Das Landgericht Essen scheint keine Probleme mit dem Versand unverschlüsselter USB-Sticks zu haben. Dies ergibt sich aus einem kürzlich veröffentlichten Urteil.
Immobilienfinanzierung auf digitalen Daten gebaut
Ein Ehepaar wollte sich den Traum eines Eigenheims erfüllen und bemühte sich daher um eine Immobilienfinanzierung. Einer Bank stellten sie dazu über Dropbox entsprechende Dokumente zur Verfügung und warfen einen USB-Stick mit unverschlüsselten Daten in den Briefkasten der Bank.
Der USB-Stick enthielt Daten wie Ausweisdokumente, Steuerunterlagen, Daten zu Bestandsimmobilien, der avisierten Immobilie sowie weitere Unterlagen, die Aufschluss über die finanzielle Leistungsfähigkeit des Ehepaars gaben.
Lost and not Found
Nachdem es zu keiner Immobilienfinanzierung mit der Bank kam, übersandte die Bank den unverschlüsselten USB-Stick auf dem Postweg an das Ehepaar zurück, wo dieser wohl nie ankam, sondern nur ein leerer Umschlag. Ein „Lost and Found-Auftrag“ bei der Post blieb erfolglos.
Das Ehepaar war nun der Meinung, dass die Bank durch den Postversand einen Datenschutzverstoß begangen habe. Die Bank hätte die Daten vor dem Versand verschlüsseln oder anbieten müssen, den USB-Stick in der Filiale abholen zu können.
Die Bank behauptete, dass durchaus andere Übermittlungswege für die Übertragung der Daten zur Verfügung gestanden hätten, die das Ehepaar ja durchaus genutzt hatte (Dropbox). Es hätte aber auf die Übermittlung per USB-Stick bestanden. Außerdem hätte das Ehepaar die Daten selbst verschlüsseln müssen. Da es dies nicht getan habe, hätten sie den Daten keine hohe Bedeutung zugemessen, bzw. billigend in Kauf genommen, dass auch Unbefugte auf die Daten Zugriff nehmen könnten. Auch hätte das Ehepaar bei der Aufforderung der Rückgabe des USB-Sticks nicht um eine Verschlüsselung oder sonstige besondere Rückgabeform gebeten.
Datenschutzverstoß wegen fehlender Meldung der Datenpanne
Das Landgericht sah zunächst einen Datenschutzverstoß durch die Bank darin, dass sie verpflichtet gewesen wäre, den Verlust der Aufsichtsbehörde nach § 33 DSGVO zu melden. Dies habe sie nicht getan. Darüber hinaus sah das Landgericht auch eine Informationspflicht gegenüber dem Ehepaar nach Art. 34 DSGVO vor, wobei es vor allem um Informationen zu den Kontaktdaten des Datenschutzbeauftragten, die wahrscheinlichen Folgen des Datenschutzverstoßes und die ergriffenen Maßnahmen zur Abmilderung der Folgen gegangen wäre. Die Tatsache des Verlustes selbst gab das Ehepaar der Bank selbst zur Kenntnis.
Kein Datenschutzverstoß wegen fehlender Verschlüsselung
Dagegen war die Bank nach Ansicht des Landgerichts nicht dazu verpflichtet, den Inhalt des USB-Stick vor dem Versand auf dem Postweg zu verschlüsseln.
Zunächst sei der Verlust der Daten nicht im Hause der Bank erfolgt, sondern auf dem Postwege. Weiter zieht das Landgericht einen Vergleich mit dem Versand von Papierdokumenten. Es würden von verschiedensten Stellen ausgedruckte Dokumente mit sensiblen Informationen, z.B. Steuerbescheide, Schreiben von Anwälten und Steuerberatern o.Ä., mit einfacher Post versandt. Gegen solch eine Vorgehensweise sei nichts einzuwenden. Warum digitale Dokumente dann anders behandelt, sprich verschlüsselt, werden sollten, konnte das Landgericht nicht nachvollziehen.
Fazit
Die Argumentation des Landgerichts führt zu bemerkenswerten Folgen für die Datensicherheit. Das Thema Verschlüsselung, aber auch komplexe Passwortnutzung ist im Alltag ein nicht allzu beliebtes Thema und wird in der Bequemlichkeit der digitalen Nutzung oft als Hindernis wahrgenommen. Mit dem Motto „Ich habe nichts zu verbergen“ wird gern auf komplizierte Ende-zu-Ende Verschlüsselung bei E-Mails verzichtet, die Passwörter möglichst einfach gehalten oder ein einfach zu erratendes Wischmuster zum Entsperren des Smartphones genutzt. An die Folgen, wenn einmal das Smartphone oder ein USB-Stick verloren gehen, wird dann weniger gedacht.
Mit der Argumentation des Landgerichts würde für jeglichen Transportweg von Daten keine Verschlüsselung erforderlich sein. Dies beträfe beispielsweise auch E-Mails. Auch diese könnten dann durch einen Man-in-the-Middle-Angriff abgefangen und ggf. manipuliert werden. Explizit geht das Gericht auch auf den Versand durch Berufsgeheimnisträge wie Anwälte ein, also Berufsgruppen, die besonders schutzwürdige Daten versenden. Der Logik des Landgerichts nach, würde dies aber bei dem Erfordernis einer Verschlüsselung keinen Unterschied machen.
Naturgemäß sehen dies die Datenschutzaufsichtsbehörden anders, wie sie es in ihrer Orientierungshilfe „Technische und organisatorische Datenschutzfragen“ dargelegt haben. Aber auch Gerichte, wie das Verwaltungsgericht Mainz sieht zumindest eine Transportverschlüsselung als erforderlich an.
Daher ist man weiterhin gut beraten, jegliche Daten, die versandt werden, zu verschlüsseln. Dies erspart zumindest die Meldung – und damit Aufwand -einer Datenpanne bei Verlust der Daten.
9. November 2021 @ 14:02
Ehrlich gesagt halte ich die Entscheidung, gerade im Hinblick auf das Brief- und Postgeheimnis, für absolut nachvollziehbar und in keiner Weise mit einer unverschlüsselten E-Mail vergleichbar. Man kann eventuell darüber streiten, ob der Umschlag im Hinblick auf Reißfestigkeit entsprechend geeignet sein muss.
9. November 2021 @ 8:16
USB-Sticks, die in einem normalen Briefumschlag versandt werden, müssen fast zwangsläufig verloren gehen. Die Sticks werden aus den Umschlägen „herausgedrückt“ wenn diese durch die Walzen bei der Post laufen. Daher sollten USB-Sticks unbedingt in einem geeigneten Umschlag verschickt (und selbstverständlich verschlüsselt) werden.
5. November 2021 @ 12:49
Vielleicht ist der Richter 150 Jahre alt und kennt nur das Post-, Telegrafen- und Fernsprechgeheimnis :p