Am 14.08.2019 hatten wir Sie darüber informiert, dass die Aufsichtsbehörden in NRW und Hamburg eine Reduzierung von Schutzmaßnahmen im Rahmen einer Einwilligung kritisch betrachteten.
Zur Erinnerung: „E-Mails sind wie Postkarten, jeder kann die lesen“.
Der Anlass war eine damals noch geplante Änderung, wonach die Berufsordnung der Rechtsanwälte (BORA) regeln sollte, dass die Verschlüsselung von E-Mails für Anwälte nicht notwendig ist, wenn der Betroffene auf das Risiko hingewiesen wurde und der Betroffene trotzdem auf die unverschlüsselte Kommunikation besteht.
Die Aufsichtsbehörden gingen davon aus, dass die Einwilligung gem. DSGVO nur eine Rechtsgrundlage zu einer Verarbeitung schaffen kann, aber nicht dazu geeignet ist auf technische und organisatorische Maßnahmen nach dem Stand der Technik zu verzichten.
Nun hat der LfDI Rheinland-Pfalz eine Pressemittelung dazu rausgegeben.
„Grundsätzlich sollten E-Mails mit personenbezogenen Daten, sofern diese nicht pseudonymisiert werden, mindestens mit einer „Transportverschlüsselung“ versendet werden. Bei besonders sensiblen Daten sollte eine „Inhaltsverschlüsselung“ das Mittel der Wahl darstellen.“
Soweit so bekannt. Die Transportverschlüsselung haben wir bereits in der vorigen Information als Stand der Technik betrachtet und diese wird heute bereits von allen uns bekannten E-Mail-Dienstleistern umgesetzt.
„Ein Unterschreiten der genannten Sicherheitsanforderungen ist datenschutzrechtlich hinnehmbar, sofern eine freiwillige und informierte Einwilligung der betroffenen Person in eine unverschlüsselte E-Mail-Kommunikation vorliegt. Dies bedeutet unter anderem, dass der Berufsgeheimnisträger eine Verschlüsselung der E-Mail-Kommunikation angeboten haben muss.“
Dies ist neu und widerspricht den Ansichten aus NRW und Hamburg. Wichtig ist jedoch: Der Berufsgeheimnisträger muss eine Inhaltsverschlüsselung der E-Mail-Kommunikation angeboten haben. Es sind also entsprechende Maßnahmen zu treffen, die einen entsprechenden Versand möglich machen würden.
„Der Berufsgeheimnisträger hat hiernach nachzuweisen, dass die betroffene Person in Kenntnis aller Risiken durch entsprechende Aufklärung sein Einverständnis erteilt hat, unverschlüsselt zu kommunizieren. Zu Bedenken ist, dass eine solche Einwilligung der betroffenen Person, mit der ein direkter E-Mail-Kontakt besteht, allein nicht ausreichend ist, sofern auch personenbezogene Daten eines Dritten kommuniziert werden. Die datenschutzrechtlichen Anforderungen an die Datensicherheit müssen Berufsgeheimnisträger auch gegenüber Dritten erfüllen, also muss auch von diesen eine entsprechende Einwilligung vorliegen.“
Eine Einwilligung bezüglich eines Verzichts auf die Inhaltsverschlüsselung setzt also voraus, dass der Betroffene einerseits die Möglichkeit gehabt hat eine Inhaltsverschlüsselung zu nutzen und ihm die Risiken, die mit dem Verzicht einhergehen, bekannt sind.
Wann ist eine Einwilligung möglich?
Wichtig ist auch, dass diese Einwilligung nur für den Betroffenen selbst gilt. Damit ist eine entsprechende Einwilligung in folgenden Situationen der direkten Kommunikation denkbar:
- Arzt und Patient
- Anwalt und Mandant
- Steuerberater und Mandant, im Rahmen der persönlichen Belange, wie Einkommensteuer, EÜR, etc
Nicht zulässig sind beispielsweise die nachfolgenden Situationen:
- zwischen zwei oder mehr Berufsgeheimnisträgern in Bezug auf einen Patienten oder Mandanten
- mit anderen Stellen in Bezug auf einen Patienten / Mandanten
- mit einem Mandanten in Bezug auf einen Dritten (z.B. Mitarbeiter des Mandanten)
Offen ist die Frage, ob eine entsprechende Einwilligung auch möglich ist, wenn es um die Daten eines Kindes geht. Gerade in Bezug auf den Informationswunsch eines Angehörigen / Sorgeberechtigten könnte die Einwilligung des Kindes durchaus relevant sein. Sofern das Kind in der Lage ist einen eigenen Willen zu äußern und damit einwilligungsfähig ist, könnte der Verzicht auf die Verschlüsselung von der Einwilligung des Kindes abhängig sein. Da der Informationsaustausch zwischen dem Verantwortlichen und den Sorgeberechtigten keine „Erbringung eines Dienstes der Informationsgesellschaft“ darstellen dürfte, wird die Altersgrenze aus Art. 8 DSGVO nicht anzuwenden sein.
Ärzte kennen das Problem bereits aus der Behandlungspraxis: Stellen sich Kinder und Jugendliche in der Sprechstunde vor, kann der Arzt vor der Frage stehen, wer über eine Behandlung aufzuklären ist und auf wessen Einwilligung es ankommt – auf die des Minderjährigen oder die der Eltern.
Wie muss die Einwilligung aussehen?
„Von einer informierten Einwilligung ist nicht auszugehen, wenn die betroffene Person, etwa ein Mandant, die unverschlüsselte E-Mail-Kommunikation beginnt. Dies gilt auch für den Fall, dass auf der Homepage des Berufsgeheimnisträgers ein „pauschaler“ Hinweis über die Unsicherheit der unverschlüsselten E-Mail-Kommunikation gegeben wird; hierdurch ist nicht sichergestellt, dass der Kommunikationspartner in Kenntnis dieses Hinweises gehandelt hat. Die Einholung einer pauschalen Einwilligung im Rahmen des der Rechtsbeziehung zugrundeliegenden allgemeinen Vertragswerkes (z.B. Mandatsvereinbarung, Behandlungsvertrag) dürfte problematisch sein, wenn diese mit der entsprechenden Aufklärung zusammen nicht besonders hervorgehoben ist.“
Auch wenn der Betroffene im ersten Schritt im Rahmen der Kontaktaufnahme keine Inhaltsverschlüsselung anfordert und/oder verwendet, kann dies nicht als Einwilligung in eine unverschlüsselte Übermittlung von personenbezogenen Daten verstanden werden. Insgesamt sind alle Anforderungen an eine Einwilligung zu erfüllen, die von Art. 7 DSGVO vorgegeben werden.
Es wird abschließend in der Veröffentlichung nochmals darauf hingewiesen, dass diese Vorgaben, trotz der Änderungen von §2 Abs. 2 BORA, auch von Rechtsanwälten einzuhalten sind.
Zusammengefasst bedeutet die Veröffentlichung zu LfDI Rheinland-Pfalz:
- Auf eine Inhaltsverschlüsselung kann verzichtet werden, wenn der Betroffene eingewilligt hat und über die Risiken aufgeklärt wurde.
- Dem Betroffenen muss eine Möglichkeit zur inhaltsverschlüsselten Kommunikation angeboten werden. (Webportal, S/MIME, PGP, 7ZIP).
- Der Verantwortliche muss die korrekte Information und die erhaltene Einwilligung nachweisen können (Art. 7 Abs. 1 DSGVO).
- Die Einwilligung muss eindeutig erkennbar sein und sich von anderen Regelungen abheben (Art. 7 Abs. 2 S. 1 DSGVO).
Fazit:
Wir begrüßen diese Möglichkeit zur „Selbstregulierung“, gibt Sie den Betroffenen doch das Recht der informationellen Selbstbestimmung, denn auch der Verzicht auf den Schutz der Daten ist eine Form der Selbstbestimmung.
Trotzdem liegt keine generelle Erlaubnis zum Verzicht von Schutzmaßnahmen vor, denn der Verantwortliche muss trotzdem eine verschlüsselte Übermittlung anbieten. Die Verantwortlichen müssen demnach trotzdem entsprechende Prozesse oder Lösungen implementieren, um eine vertrauliche Übermittlung auf Wunsch gewährleisten zu können.
Als Service für unsere Mandanten haben wir in der Dateiablage des DSMS im Beratungskonzept 3 (BK3) ein Muster für ein Anschreiben und eine Einwilligung bereitgestellt, die nach unserer Auffassung die genannten Anforderungen erfüllt. Die Bereitstellung einer technischen Möglichkeit die Verschlüsselung zu gewährleisten, muss vom Verantwortlichen veranlasst werden.
Quelle: https://www.datenschutz.rlp.de/de/themenfelder-themen/e-mail-berufsgeheimnistraeger/
Wir aktualisieren regelmäßig unsere Beratungskonzepte!
Seit dem letzten Informationsschreiben haben sich die nachfolgenden Änderungen ergeben:
20200821 – BK3 – UPDATE: AV – Verweis auf Privacy Shield in Anlage 1 entfernt
20200821 – BK5 – NEU: Argumentation zu Kleinstunternehmen und Datenschutz
20200828 – BK5 – NEU: Orientierungshilfe zu Auftragsverarbeitung
20200831 – BK3 – NEU: Aushang zu Videokonferenzen und Präsentationen
20200831 – BK3 – NEU: Aushang zum Umgang mit Statistiken
20200902 – BK4 – UPDATE: Dokument „Informationspflichten 2020“
20200902 – BK4 – NEU: Fragebogen Datenschutzerklärung für Webseiten
20200907 – BK3 – UPDATE: AV – Anlage 3 um Geheimnisschutzregeln erweitert (dt. / engl.)
20200907 – BK3 – UPDATE: AV-Vereinbarung – Einbeziehung der Regelung zum Geheimnisschutz
20200907 – BK3 – NEU: Einwilligung zum Verzicht auf Inhaltsverschlüsselung bei E-Mail
20200908 – BK3 – NEU: Musteranschreiben zum Verzicht auf Inhaltsverschlüsselung bei E-Mail
