13 DSGVO werde als Rechtsgrundlage zwar die Einwilligung genannt, es würden jedoch auch andere Rechtsgrundlagen, wie beispielsweise die Erfüllung rechtlicher Verpflichtungen oder die Wahrung berechtigter Interessen angeführt. Insofern sei unklar, für welche konkreten Datenverarbeitungen die Einwilligung die Rechtsgrundlage sei.

Eine etwaige Verpflichtung zur verschlüsselten Übermittlung könne nicht mit einer Einwilligungserklärung von betroffenen Personen umgangen werden. Ob eine Übermittlung verschlüsselt oder unverschlüsselt erfolge, sei eine der Datensicherheitsmaßnahmen nach Art. 32 DSGVO und somit alleine von der Verantwortlichen zu beurteilen. Eine Einwilligung im Sinne des Art. 6 Abs. 1 lit. a) bzw. Art. 9 Abs. 2 lit. a) DSGVO sei schon deshalb nicht statthaft, weil die Einwilligung hier nicht dazu diene, um eine Rechtsgrundlage für die Datenverarbeitung zu schaffen, sondern um von – gegebenenfalls erforderlichen – Datensicherheitsmaßnahmen zum Nachteil von Betroffenen abweichen zu können.

Konsequenz für Unternehmen

Unabhängig davon, dass es sich um eine behördliche und damit (für andere Unternehmen) ohnehin nicht rechtsverbindliche Entscheidung handelt, hätte aber auch die Entscheidung eines österreichischen Gerichts keine Bindungswirkung für deutsche Unternehmen (zumindest, soweit diese nicht auch in Österreich tätig sind).

Ob sich aus Art. 32 DSGVO eine generelle Pflicht ergibt, jede E-Mail zu verschlüsseln, ist hierzulande noch nicht abschließend geklärt. Auch wenn es sich in diesem Fall um den Beschluss einer österreichischen Behörde handelt, könnte die Entscheidung auch in Deutschland Kreise ziehen. In Deutschland wurde jedoch bereits im Zusammenhang mit § 9 BDSG-alt in Literatur und Praxis darüber diskutiert, ob betroffene Personen mittels Einwilligung auf die Einhaltung technischer und organisatorischer Maßnahmen verzichten können.

Es besteht allerdings auch in der DSGVO ausdrücklich die Möglichkeit aufgrund einer Einwilligung die Risiken für die Rechte und Freiheiten der betroffenen Person zu erhöhen. Nach Art. 49 DSGVO kann die Übermittlung von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation (bei Fehlen eines Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO und geeigneter Garantien nach Art. 46 DSGVO) auf eine ausdrückliche Einwilligung der betroffenen Person gestützt werden, wenn diese zuvor über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.

Insbesondere bei Unternehmen erscheint es aus Praktikabilitätsgründen sinnvoll eine Einwilligung in den unverschlüsselten E-Mail Empfang einzuholen, da wenn E-Mails Ende-zu-Ende verschlüsselt sind, können diese beispielsweise nicht mehr an weitere Empfänger weiterleitergeleitet werden. Sofern Berufsträger eine Einwilligung einholen ist auf die Regelungen des § 203 StGB gesondert hinzuweisen.