Transportverschlüsslung

VG Mainz, Urteil vom 17.12.2020 AZ 1 K 778/19.MZ

Das Verwaltungsgericht Mainz hat in seinem Urteil vom 17.12.2020 festgestellt, dass eine obligatorische Transportverschlüsselung als angemessenes Schutzniveau im Sinne des Art. 32 Abs. 1 DSGVO anzusehen ist, sofern im Einzelfall nicht besondere Anhaltspunkte für einen höheren Schutzbedarf sprechen.

Dies gilt gemäß Tenor auch explizit für Berufsgeheimnisträger, in diesem Fall für Rechtsanwälte. Im vorliegenden Sachverhalt wurde ein Rechtsanwalt durch die zuständige Datenschutzbehörde verwarnt, aufgrund eines nicht ausreichenden Schutzes hinsichtlich des Versands von personenbezogene Daten, explizit hier per Mail. Gegen diesen Bescheid hat der Rechtsanwalt Klage eingereicht und dieser Klage wurde nunmehr durch das Verwaltungsgericht Mainz zugestimmt.

Eine Transportverschlüsselung, wie sie von den meisten Anbietern angeboten wird, ist hier im benannten Fall und auch in vielen anderen Fällen ausreichen. Ein höheres Schutzniveau, z.B. mit Hilfe einer Ende zu Ende Verschlüsselung, bedarf es grundsätzlich nicht, sofern nicht weitere Anhaltspunkte in Bezug auf die besondere Schutzwürdigkeit der Daten. Eine explizite Regelung für Berufsgeheimnisträger sieht die DSGVO nicht vor. Es gelten die allgemeinen Regelungen hinsichtlich der Einhaltung des Datenschutzniveaus. Folglich ergibt sich auch gemäß Erwägungsgrund 75 zur DSGVO eine Notwendigkeit für höhere Verschlüsselungsmaßnahmen bei Daten, die als besonders risikoreich einzustufen sind. Dies betrifft unter anderen personenbezogenen Daten gemäß Art. 9 und 10 DSGVO. Nichtsdestotrotz sollten insbesondere Rechtsanwälte mit Blick auf § 2 BORA (neu) die Zustimmung des Mandanten einholen und diesen auf das Risiko hinsichtlich einer unverschlüsselt Kommunikation auf elektronischem Wege hinweisen.

Hinsichtlich der Verantwortlichkeit des Klägers und ob dieser überhaupt zulässiger Adressat der Verwarnung sein konnte entschied das Gericht, das dem Kläger jedenfalls Datenschutzverstöße seiner Mitarbeiterin bzw. Mitarbeiter zuzurechnen sein. Dies zumindest solange wie kein (sogenannter) „Exzess“ eines Mitarbeiters vorliegt. Letzteres wäre u.a. dann anzunehmen, wenn der Mitarbeiter eigenmächtig und entgegen jeder arbeitsrechtlichen Anweisung über den Zweck und die Mittel der Verarbeitung entscheidet. Daher sollten auch immer entsprechende Arbeitsanweisungen in Punkto Datenschutz klar kommuniziert werden und gegenüber den Mitarbeitern, z.B. innerhalb von Schulungen durch den Datenschutzbeauftragten, eindringlich nahe gelegt werden.

Das Verwaltungsgericht Mainz führt in seiner Urteilsbegründung ebenfalls an, was vielerorts nicht nur zum Thema Verschlüsselung bereits mehrfach bemängelt wurde, dass zwischen den einzelnen Datenschutzaufsichtsbehörden bereits Uneinigkeit bestand bzw. besteht. Diese Uneinigkeit zwischen den jeweiligen Landesbehörden trägt bekanntlich nicht zu einer rechtssicheren Anwendung der Datenschutzvorschriften bei.

Die Klarstellung seitens des Gerichtes ist äußerst positiv zu sehen, auch für andere Gruppen von Berufsgeheimnisträger, zeigt aber auch zugleich auch auf, dass jeder Verantwortliche, unabhängig von der jeweiligen Berufsausübung, bei dem Versand von personenbezogene Daten prüfen sollte, ob diese gegebenenfalls ein höheres Schutzniveau bedürfen und ggf. hier Beratung nötig ist, weil diesen Daten ein hohes Risiko immanent ist. Notfalls und bei gegebenenfalls unterschiedlichen Rechtsauslegungsmöglichkeiten sollte jedenfalls in Erwägung gezogen werden, die beigefügten personenbezogene Daten zusätzlich zur Transportverschlüsselung separat zu verschlüsseln. Beispielsweise sollten beigefügte PDFs zusätzlich vor der in Kenntnisnahme eines unbefugten Dritten per Passwort verschlüsselt werden.

So erreichen Sie uns

Adresse
Aachener Straße 75
50931 Köln
©LR Datenschutz GmbH