UPDATE: Ein neuer DSK-Beschluss wirbelt die bisherigen Argumente durcheinander. Zum aktuellen Diskussionsstand besuchen Sie bitte unseren Blogbeitrag zum Thema aus Dezember 2021!
Die Übermittlung sensibler Daten per Email stößt immer wieder auf datenschutzrechtliche Bedenken. In einem Vermerk hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit nun seine Rechtsauffassung zu den Datensicherheitspflichten nach Art. 32 DSGVO und der möglichen Einwilligung in ein niedrigeres Datensicherheitsniveau dargelegt – und zeigt sich dabei sehr praxisfreundlich. In diesem Beitrag stellen wir Ihnen die Einschätzung vor.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HamBfDI) hat in einem Vermerk dazu Stellung bezogen, ob Betroffene auf das nach Art. 32 DSGVO erforderliche Datensicherheitsniveau verzichten können. Anlass war die Frage, ob sensible Daten wie Gesundheitsdaten oder Steuerinformationen von Ärzten, Anwälten oder Steuerberatern per Email ohne eine Ende-zu-Ende-Verschlüsselung verschickt werden können, wenn die betroffene Person damit einverstanden ist, eigentlich aber nach Art. 32 DSGVO die Verschlüsselung erfolgen müsste.
Zur Erinnerung: Art. 32 DSGVO gibt Datenverarbeitern, Verantwortlichen wie Auftragsverarbeitern, vor, ein für die Datenverarbeitungssituation angemessenes Niveau der Datensicherheit zu schaffen. Dies hat der Datenverarbeiter durch Abwägung der Risiken der Verarbeitung, der Implementierungskosten und der Art, Weise und des Umfangs der Datenverarbeitung zu ermitteln und entsprechende Maßnahmen zu treffen. Das Niveau und die zu treffenden Maßnahmen sind dabei nicht abschließend vorgeschrieben, sondern risiko- und situationsabhängig. Bei der Übermittlung sensibler Daten wie Gesundheitsdaten, per Email wird es regelmäßig erforderlich sein, dass die Email-Kommunikation Ende-zu-Ende verschlüsselt ist. Eine reine Transportverschlüsselung ist regelmäßig nicht ausreichend. Zu datenschutzrechtlichen Problemen führt es, wenn eine der beiden Seitendieses Verschlüsselungsniveau nicht einhalten kann oder will. In diesen Fällen stellt sich die Frage, ob solche Daten trotzdem versendet werden dürfen, wenn der Betroffene darin einwilligt ist.
Selbstbestimmungsrecht der Betroffenen
Nach der Analyse des HamBfDI ist das eine Frage des (informationellen) Selbstbestimmungsrechts über personenbezogene Daten. Zwar sei es das Ziel der DSGVO, ein allgemeines, möglichst hohes und einheitliches Schutzniveau für personenbezogene Daten zu schaffen. Gleichzeitig solle aber auch das individuelle Selbstbestimmungsrecht der Betroffenen über ihre personenbezogenen Daten geschützt werden. Zum Selbstbestimmungsrecht gehöre es auch, so der HamBfDI, Entscheidungen darüber zu treffen, Daten unter einem suboptimalen Schutz verarbeiten zu lassen. Der HamBfDI vergleicht dies mit der Veröffentlichung sensibler Daten: Diese möge zwar in manchen Fällen nicht die objektiv klügste Entscheidung sein, es stehe dem Einzelnen aber zweifelsohne zu und es ist von der Rechtsordnung gedeckt, solche unklugen Entscheidungen über seine personenbezogenen Daten ohne Bevormundung zu treffen. So solle es sich auch mit der Entscheidung über ein niedrigeres Schutzniveau bei der Datenübertragung verhalten.
Aber: Verpflichtung der Verarbeiter
Während dem Betroffenen also die freie Entscheidung zusteht, ein niedrigeres Schutzniveau für seine personenbezogenen Daten zu wählen, sind die Datenverarbeiter nach Art. 32 DSGVO verpflichtet, ein geeignetes und angemessenes Niveau sicherzustellen. Dabei merkt der HamBfDI an, dass es für die Bestimmung des Niveaus nicht auf den Einzelfall, sondern auf das typische, für solche Verarbeitungssituationen angemessene Niveau ankommt. Deshalb müssten Datenverarbeiter grundsätzlich und unabhängig von dem möglichen Willen einzelner Betroffener die Vorkehrungen treffen, die zur Einhaltung des angemessenen Niveaus erforderlich sind. Im konkreten Fall der Email-Kommunikation heißt das, dass die Ende-zu-Ende-Verschlüsselung zumindest auf der eigenen Seite technisch und operationell ermöglicht werden muss.
Dadurch wird dann auch die Freiwilligkeit der Betroffenen gewahrt: Diese können zwischen einem angemessenen und abgesenkten Schutzniveau frei entscheiden, auch, weil der Verpflichtete ein angemessenes Schutzniveau anbietet. Die Einwilligung in ein sub-optimales Schutzniveau ist nicht notwendig, um die Leistung erhalten zu können. Problematisch sind also dann vor allem solche Geschäftsmodelle, im Rahmen derer keine angemessenen Maßnahmen umgesetzt werden. Die Freiwilligkeit könnte sich dann allenfalls in der freiwilligen Teilnahme wiederspiegeln. Dieses Problem potenziert sich, wenn es sich um Anwendungen handelt, die für die Betroffenen dringend notwendig sind und/oder keine Alternativen am Markt bestehen.
Einwilligung in niedrigeres Niveau möglich
Ist das gewährleistet soll es dem einzelnen Betroffenen möglich sein, durch Einwilligung auf die Implementierung des nach Art. 32 DSGVO erforderlichen Datenschutzniveaus zu verzichten. Die Einwilligung muss allerdings die Voraussetzungen der Art. 6 Abs. 1 UAbs. 1 lit. a, Art. 7 DSGVO erfüllen, also insbesondere nach angemessener Aufklärung und üblicherweise schriftlich und nur für den Einzelfall erteilt werden.
Noch einmal zusammengefasst bestehen also die folgenden Voraussetzungen:
- Der Verantwortliche oder Auftragsverarbeiter hat das erforderliche Datensicherheitsniveau nach Maßgabe des Art. 32 DSGVO geschaffen. Die Möglichkeit der Einwilligung des Betroffenen soll nicht genutzt werden, um Kosten zu sparen und den Betroffenen niedrigere Datensicherheit „aufzudrücken“.
- Die Einwilligung des Betroffenen muss die strengen Anforderungen der Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO und Art. 7 DSGVO erfüllen, bei sensitiven Daten auch des Art. 9 Abs. 2 lit. a DSGVO. Insbesondere muss die Einwilligung freiwillig und informiert erfolgen.
Sind diese Bedingungen erfüllt, hält der HamBfDI die Abweichung vom Niveau des Art. 32 DSGVO für zulässig.
Positive Einschätzung unter Vorbehalt
Bei dem Vermerk des HamBfDI handelt es sich um die Darlegung der Rechtsauffassung einer einzelnen Aufsichtsbehörde. Andere Aufsichtsbehörden und auch Stimmen in der Fachliteratur beurteilen die Abdingbarkeit des Art. 32 DSGVO anders. Neben verschiedenen rechtsdogmatischen Bedenken wird vor allem die Befürchtung geäußert, große Datenverarbeiter könnten Betroffenen ein niedrigeres Datenschutzniveau aufzwingen (s.o.). Aus diesem Grund wird die Frage der Abdingbarkeit des Art. 32 DSGVO teilweise verneint. Dem HamBfDI war daran gelegen, mit seinem Vermerk aufzuzeigen, dass und wie für Berufsgruppen wie Ärzte, Anwälte und Steuerberater, die regelmäßig Umgang mit sensiblen Daten haben, eine Übertragung per (nicht verschlüsselter) Email möglich ist.
Dabei könnte der Ansatz des HamBfDI einen auch für andere Behörden akzeptablen Kompromiss darstellen, da der Verpflichtete in jedem Fall das Angebot mit angemessenem Datensicherheitsniveau bereitstellen muss. Es ist daher nicht möglich – und dies sind oftmals die in der Praxis diskutierten Fälle – generell seitens der Verpflichteten auf ein angemessenes Datensicherheitsniveau zu verzichten und dies durch Einwilligungen der Betroffenen zu erlauben. Abweichend davon betont der HamBfDI, dass es eine echte Wahlmöglichkeit für die Betroffenen zwischen „Angebot mit angemessenem Datensicherheitsniveau“ und „Angebot mit abgesenktem Sicherheitsniveau“ geben muss.
Der Ansatz des HamBfDI wird daher in der Praxis vornehmlich dort helfen, wo grundsätzlich ein angemessenes Sicherheitsniveau gewährleistet ist, Betroffene dafür erforderliche Mitwirkungshandlungen aber meiden möchten. Ganz besonders interessant dürfte sein, ob sich aus dem Ansatz des HamBfDI auch eine Aussage zum Drittstaatentransfer ableiten lässt. Also ob Betroffene beispielsweise in eine Datenübermittlung in die USA einwilligen können, obwohl keine hinreichenden Sicherungsmaßnahmen für das Datenschutzniveau bestehen.
Der Vermerk des HamBfDI ist abrufbar unter https://datenschutz-hamburg.de/assets/pdf/Vermerk-Abdingbarkeit_TOMs.pdf