Nach Art. 32 DSGVO ist jeder Verantwortliche und Auftragsverarbeiter dazu verpflichtet technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Schutzniveau für die verarbeiteten personenbezogenen Daten zu gewährleisten. Bei der Auswahl der geeigneten Maßnahmen hat der Verantwortliche oder Auftragsverarbeiter hierbei insbesondere die Art, den Umfang und die Zwecke der Verarbeitung zu berücksichtigen. Auch gilt es die möglichen Risiken für die Rechte und Freiheiten natürlicher Personen in die Auswahl mit einzubeziehen.
Möchte ein Unternehmen beispielsweise personenbezogene Daten mit einem „normalen“ Schutzniveau wie z.B. Namen, Adressdaten, Telefonnummern, etc. per E-Mail übermitteln, bietet regelmäßig eine nach dem Stand der Technik entsprechende Transportverschlüsselung (TLS 1.2 oder TLS 1.3) ein solches angemessenes Schutzniveau. Voraussetzung für die ausreichende Transportverschlüsselung ist allerdings, dass sowohl der E-Mail-Server des Absenders sowie der E-Mail-Server des Empfängers so konfiguriert sind, dass eine Transportverschlüsselung unterstützt wird. Nicht selten ist es allerdings noch der Fall, dass der Server des Absenders zwar die Transportverschlüsselung unterstütz, der Server des Empfängers jedoch nicht. Ist der Server des Absenders auf „optional TLS“ eingestellt und macht den Versand der E-Mail damit nicht von einer TLS -Verschlüsselung abhängig, hat dies zur Folge, dass diese E-Mail ohne Transportverschlüsselung an den Empfänger geschickt wird. In diesem Fall hat der Inhalt der E-Mail dann tatsächlich das Schutzniveau einer Postkarte.
Zu den verschiedenen Methoden der E-Mail-Verschlüsselung hat die Datenschutzkonferenz zwischenzeitlich auch eine Orientierungshilfe herausgegeben (wir berichteten).
Sollen personenbezogene Daten mit einem „hohen Schutzniveau“, wie z.B. Patientendaten, Gesundheitsdaten, Informationen zu Straftraten etc. übermittelt werden, ist regelmäßig eine Ende-zu-Ende-Verschlüsselung (z.B. per PGP) erforderlich, um ein angemessenes Schutzniveau zu gewährleisten. Da viele Unternehmen, Anwälte, Arztpraxen, Labore etc. eine solche Ende-zu-Ende-Verschlüsselung in der alltäglichen Praxis jedoch nicht umsetzen können bzw. die Empfänger nicht mit dem Mehraufwand „belästigen“ möchten, erfragen diese oftmals die „Einwilligung“ des Empfängers für die Übermittlung ihrer Daten ohne eine Ende-zu-Ende Verschlüsselung und damit als reguläre (gegebenenfalls unverschlüsselte) E-Mail.
Kann die betroffene Person in ein niedrigeres Schutzniveau „einwilligen“?
Inwiefern es rechtlich zulässig ist das Schutzniveau für die Verarbeitung personenbezogener Daten durch eine solche „Einwilligung“ abzusenken, ist seit langer Zeit fraglich. In der Vergangenheit positionierten sich die Aufsichtsbehörden zu dieser Thematik (verständlicherweise) recht deutlich und lehnten es ab, das Schutzniveau abzusenken, auch wenn die betroffene Person dies wünscht. Im aktuellen Tätigkeitsbericht der Landesdatenschutzbeauftragten aus Brandenburg (hier abrufbar) lautet die dazugehörige Argumentation wie folgt:
„Eine datenschutzrechtliche Einwilligung bezieht sich ausschließlich auf die Frage, ob die eigenen personenbezogenen Daten zu einem bestimmten Zweck verarbeitet werden dürfen, kann aber nicht Vorschriften zur Art und Weise ihrer Verarbeitung aushebeln. Verantwortliche sind somit u. a. an die Regelungen des Artikels 32 DS-GVO gebunden. Sie müssen Bonitätsdaten sicher übermitteln die daraus resultierenden technisch-organisatorischen Verpflichtungen für eine sichere Datenübermittlung erfüllen und können sich durch eine Einwilligung davon nicht entbinden lassen.“
Ähnlich argumentierten in der Vergangenheit beispielweise auch die Aufsichtsbehörden aus Schleswig-Holstein (siehe hier und hier), Hamburg (siehe hier), der Bundesbeauftragte für Datenschutz und Informationssicherheit (siehe hier) und auch in die Aufsichtsbehörde im Nachbarland Österreich (siehe hier).
Ist die Aufsichtsbehörde in Hamburg mittlerweile anderer Meinung? – Jein!
Vor kurzem wurde nun ein Vermerk der Hamburger Aufsichtsbehörde publik (hier abrufbar), der Hinweise darauf enthält, dass sich die Auffassung der Behörde zur Abbedingbarkeit des Schutzniveaus nach Art. 32 DSGVO zumindest teilweise geändert hat. Liest man den Vermerk nicht genau, kann hierbei schnell der Eindruck entstehen, die Aufsichtsbehörde akzeptiere mittlerweile pauschal die „Einwilligung“ einer betroffenen Person in ein niedrigeres Schutzniveau. Das ist allerdings nicht korrekt. Vielmehr führt der Verfasser des Vermerks aus, dass jeder Verantwortliche grundsätzlich in der Pflicht ist, angemessene technische und organisatorische Maßnahmen im Sinne des Art. 32 DSGVO umzusetzen. Um beim Beispiel des E-Mail-Versands von personenbezogenen Daten mit „hohem Schutzniveau“ zu bleiben, wäre das ein Versand der E-Mail mit einer Ende-zu-Ende-Verschlüsselung.
Nach den Ausführungen im Vermerk kann der Verantwortliche allerdings von diesen erforderlichen Maßnahmen und damit dem angemessenen Schutzniveau abweichen sofern zwei Bedingungen erfüllt sind:
- Der Verantwortliche setzt grundsätzlich die erforderlichen technischen und organisatorischen Maßnahmen vollumfänglich um und hält diese vor.
- Der betroffenen Person wird die freie Entscheidung gelassen das „sichere“ oder das „unsichere“ Schutzniveau zu wählen indem Sie ihre informierte und freiwillige „Einwilligung“ erteilt.
Die Hamburger Aufsichtsbehörde vertritt damit die Ansicht, dass es der freien Entscheidung der betroffenen Person obliegen muss das Schutzniveau der von ihr verarbeiten Daten abzusenken, sofern diese dies ausdrücklich wünscht, ihr hierdurch keine Nachteile entstehen und alternativ ein ausreichendes Schutzniveau gewährleistet ist. Begründet wird dies mit der Gesetzessystematik und Art. 8 GRCh, wonach es unbillig wäre der betroffenen Person alleine die Entscheidung über das „Ob“ bzw. den Zweck der Verarbeitung zu überlassen (z.B. Veröffentlichung von Gesundheitsdaten auf Basis einer Einwilligung), nicht aber nicht das „Wie“ der Verarbeitung (z.B. Versand von Gesundheitsdaten per E-Mail ohne Ende-zu-Ende-Verschlüsselung). Schlussendlich wird im Vermerk aber hinsichtlich der Freiwilligkeit und damit der Wirksamkeit einer solchen „Einwilligung“ betont, dass diese nur gegeben sei, „wenn als Alternative zu einem unverschlüsselten E-Mail-Versand die schriftliche Einreichung von Dokumenten angeboten wird, kein Zwang durch eine unangemessene Verlängerung der Bearbeitungsdauer oder durch Zusatzkosten ausgeübt werde“.
Letztendlich muss, nach Ansicht der Behörde, der Verantwortliche also ein angemessenes Schutzniveau (vgl. auch Art. 25 DSGVO) gewährleisten, kann dieses allerdings absenken, sofern dies durch die betroffene Person ausdrücklich gewünscht ist und ihr hierdurch keine unzumutbaren Nachteile entstehen.
Einordnung und Fazit
Grundsätzlich ist der pragmatischere Ansatz der Hamburger Aufsichtsbehörde begrüßenswert und bringt erfrischenden Wind in die Thematik. Im Grundsatz kann man dieser Auffassung auch durchaus zustimmen, da es letztendlich jeder Person selbst überlassen sein muss, wofür ihre Daten verarbeitet werden und wie diese verarbeitet werden. Allerdings sollte die Akzeptanz eines niedrigeren Datenschutzniveaus nicht zwingend als Einwilligung im Sinne des Art. 6 Abs. 1 S.1 lit. a DSGVO verstanden werden, da es sich in dieser Konstellation schlichtweg um keine echte Rechtsgrundlage im Sinne des Art. 6 DSGVO handelt. Vielmehr kann die Akzeptanz eines niedrigeren Schutzniveaus als eine Art zusätzliche Maßnahme verstanden werden, die in die Angemessenheitsbeurteilung nach Art. 32 Abs. 1 DSGVO mit einfließen kann. Dies ist durchaus vergleichbar mit Situationen in denen kein angemessenes Datenschutzniveau gewährleistet werden kann und kein Angemessenheitsbeschluss oder weitere Garantien im Sinne der Art. 46 ff. DSGVO bestehen. In diesem Fall gibt es nach Art. 49 Abs. 1 S. 1. lit. a DSGVO die Möglichkeit, dass die betroffene Person darin einwilligt, dass ihre personenbezogenen Daten in einem Land ohne angemessenes Datenschutzniveau (d.h. mit dem der EU vergleichbar) verarbeitet werden, sofern diese zuvor über die Risiken derartiger Datenübermittlungen aufgeklärt wurde und ausdrücklich darin eingewilligt hat. Ähnlich wie in ein unzureichendes Datenschutzniveau sollte es Personen also erlaubt sein in ein „unzureichendes“ Schutzniveau einzuwilligen, nachdem diese über die möglichen Folgen aufgeklärt wurde.
Spinnt man diesen Gedanken jedoch weiter, werden z.B. Anbieter von Online-Portalen bald den Kund*innen die Wahl lassen, ob sie ihren Account mit einem sicheren Passwort schützen möchten oder doch lieber mit einer dreistelligen PIN. Das hätte gravierende Folgen für das Schutzniveau der Daten, widerspricht dem Grundgedanken des europäischen Datenschutzes und kann nicht im Sinne des Verordnungsgebers sein. Es sollte daher am Grundsatz festgehalten werden, dass der Verantwortliche oder Auftragsverarbeiter angemessene Maßnahmen zum Schutz der verarbeiteten personenbezogenen Daten ergreifen muss. Für gewisse Konstellationen sollte der Gesetzgeber, ähnlich wie z.B. in § 87a Abs. 1 Abgabenordnung oder § 2 Abs. 2 der Berufsordnung für Rechtsanwälte, jedoch weitere Ausnahmeregelungen schaffen, die ein Absenken des Schutzniveaus legitimieren, sofern dies die betroffene Person ausdrücklich wünscht.