Die DSGVO sieht in Artikel 32 Abs. 1 die Pflicht für Verantwortliche und Auftragsverarbeiter vor, geeignete technische und organisatorische Maßnahmen (z.B. Verschlüsselungen) zu treffen, um ein angemessenes Schutzniveau zu gewährleisten. Dabei sind neben dem Risiko für die Rechte und Freiheiten natürlicher Personen auch der Stand der Technik, die Implementierungskosten, sowie die Art, der Umfang, die Umstände und der Verarbeitungszweck zu berücksichtigen.
In diese eigentlich recht eindeutige Rechtslage mischt sich seit längerem die Diskussion ein, ob betroffene Personen wirksam auf das angemessene Schutzniveau nach Art. 32 DSGVO verzichten können. Einen Überblick über die Ansichten diverser Aufsichtsbehörden (Stand Mai 2021) hatten wir bereits hier gegeben. Unter anderem hat sich das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) im Hinblick auf Sozialdaten klar positioniert:
„Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) vertritt daher die Einschätzung, dass ein Sozialleistungsträger im Rahmen seiner Verantwortung nicht befugt ist, Sozialdaten – egal in welchem Umfang respektive Kontext – auf einem unsicheren Kommunikationsweg, zu denen auch eine unverschlüsselte E-Mail via Internet gehört, zu übermitteln.“
Und bekräftigte dies auch noch einmal in einem nachfolgenden Tätigkeitsbericht:
„Die Einhaltung der Regeln zur Datensicherheit ist nicht verhandelbar.“
Gegenmeinungen sind allerdings ebenfalls zu verzeichnen, z.B. im Rahmen von Gerichtsurteilen:
So wies das OLG Düsseldorf in einem Urteil vom 28.10.2021 darauf hin, dass durch Einwilligung ein Verzicht auf Anonymisierungs-, Pseudonymisierungs- sowie Verschlüsselungstechniken möglich ist, sofern die betroffene Person ein Wahlrecht hat (konkret ging es um den Versand von Gesundheitsdaten, wir berichteten hier). Das SG Hamburg urteilte zudem im Juni 2023: Eine blinde Person hat einen Anspruch auf die Überlassung von Bescheiden, Vordrucken und Formularen eines Grundsicherungsträgers in barrierefreier Form (hier PDF) und kann wirksam in eine Übersendung dieser Dokumente (Sozialdaten) per unverschlüsselter E-Mail einwilligen (wir berichtete hier).
Gerade im Urteil des SG Hamburg ließen sich gute Argumente für eine Disposition der angemessenen Schutzmaßnahmen nach Art. 32 DSGVO finden:
So wurden zum einen die begleitenden Umstände umfassend gewürdigt: Der Betroffene hat dargelegt, weshalb ein verschlüsselter Emailversand oder Postversand der angeforderten Unterlagen nicht in Frage kommt. Darüber hinaus wurde auf den Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) vom 24. November 2021 verwiesen: Dieser beschäftigt sich mit der Möglichkeit der Nichtanwendung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO auf ausdrücklichen Wunsch betroffener Personen. Zwar würden die vom Verantwortlichen nach Art. 32 DSGVO vorzuhaltenden technischen und organisatorischen Maßnahmen auf objektiven Rechtspflichten beruhen und nicht zur Disposition der Beteiligten stehen, weshalb ein Verzicht auf diese Maßnahmen auf der Basis einer Einwilligung nicht zulässig sei. Jedoch betont die DSK in Ihrem Beschluss auch, dass unter Beachtung des Selbstbestimmungsrechts der betroffenen Person und der Rechte anderer betroffener Personen es in zu dokumentierenden Einzelfällen möglich sei, dass der Verantwortliche auf ausdrücklichen, eigeninitiativen Wunsch der informierten betroffenen Person bestimmte vorzuhaltende technische und organisatorische Maßnahmen ihr gegenüber in vertretbarem Umfang nicht anwenden könne.
Das SG Hamburg verwies in seinem Urteil auf die mehrfach geäußerte Aufforderung des Betroffenen nach einer unverschlüsselten Datenübermittlung und somit die klar geäußerte Einwilligung. Auch betont es, dass Art. 32 DSGVO keine Datensicherheit um jeden Preis verlange. Vielmehr müsse eine Abwägung zwischen dem Schutzzweck und dem Aufwand vorgenommen werden (Rn. 90). Im Hinblick auf den im DSK-Beschluss beschriebenen „Einzelfall“ erklärt das SG, dass diese Ausnahmeregelung weit zu fassen sei. Die generelle Kommunikation mit dem blinden Kläger dürfe – auch wegen des Benachteiligungsverbots aus Art. 3 Abs. 3 S. 2 GG – regelmäßig und fallübergreifend erfolgen.
Das Urteil des SG Hamburg ist zu begrüßen und kann dank der betroffenen Sozialdaten, für die ohnehin ein sehr hoher Schutzstandard besteht, eine gute Orientierungshilfe für vergleichbar sensible Daten darstellen. Gleichzeitig wird kein Freifahrtschein für die Herabsenkung des angemessenen Schutzniveaus nach Art. 32 DSGVO erteilt, sondern nachvollziehbare Erwägungsgründe für eine unverschlüsselte Datenübermittlung im Einzelfall dargelegt.
Die Diskussion geht weiter
Die Diskussion um die Abdingbarkeit geeigneter technischer und organisatorischer Maßnahmen ist also weiterhin in Bewegung und könnte auch durch den Entwurf zu dem Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens des Bundesministeriums für Gesundheit noch einmal an Fahrt aufnehmen:
So heißt es im Referentenentwurf zum Digital-Gesetz:
„Zu den grundlegenden Voraussetzungen für die Nutzung digitaler Anwendungen gehören auch Sicherheit und Nutzerfreundlichkeit. Es wird Technik benötigt, die vertrauensvoll eingesetzt werden kann. Die Handhabung muss zugleich aber auch niedrigschwellig möglich sein, so wie die Nutzerinnen und Nutzer es aus anderen Lebensbereichen kennen. Hier sollen die Versicherten im Sinne der Patientensouveränität ein Wahlrecht erhalten und sich zwischen Sicherheitsstufen entscheiden können.“
Geplant ist unter anderem eine Änderung des fünften Sozialgesetzbuches – Gesetzliche Krankenversicherungen (SGB V): § 139e Abs. 10 S. 1 SGB V regelt die Pflicht, jährlich aktualisierte Anforderungen an die Datensicherheit für digitale Gesundheitsanwendungen festzulegen. Die Änderung soll ergänzen:
„Sofern in den Festlegungen nach Satz 1 Anforderungen an ein geeignetes sicheres technisches Verfahren zur Authentifizierung des Versicherten vorgesehen werden, das einen hohen Sicherheitsstandard gewährleistet, ist in den Festlegungen auch zu regeln, dass der Versicherte nach umfassender Information durch den für die jeweilige Anwendung datenschutzrechtlich Verantwortlichen über die Besonderheiten des Verfahrens in die Nutzung eines Authentifizierungsverfahrens einwilligen kann, das einem niedrigeren Sicherheitsniveau entspricht.“
Auch hier soll also nach umfassender Information der betroffenen Person und mit einer entsprechenden Einwilligung ein Herabsenken des Sicherheitsniveaus möglich sein, wobei eine erforderliche Einzelfallabwägung nicht erkennbar ist. Vielmehr wird (augenscheinlich) auf die Patientensouveränität vertraut.
Auch die geplante Änderung des SGB V kann somit durchaus zu einem Umdenken im Hinblick auf die Disposition des Schutzniveaus nach Art. 32 DSGVO, sowohl im Bereich der Sozialdaten als auch anderen sensiblen Daten, führen. Ob es dann bei einem Regel-Ausnahme-Gedanken nebst Risiko- und Interessenabwägungen bleibt oder aber die Einwilligung ohne weiteres und auf einfachem Wege erteilt werden kann, bleibt abzuwarten. Sicherlich wäre ein beizubehaltender Grundsatz, z.B. die Email-Verschlüsselung, sinnvoll. Jedoch sollte es in Zeiten, in denen die junge Generation der Bürger als „digital natives“ aufwachsen soll, auch Zugeständnisse an deren Einsicht und Eigenverantwortlichkeit im Hinblick auf die Risiken der digitalen Datenverarbeitung geben.
Bis zu einer höchstrichterlichen Entscheidung oder einvernehmlichen Beurteilung der Aufsichtsbehörden sollte diese Thematik durch verantwortliche Stellen mit Vorsicht behandelt und kritische Fälle im Zweifel mit dem/der Datenschutzbeauftragten