Hintergrund
§ 9 des Bundesdatenschutzgesetzes (BDSG) und Nr. 4 der Anlage zu § 9 Satz 1 BDSG fordern, dass alle verantwortliche Stellen die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, die technischen und organisatorischen Maßnahmen zu treffen haben, die erforderlich sind, um den Datenschutz im Sinne des BDSG zu wahren. Das bedeutet im Hinblick auf das Versenden von E-Mails:
- Es sind Maßnahmen zu treffen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
- Es muss überprüft und festgestellt werden können, an welche Stellen eine Übermittlung personenbezogener Daten vorgesehen ist.
Beschluss des Bundesgerichtshofes vom 26. Februar 2013; Az.: KVZ 57/12
Der Beschluss des BGH betraf ein kartellrechtliches Verfahren. Die Landeskartellbehörde Brandenburg forderte von einem öffentlich-rechtlichen Wasserversorgungsunternehmen Auskunft zu seinen wirtschaftlichen Verhältnissen. Diese Informationen, darunter auch Betriebs- und Geschäftsgeheimnisse, sollten per unverschlüsselter E-Mail übermittelt werden.
Bereits das OLG Brandenburg stellte dazu fest, dass der Versorger einen Anspruch auf den Schutz seiner Betriebs- und Geschäftsgeheimnisse hat. Auch wenn er verpflichtet sei, geforderte Auskünfte in elektronischer Form zu übermitteln, sei die Kartellbehörde nicht berechtigt, deren Übersendung im ungeschützten E-Mail-Verkehr zu fordern.
Der BGH bestätigte nicht nur die Entscheidung des OLG Brandenburg, sondern weitete auch die vom Schutz umfassten Daten auf alle unternehmensinternen Daten aus:
„ (…)Denn jedenfalls ist der Betroffene nicht verpflichtet, unternehmensinterne Daten über eine ungesicherte E-Mail-Verbindung an die Behörde zu übermitteln. (…) Auch soweit es sich bei den übermittelten Daten nicht um Betriebs- oder Geschäftsgeheimnisse handelt, ist es einem Unternehmen nicht zumutbar, einen derartigen Übertragungsweg benutzen zu müssen, zumal die Landeskartellbehörde die Möglichkeit hat, sich die gewünschte Datei auf anderem Wege, etwa auf einem Datenträger oder auf einem gesicherten elektronischen Übertragungsweg, übermitteln zu lassen (…)“
Zu den unternehmensinternen Daten zählen regelmäßig auch personenbezogene Daten, beispielsweise über Kunden oder Mitarbeiter.
Der BGH macht deutlich, dass bei der Nutzung von E-Mails zur Übersendung von vertraulichen Informationen auch tatsächlich Sicherungsmaßnahmen zu treffen sind. Betroffene haben einen Anspruch auf den Schutz Ihrer Daten.
Urteil des Verwaltungsgerichts Berlin vom 24.05.2011; Az.: 1K 133.10
Das Verwaltungsgericht Berlin relativiert dagegen den Schutz von E-Mails: Verschlüsselung gern, aber nicht zwingend.
Das Gericht hat sich mit folgendem Sachverhalt befasst:
Ein privater Arbeitsvermittler erfasst von Bewerbern persönliche Daten und erstellt daraus Bewerberprofile. Die Profile werden anschließend mittels unverschlüsselter E-Mail an Arbeitergeber übersandt, von denen der Vermittler weiß, dass diese Bewerber mit solchem Profil suchen bzw. bereits eine Stellenanzeige aufgegeben haben, zu der ein Bewerber mit dem vom Vermittler erstellten Profil passt. Der Arbeitsvermittler holte sich mit einer Klausel in dem Vermittlungsvertrag von den Bewerbern das Einverständnis für die Versendung seiner persönlichen Daten durch unverschlüsselte E-Mails.
Dieses Vorgehen war aus Sicht des Berliner Beauftragten für Datenschutz und Informationsfreiheit unzulässig. Er erließ eine Anordnung gegen den Arbeitsvermittler, in der dieser aufgefordert wurde die Bewerberdaten unverzüglich den Stand der Technik entsprechend zu verschlüsseln oder zu pseudonymisieren. Zur Begründung führte der Berliner Beauftragten für Datenschutz und Informationsfreiheit an, dass § 9 BDSG eine ordnungsrechtliche, nicht disponible Vorschrift zur Datensicherheit sein. Eine Einwilligung in die unverschlüsselte Versendung der Bewerberdaten sei daher nicht möglich. Zudem könne eine solche Einwilligung, nähme man an, dass sie möglich wäre, auch nicht auf der freien Entscheidung des betroffenen Bewerbers i.S.d. § 4 Abs. BDSG beruhen, da sich dieser gezwungen sähe das Einverständnis zu geben, wenn er vermittelt werden möchte.
Das Verwaltungsgericht Berlin folgte dieser Argumentation nicht.
Es erkannte zwar an, dass die Bewerberdaten grundsätzlich den Schutz von § 9 BDSG unterliegen, machte aber auch deutlich, dass nur dann technische und organisatorische Maßnahmen erforderlich seien, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen, § 9 Satz 2 BDSG:
„(…) Unter Berücksichtigung der (…) erforderlichen technischen Aufrüstung bei den Arbeitgebern, an die der Kläger [der Arbeitsvermittler – Anm. d. Verf.] sich mit verschlüsselten E-Mails wenden soll, von denen jedoch finanzielle Aufwendungen zur Anschaffung von Verschlüsselungssoftware nicht erwartet werden können, steht der mit der Verschlüsselungsforderung im Zusammenhang stehende Aufwand bei Berücksichtigung der durch die Arbeitssuchenden gegebenen Einverständniserklärung zu einer unverschlüsselten Übermittlung in keinem angemessenen Verhältnis. (…)“
Es bestehe daher keine Pflicht E-Mails mit personenbezogenen Daten nur verschlüsselt zu versenden.
Dies folge auch daraus, dass die persönlichen Daten nicht wahllos an alle potentiellen Arbeitgeber versendet werden, sondern nur zielgerichtet an einzelne Arbeitgeber auf Grund vorhandener Kenntnisse oder Kontakte. Die Gefahr eines unbefugten Mitlesens oder der Veränderung der Daten sei daher als gering einzuschätzen.
Zudem liege eine wirksame Einverständniserklärung vor. Dem Bewerber könne über die zwangsweise Anwendung des § 9 BDSG nicht ein größerer Schutz aufgezwungen werden, als er es selbst will. Es ist die Entscheidung des Bewerbers, wie weit er den Schutz seines informationellen Selbstbestimmungsrechtes ziehen will.
Letztlich sei das Einverständnis auch freiwillig. Es gäbe zahlreiche weitere private Arbeitsvermittler sowie die staatlichen Arbeitsagenturen. Anders als bei Abschluss eines Arbeitsvertrages mit einem bestimmten Arbeitsgeber hätten die betroffenen Arbeitssuchenden die freie Auswahl, welchen Arbeitsvermittler sie sich bedienen wollen.
Auch wenn das Verwaltungsgericht Berlin in diesem speziellen Fall keine Notwendigkeit sah den E-Mailverkehr zu verschlüsseln, sollte doch grundsätzlich der Empfehlung des BGH gefolgt werden. Die Einrichtung eines entsprechenden Verschlüsselungsverfahrens ist regelmäßig ohne großen zeitlichen und finanziellen Aufwand möglich und trägt im erheblichen Maße zu einem besseren Datenschutz bei.