VG Mainz: Transportverschlüsselung bei E-Mails idR. ausreichend = kein DSGVO-Verstoß

16.02.2021

Es reicht für die Einhaltung der datenschutzrechtlichen Vorschriften aus, wenn personenbezogene Daten über E-Mail ausgetauscht werden bei der eine Transportverschlüsselung gegeben ist. Dies gilt auch Berufsgeheimnisträgern wie Anwälten. Etwas anderes gilt nur dann, wenn Anhaltspunkte einen erhöhten Schutzbedarf rechtfertigten (VG Mainz, Urt. v. 17.12.2020 - Az.: 1 K 778/19.MZ).

Der Landesbeauftragte für Datenschutz und die Informationsfreiheit Rheinland-Pfalz  monierte die E-Mail einer Rechtsanwaltskanzlei, die vertrauliche Daten per elektronischem Medium verschickt hatte. Es sei, so die Behörde, kein ausreichendes Schutzniveau nach Art. 32 DSGVO eingehalten worden. Die vorgenommene Transportverschlüsselung sei nicht ausreichend. Vielmehr hätte es auch einer Inhaltsverschlüsselung bedurft.

Dagegen klagte der Advokat und bekam Recht.

Das Gericht bewertete die Einstufung des Datenschutzamtes für rechtswidrig.

Auch Berufsgeheimnisträger (wie z.B. Anwälte, Steuerberater oder Notare) seien grundsätzlich nur verpflichtet, für eine ausreichende Absicherung auf dem Transportweg zu sorgen:

"Insgesamt ist davon auszugehen, dass die DS-GVO im Normtext selbst ausdrücklich keine spezifischen Regelungen für Berufsgeheimnisträger enthält; vielmehr gelten grundsätzlich (...)  die allgemeinen Vorschriften (...).  Demnach bestimmen zunächst die Art. 9 und 10 DS-GVO, welche Datenkategorien generell besonderen Schutz genießen (...). Pauschal kann daher (datenschutzrechtlich) zunächst nicht allein deshalb von einer besonderen Schutzbedürftigkeit ausgegangen werden, weil eine mandatsbezogene Kommunikation erfolgt (...). (...)

Während die Transportverschlüsselung ohne weiteres als weit verbreiteter Standard anzusehen sein dürfte, trifft den Verantwortlichen bei der Implementierung einer Ende-zu-Ende-Verschlüsselung regelmäßig ein höherer Aufwand (...).

Neben der Nutzung von derartigen E-Mail-Protokollen (z.B. S/MIME oder PGP), die allerdings auch auf Absender- und Empfängerseite entsprechende Software und Kenntnisse erfordern, kommen letztlich auch einseitige Implementierungsmaßnahmen, wie z.B. Übersendung einer passwortgeschützten Datei, in Betracht (...).

Damit dürfte eine kostenschonende Implementierung zwar generell möglich und für den jeweiligen Verantwortlichen nicht von vornherein unzumutbar sein. Allerdings bedeutet dies nicht, dass dies zwingend zu einer entsprechenden Verpflichtung des Verantwortlichen führt. Schließlich können bei der Übersendung einer passwortgeschützten Datei unter Umständen (zivilrechtliche) Zugangsprobleme auftreten; auch fehlt es an einer ohne weiteres gegebenen Möglichkeit der Weiterleitung für den Empfänger (...)."

Etwas andere gelte nur dort, wo im Einzelfall besondere Umstände gegeben seien, die eine strengere Verschlüsselung rechtfertigen würden:

"Generell wird (...) die Verwendung einer Transportverschlüsselung datenschutzrechtlich - auch bei Berufsgeheimnisträgern - ausreichend sein, sofern keine Anhaltspunkte für besonders sensible Daten bestehen oder sonstige Umstände hinzutreten. Vielmehr ist die Kommunikation mittels (obligatorisch) transportverschlüsselter E-Mails auch im geschäftlichen Verkehr durchaus als sozialadäquat und wohl derzeit noch als (Mindest-)Stand der Technik einzustufen (...).

Ebenso gehört die etwaige (unbefugte) Kenntnisnahme Dritter von Inhalten der elektronischen Kommunikation - wie auch bei anderen (analogen) Kommunikationsformen - zum allgemeinen Lebensrisiko.

Besondere Anhaltspunkte, die einen erhöhten Schutzbedarf begründen und das bei einer hier vorliegenden Form der Transportverschlüsselung bestehende Restrisiko als nicht (mehr) angemessen erscheinen lassen, lagen hier nicht vor. Es handelte sich zunächst weder um Daten, die von Art. 9 und 10 DS-GVO erfasst waren, noch kamen diese den dort genannten Datenkategorien auch nur nahe. Dabei dürfte auch anzunehmen sein, dass die vorgenannten Vorschriften tendenziell eng oder zumindest nicht schematisch auszulegen sind (...).

Schließlich war hier zudem keine „Bewertung“ des Verhaltens oder der Leistungsfähigkeit des betroffenen Beschwerdeführers oder sonstiger Personen (vgl. ErwGr. 75 Satz 3 DS-GVO) Gegenstand der E-Mail. Spezielle Indizien für einen naheliegenden Verlust der Vertraulichkeit lagen nicht vor („Eintrittswahrscheinlichkeit“); die sonstigen Umstände, Zwecke und der Umfang der Datenverarbeitung bieten ebenfalls keine Anhaltspunkte für einen in diesem Einzelfall wesentlich erhöhten Schutzbedarf. Allein die Tatsache, dass der Kläger und die Betroffenen (untereinander) in eine (jedenfalls außergerichtliche) rechtliche Auseinandersetzung verwickelt waren, reicht nicht aus."