Ist Artikel 32 DSGVO dispositiv?

Ich bin dieses Jahr mehrfach darüber gestolpert, dass ein Verantwortlicher meine Zustimmung dazu wollte, Informationen unverschlüsselt per Email zu verschicken — entsprechende Beschwerden bei der jeweils zuständigen Aufsicht laufen noch. Letztendlich habe ich den Eindruck, da steckt ein Muster dahinter, und dem will ich im folgenden nachgehen..

Aktualisierung 26.11.2021: sehr erfreulich, die Datenschutzkonferenz hat am 24.11.2021 beschlossen (Datenschutzkonferenz), dass ein Verzicht auf TOMs (Artikel 32) nur in Ausnahmefällen und auf ausdrückliche Initiative des Betroffenen erlaubt ist. Jede formularmäßige Verwendung dürfte damit ausscheiden.

Was besagt Artikel 32 DSGVO?

Artikel 32 "Sicherheit der Verarbeitung" der DSGVO fordert (DSGVO):

DSGVO Artikel 32 Sicherheit der Verarbeitung
(1)
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
a)
die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b)
die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c)
die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d)
ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
(2)
Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
(3)
...
(4)
...

Stand der Technik ist bei Email zumindest die obligatorische Transportverschlüsselung (Lindenberg), und die ist auch geboten, denn sonst kann mitgelesen werden, was eine unbefugte Offenlegung im Sinne der DSGVO wäre. Das ist übrigens nicht nur meine Meinung sondern findet sich auch in DskOrientierungshilfe, SydowMantz und Enisa. Streiten kann man natürlich darüber, ob darüberhinaus auch DKIM und qualifizierte Transportverschlüsselung Stand der Technik sind – meiner Meinung nach ja – oder auch S/MIME und PGP – meiner Meinung nach nein – beides schon beschrieben in Lindenberg.

Wie kommt man dann auf die Idee, Verschlüsselung sei optional?

Alle mir bekannten Stellen (siehe Fußnoten in Hamburg – leider liegen mir noch nicht alle Referenzen im Volltext vor) sehen im Prinzip eine Einwilligung nach Artikel 6 (1) a DSGVO (DSGVO) vor. Nur dass mit einer Einwilligung nach Artikel 6 (1) a eigentlich nur in den Zweck der Verarbeitung, das "ob", nicht in das "wie" oder die fehlende Sicherheit eingewilligt werden kann.

Eine ganz andere Argumentation könnte auch so aussehen: im deutschen Privatrecht gilt grundsätzlich der Vorrang individueller Absprachen (BGB § 305b). Allerdings findet dieser Vorrang individueller Gestaltung auch Grenzen wenn sie einen Beteiligten unangemessen benachteiligen. So ist z.B. das Widerrufsrecht im Online-Kauf durch (§ 312g BGB, § 356 BGB) vorgeschrieben und kann nicht abbedungen werden. Also muss man fragen dürfen, ob der Verzicht auf Verschlüsselung nicht auch durch BGB § 305c als überraschend und damit unwirksam anzusehen ist. Oder nach BGB §307 unwirksam sind, weil sie den Betroffenen "entgegen den Geboten von Treu und Glauben unangemessen benachteiligen". Leider findet sich in keiner der Quellen oben eine Diskussion dieser Schranken und ob man BGB §§ 305c oder 307 nicht auch auf solche Einwilligungen anwenden müsste – denn kaum ein normaler Betroffener wird wirklich verstehen welche Konsequenzen "unverschlüsselt" hat. Anscheinend will sich niemand mit den Verbraucherzentralen auf eine Diskussion einlassen...

Aber ganz dreist ist sicher, dass die Bundesrechtsanwaltskammer das in der Berufsordnung für Rechtsanwälte (BORA) legitimiert – und damit die gesetzliche Schweigepflicht unterläuft (BORA). Das ist sogar unter Rechtsanwälten umstritten (Römermann, Anwaltsverein). Ob die Bundesrechtsanwaltskammer die Änderungen an der BORA zurücknimmt (BRAK) oder es auf Prozesse ankommen lässt (Xing), wird sich zeigen.

Warum gerade Email-Verschlüsselung?

Alle mir bekannten Fälle, in denen auf eine Einwilligung zur Unsicherheit abgestellt wird, beziehen sich auf Email. Nun, die Orientierungshilfe (DskOrientierungshilfe) lässt unklar, welche Verschlüsselung wann ausreichend ist. Sie fordert mit "Der durchgreifendste Schutz der Vertraulichkeit der Inhaltsdaten wird durch Ende-zu-Ende-Verschlüsselung erreicht" und bei hohen Risiken muss der Verantwortliche "... sowohl qualifizierte Transportverschlüsselung (s. u. Nr. 5.2) als auch den Empfang von Ende zu Ende verschlüsselter Nachrichten ermöglichen." dazu auf, PGP oder S/MIME zu verwenden, was aber ganz eindeutig nicht praktikabel ist. Statt dass die Datenschutzkonferenz oder die Verantwortlichen überlegen, ob nicht qualifizierte oder – je nach Risiko – sogar nur obligatorische Transportverschlüsselung ausreichend ist und die ggfs. erzwingen, wird gleich Verschlüsselung insgesamt abgewählt. Das darf nicht das Ziel von Sicherheit oder Datenschutz sein. Wie schon in Lindenberg ausgeführt, eine Empfehlung, auf DNSSEC und DKIM zu setzen, wäre vermutlich hilfreich, noch besser wenn sich BSI und BfDI auf eine einheitliche Empfehlung DNSSEC und DKIM ja, DANE optional, einigen könnten.

Was sagt die Aufsicht?

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat die Möglichkeit Einwilligung zur Unsicherheit bejaht (Hamburg). In dieser Quelle wird auch behauptet, das Bayerische Landesamt für Datenschutz sehe das auch so, aber lesen Sie selbst Bayern – ich lese da jedenfalls nicht, dass unverschlüsselt akzeptabel ist. Ansonsten istwar mir ist nicht bekannt, dass sich der Bundesdatenschutzbeauftragte, das BfDI, oder die Datenschutzkonferenz bisher zu dieser Problematik geäußert hat.

Allerdings hat die österreichische Datenschutzaufsicht eindeutig festgestellt, dass "Von einer allfälligen Verpflichtung zur verschlüsselten Übermittlung kann aber nicht mit einer Einwilligungserklärung von betroffenen Personen abgegangen werden. Die Frage, ob eine Übermittlung in verschlüsselter oder unverschlüsselter Form erfolgt, ist nämlich eine der Datensicherheitsmaßnahmen nach Art. 32 DSGVO und somit alleine von der Verantwortlichen zu beurteilen. Eine Einwilligung im Sinne des Art. 6 Abs. 1 lit. a bzw. Art. 9 Abs. 2 lit. a DSGVO ist schon deshalb nicht statthaft, weil die Einwilligung hier nicht dazu dient, um eine Rechtsgrundlage für die Datenverarbeitung zu schaffen, sondern um von – gegebenenfalls erforderlichen – Datensicherheitsmaßnahmen zum Nachteil von Betroffenen abweichen zu können." (Austria)

Sollte sich das BfDI daher auf die Seite Artikel 32 ist verhandelbar stellen, dann weichen die Meinungen zweier Aufsichten voneinander ab, und es wäre ein Kohärenz-Verfahren nach Artikel 60 / 63ff zu beginnen. Und genau das willwollte ich mit meiner Anfrage FragDenStaat lostreten. Erfreulich, dass die Datenschutzkonferenz da eine Entscheidung gefällt hat (Datenschutzkonferenz).

Autor(en)TitelZitate / Kommentare
#1Europäisches Parlament und RatDatenschutzgrundverordnung (EU 2016/679)
#2Joachim LindenbergEmail-Verschlüsselung
#3DatenschutzkonferenzMaßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail (2021)"Der Einsatz von Transportverschlüsselung bietet einen Basis-Schutz und stellt eine Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen dar."
#4Mantz, in Sydow (Hrsg)Europäische Datenschutzgrundverordnung (2. Auflage, 2018)Artikel 32 Rn 11: "... Typische Anwendungsfälle von Verschlüsselung liegen im Versand von E-Mails und der Ablage von Daten in (verschlüsselnden) Datenbanken. ..."
#5EnisaHandbook on Security of Personal Data Processing (2017)O.1: "Whenever access is performed through the Internet, communication should be encrypted through cryptographic protocols (TLS/SSL)." (p. 58)
#6Martini, in Paal, Pauly (Hrsg)DS-GVO, BDSG (3. Aufl. 2021)Art. 32 DSGVO Rn. 4a
"Art. 32 lässt offen, ob der Betroffene den Verantwortlichen bzw. den Auftragsverarbeiter auch aus freien Stücken von der Pflicht dispensieren kann, ein risikoadäquates Sicherheitsniveau zu gewährleisten... Die Frage hatten Wissenschaft und Praxis bereits unter Geltung des § 9 BDSG aF kontrovers diskutiert..."
#7BundesrechtsanwaltskammerBerufsordnung für Rechtsanwälte (BORA) §2 (2)"Zwischen Rechtsanwalt und Mandant ist die Nutzung eines elektronischen oder sonstigen Kommunikationsweges, der mit Risiken für die Vertraulichkeit dieser Kommunikation verbunden ist, jedenfalls dann erlaubt, wenn der Mandant ihr zustimmt. Von einer Zustimmung ist auszugehen, wenn der Mandant diesen Kommunikationsweg vorschlägt oder beginnt und ihn, nachdem der Rechtsanwalt zumindest pauschal und ohne technische Details auf die Risiken hingewiesen hat, fortsetzt."
#8Römermann/PraßBeckOK BORA (30. Edition 2020), § 2 BORA Rn. 43 -44;
#9Kallenbach, LührigVerschwiegenheit: § 2 BORA zu E-Mails des Anwalts an Mandanten ab 2020"Die 6. Satzungsversammlung der Bundesrechtsanwaltskammer war am 6. Mai 2019 mit einem für die Anwaltspraxis wichtigen Beschluss zu Ende gegangen: In vielen Fällen können Anwältinnen und Anwälte zukünftig unverschlüsselt per E-Mail mit Mandanten kommunizieren, ohne gegen die Berufspflicht zur Verschwiegenheit zu verstoßen."
#10Der Hamburgische Beauftragte für Datenschutz und InformationsfreiheitVermerk: Abdingbarkeit von TOMs (Art. 32 DSGVO) (2021)"Der Verantwortliche und der Auftragsverarbeiter haben die nach Art. 32 DSGVO erforderlichen Maßnahmen zwingend umzusetzen und vorzuhalten. Betroffene Personen können in die Herabsetzung des nach Art. 32 DSGVO vorgesehenen Schutzniveaus allerdings bezogen auf ihre eigenen Daten im Einzelfall einwilligen, wenn die Einwilligung freiwillig im Sinne des Art. 7 DSGVO erfolgt. Dies setzt jedoch voraus, dass der Verantwortliche die nach Art. 32 DSGVO erforderlichen Schutzvorkehrungen grundsätzlich vorhält und der betroffenen Person auf Verlangen zur Verfügung stellt, ohne dass der betroffenen Person Nachteile dadurch entstehen."
#11Bayerisches Landesamt für DatenschutzaufsichtTätigkeitsbericht 2015/16, S. 99"Ein Unterschreiten dieser Sicherheitsanforderung ist nur mit Einwilligung des Betroffenen möglich und nur zulässig, wenn den Patienten bzw. Kunden eine sichere Alternative, wie oben beschrieben, ohne Medienbruch (d. h. Verweis auf Post nicht ausreichend) angeboten wird. Der Nutzer muss zudem deutlich und verständlich darüber informiert werden, welcher Übertragungsweg dem Stand der Technik entspricht und welcher nicht – und vor der weniger sicheren Versendung aktiv (z. B. durch Setzen eines Häkchens) bestätigen, dass er trotz der Möglichkeit der sicheren Versendung seine Daten lediglich per transportverschlüsselter E-Mail übertragen möchte"
#12Die (österreichische) DatenschutzbehördeDSB-D213.692/0001-DSB/2018 (2018) "Von einer allfälligen Verpflichtung zur verschlüsselten Übermittlung kann aber nicht mit einer Einwilligungserklärung von betroffenen Personen abgegangen werden. Die Frage, ob eine Übermittlung in verschlüsselter oder unverschlüsselter Form erfolgt, ist nämlich eine der Datensicherheitsmaßnahmen nach Art. 32 DSGVO und somit alleine von der Verantwortlichen zu beurteilen. Eine Einwilligung im Sinne des Art. 6 Abs. 1 lit. a bzw. Art. 9 Abs. 2 lit. a DSGVO ist schon deshalb nicht statthaft, weil die Einwilligung hier nicht dazu dient, um eine Rechtsgrundlage für die Datenverarbeitung zu schaffen, sondern um von – gegebenenfalls erforderlichen – Datensicherheitsmaßnahmen zum Nachteil von Betroffenen abweichen zu können."
#13Joachim LindenbergArtikel 32 DSGVO – Dispositiv?
#14DatenschutzkonferenzZur Möglichkeit der Nichtanwendung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO auf ausdrücklichen Wunsch betroffener Personen
#15Joachim LindenbergVerzicht auf TOMs, insbesondere Verschlüsselung – BRAO §2?
#16Diskussion in der Gruppe Datenschutzbeauftragte auf Xing (Anmeldung und Gruppenbeitritt erforderlich)Die Datenschutzkonferenz hat am 24.11.2021 beschlossen, dass ein Verzicht auf TOMs (Artikel 32) nur in Ausnahmefällen und auf ausdrückliche Initiative des Betroffenen erlaubt ist.

Veröffentlicht am 23.11.2021, zuletzt geändert am 27.11.2021.

© 2021 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.