Österr. DSB: Einwilligung in unverschlüsselten Versand von personenbezogenen Daten unwirksam

Mit Beschluss vom 16.11.2018 (Az. DSB-D213.692/0001-DSB/2018) hat die Datenschutzbehörde in Österreich (DSB) in einem Prüfverfahren gegenüber einer Allergie-Tagesklinik entschieden, dass eine Einwilligung in den unverschlüsselten Versand von personenbezogenen Daten unwirksam ist. Der Beschluss ist mittlerweile rechtskräftig.

Nach Auffassung der DSB ist die von der Allergie-Tagesklinik verwendete Klausel gleich aus mehreren Gründen unwirksam:

Zum einen sei der Einwilligung „nicht mit der erforderlichen Klarheit zu entnehmen, für welche Datenverarbeitungen die Einwilligung die Rechtsgrundlage darstellt. In der neben der Einwilligung bereitgestellten Information nach Art. 13 DSGVO wird als Rechtsgrundlage zwar die Einwilligung genannt, es werden jedoch auch andere Rechtsgrundlagen, wie bspw. die Erfüllung rechtlicher Verpflichtungen oder die Wahrung berechtigter Interessen angeführt. Insofern ist unklar, für welche konkreten Datenverarbeitungen die Einwilligung die Rechtsgrundlage ist.“

Zum anderen sei die Einwilligung in den unverschlüsselten Versand von Patientendaten schon deshalb nicht statthaft, weil die Einwilligung nicht dazu diene, „eine Rechtsgrundlage für die Datenverarbeitung zu schaffen, sondern um von – gegebenenfalls erforderlichen – Datensicherheitsmaßnahmen zum Nachteil von Betroffenen abweichen zu können.“ Nach Ansicht der DSB sei die Frage, „ob eine Übermittlung in verschlüsselter oder unverschlüsselter Form erfolgt, […] nämlich eine der Datensicherheitsmaßnahmen nach Art. 32 DSGVO und somit allein von der Verantwortlichen zu beurteilen.“

Auswirkungen für deutsche Unternehmen

Unabhängig davon, dass es sich um eine behördliche und damit (für andere Unternehmen) ohnehin nicht rechtsverbindliche Entscheidung handelt, hätte aber auch die Entscheidung eines österreichischen Gerichts keine Bindungswirkung für deutsche Unternehmen (zumindest, soweit diese nicht auch in Österreich tätig sind).

Ob sich aus Art. 32 DSGVO eine generelle Pflicht ergibt, jede E-Mail zu verschlüsseln, ist hierzulande noch nicht abschließend geklärt. Soweit ersichtlich, gibt es jedoch auch bei deutschen Aufsichtsbehörden eine Tendenz zur umfassenden Verschlüsselung.

Doch selbst wenn sich eine generelle Pflicht zur Verschlüsselung von E-Mails letztlich nicht durchsetzen sollte, kann deutschen Unternehmen nur dringend dazu geraten werden, eine E-Mail-Verschlüsselung nach dem Stand der Technik vorzusehen. Denn wenigstens in denjenigen Unternehmensbereichen, in denen der Schutzbedarf der personenbezogenen Daten für gewöhnlich besonders hoch ist (hierzu gehört insbesondere die Personalverwaltung, die in jedem Unternehmen mal mehr mal weniger stark vertreten ist), dürfte eine Verschlüsselung der E-Mail-Kommunikation verpflichtend sein.

Falls Sie Fragen zum rechtskonformen Umgang hinsichtlich des Versands von E-Mails benötigen, können Sie sich gerne an unsere zertifizierten Datenschutzexperten wenden.

 

Autor: Rechtsanwalt Maximilian Braun

Die Kommentarfunktion ist geschlossen.