Ein Betroffener kann in eine unverschlüsselte E-Mail-Übersendung seiner Sozialdaten einwilligen, sodass die betreffende Behörde zu einer Übermittlung auf diese Weise verpflichtet ist (SG Hamburg, Urt. v. 30.06.2023 - Az.: S 39 AS 517/23).
Der Kläger war schwerbehindert und bezog Sozialleistungen. Er begehrte von der Behörde die Zustellung der Bescheide und des sonstigen Schriftverkehrs per unverschlüsselter E-Mail.
Aufgrund von datenschutzrechtlichen Bedenken unter Hinweis auf Art. 32 DSGVO lehnte das Amt dies ab.
Zu Unrecht, wie nun das SG Hamburg urteilte und dem Betroffenen Recht gab:
"Die vom Beklagten vorgetragenen datenschutzrechtlichen Bedenken gegen die Übersendung der Bescheide und Formulare als PDF-Dokument mit unverschlüsselter E-Mail greifen nicht durch. Denn der Kläger hat in die Verarbeitung eingewilligt (dazu unter aa)), eine Abwägung nach Art. 32 Abs. 1 DSGVO steht einer Übersendung nicht entgegen (dazu unter bb)) (...).
aa) Gemäß Art. 6 Abs. 1 lit. a) der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (DSGVO) ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat. Diese Einwilligung hat der Kläger bereits mit der Anfrage einer Übersendung mit unverschlüsselter E-Mail gegeben."
Und weiter:
"bb) Gemäß Art. 32 Abs. 1 DSGVO treffen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem die Verschlüsselung personenbezogener Daten ein (lit. a) Alt. 2).
Gemäß Art. 32 Abs. 2 DSGVO sind bei der Beurteilung des angemessenen Schutzniveaus besonders die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
Dabei wird deutlich, der vom Beklagten als datenschutzrechtliches Hindernis in der mündlichen Verhandlung vorgebrachte Art. 32 DSGVO (...) verlangt keine Datensicherheit um jeden Preis. Vielmehr muss eine Abwägung zwischen Schutzzweck und Aufwand vorgenommen werden (...). Zur Bestimmung der geeigneten und angemessenen Maßnahmen ist die Verhältnismäßigkeit zwischen folgenden Aspekten herzustellen: dem Stand der Technik, also das technisch Mögliche und Erprobte, den Kosten, die Art und Weise der Verarbeitung und den Risiken für die Rechte und Freiheiten der natürlichen Person, also der mögliche Schaden (...).
Zunächst hat der Beklagte nicht nachgewiesen, eine etwaige Abwägung nach Art. 32 Abs. 1 DSGVO überhaupt vorgenommen zu haben. Im Weiteren verletzt der Beklagte – ohne sich damit angemessen auseinanderzusetzen – das verfassungsrechtlich verankerte und sowohl landes- als auch bundesrechtlich ausgeformte Benachteiligungsverbot von Menschen mit Behinderung in erheblicher Weise."
Und:
"Es leuchtet dem Gericht nicht ein – auch weil der Beklagte etwaige technische Nachweise innerhalb der gesamten Verfahrensdauer von einem Jahr nicht vorgebracht hat –, aus welchem Grund der Schutz der Daten des Klägers – in dessen unverschlüsselte Übermittlung er zur Durchsetzung seines Rechtes auf Gleichbehandlung längst eingewilligt hat (s.o.) – dem Recht übergeordnet werden soll, nicht benachteiligt zu werden. Das pauschalierte Vorbringen des Beklagten es sei aufgrund von „Datenschutz“ und „Weisungen“ nicht möglich, dem Kläger per unverschlüsselter E-Mail seine Bescheide und Formulare barrierefrei zu übersenden, zeigt vielmehr, dass der Beklagte seinen verfassungsrechtlichen Schutzauftrag aus Art. 3 Abs. 2 Satz 2 GG (...) in besonderem Maße verletzt. Dies gilt insbesondere vor dem Hintergrund, dass etwa die D. (und auch alle anderen Behörden Hamburgs) ohne Probleme barrierefrei mit dem Kläger kommunizieren (...).
Schließlich ist der Hinweis des Beklagten auf den Postfachservice im Online-Angebot des Jobcenters.digital nicht zielführend. (...)
Dies kann allerdings auch deshalb dahinstehen, weil der Kläger dem Gericht überzeugend dargelegt hat, dass für ihn schon das Öffnen eines Browsers – den es unstreitig für die Benutzung des Postfachservices des Beklagten bedarf – nicht möglich ist. Es fehlt dem Kläger eine etwaige Schulung, da er ansonsten mithilfe seiner Scannersoftware schon einfache Homepages nicht besuchen kann (...)."