Österreichische Datenschutzbehörde sieht Einwilligung zu unverschlüsseltem E-Mail-Versand als unwirksam an

Datenschutz

von Arne Wolff

Die Verschlüsselung von E-Mails, insbesondere, wenn sie personenbezogene Daten enthalten, ist eigentlich selbstverständlich – sollte man zumindest meinen. Obwohl in Art. 32 Abs. 1 lit. a) der DSGVO ausdrücklich Verschlüsselung als Maßnahme zum Schutz erwähnt, scheuen einige Unternehmen Aufwand und Kosten der Implementation und versuchen, sich durch Einholen einer Einwilligung beim Betroffenen davon freizumachen.

Jedoch hat die österreichische Datenschutzbehörde (dsb) am 16.11.2018 (Az.: DSB-D213.692/0001-DSB/2018) in einem amtswegigen Prüfverfahren entschieden, das der Meldung einer Sicherheitsverletzung nach Art. 33 DSGVO gefolgt war, dass solche Einwilligungen unwirksam sind.

Im konkreten Fall hatte eine Allergie-Tagesklinik unter Hinweis auf die DSGVO ihre Klienten zur Einwilligung in die unverschlüsselte Übermittlung von Gesundheitsdaten aufgefordert; die Verschlüsselung sei verpflichtend und der Betroffene müsse deshalb seine Einwilligung dazu erteilen – die dsb widersprach dem.

Die dsb führt in ihrer Entscheidungsbegründung unter Punkt 3.2.2. aus:
„Die Verantwortliche bindet die Einwilligung zur Datenverarbeitung an eine Zustimmung zur unverschlüsselten Übermittlung von Daten, weil sie vermeint, die DSGVO statuiere eine – auch mittelbar aus den einschlägigen Regelungen nicht ableitbare – Verpflichtung, Daten verschlüsselt zu übermitteln.
Von einer allfälligen Verpflichtung zur verschlüsselten Übermittlung kann aber nicht mit einer Einwilligungserklärung von betroffenen Personen abgegangen werden. Die Frage, ob eine Übermittlung in verschlüsselter oder unverschlüsselter Form erfolgt, ist nämlich eine der Datensicherheitsmaßnahmen nach Art. 32 DSGVO und somit alleine von der Verantwortlichen zu beurteilen. Eine Einwilligung im Sinne des Art. 6 Abs. 1 lit. a bzw. Art. 9 Abs. 2 lit. a DSGVO ist schon deshalb nicht statthaft, weil die Einwilligung hier nicht dazu dient, um eine Rechtsgrundlage für die Datenverarbeitung zu schaffen, sondern um von – gegebenenfalls erforderlichen – Datensicherheitsmaßnahmen zum Nachteil von Betroffenen abweichen zu können.“

Mit anderen Worten:

  1. Die Verschlüsselung von E-Mails ist nicht grundsätzlich verpflichtend; ob diese Maßnahme zum Schutz der personenbezogenen Daten erforderlich ist, muss die verantwortliche Stelle entscheiden (ggf. mittels einer Datenschutzfolgenabschätzung), denn: „Es ist vielmehr die Pflicht eines Verantwortlichen adäquate Maßnahmen zu ergreifen, damit es nach allgemeinem Ermessen zu keiner Verletzung des Schutzes personenbezogener Daten kommt und folglich die Vorgaben der DSGVO eingehalten werden (Art. 24 DSGVO).“
  2. Eine Einwilligungserklärung muss zur Schaffung einer Rechtsgrundlage für die Datenverarbeitung dienen und kann nicht den Verantwortlichen ermächtigen, zum Nachteil des Betroffenen auf eigentlich erforderliche Schutzmaßnahmen zu verzichten.

Fazit

Zwar handelt es sich bei dem geschilderten Fall um eine behördliche (und damit für andere Unternehmen nicht rechtsverbindliche) Entscheidung und auch ein richterliches Urteil eines österreichischen Gerichtes hätte für deutsche Unternehmen keine bindende Wirkung (solange sie nicht in Österreich tätig sind), jedoch kann man davon ausgehen, dass deutsche Aufsichtsbehörden ähnlicher Auffassung sein werden, was die Wirksamkeit solcher Einwilligungen angeht.

Allerdings gibt es bei ihnen eine Tendenz dazu, aus Art. 32 DSGVO eine generelle Pflicht zur Verschlüsselung von E-Mails, die personenbezogene Daten enthalten, abzuleiten. Selbst wenn sich diese Haltung letztlich nicht durchsetzen sollte, ist anzunehmen, dass regelmäßig für eine Vielzahl von Kategorien personenbezogener Daten die Verschlüsselung als unabdingbare Schutzmaßnahme bei der Übertragung angesehen werden wird.

Link zur vollständigen Entscheidungsbegründung

Zurück