VG Mainz: Ende-zu-Ende-Verschlüsselung von E-Mails nur bei hohem Risiko erforderlich

Stefan Hessel

Das Verwaltungsgericht (VG) Mainz hat mit Urteil vom 17.12.2020 (Az. 1 K 778/19.MZ) entschieden, dass kein Verstoß gegen die DSGVO vorliegt, wenn ein Berufsgeheimnisträger E-Mails mit Transportverschlüsselung versendet. Eine Ende-zu-Ende-Verschlüsselung ist nach Ansicht des Gerichts nur bei hohen Risiken erforderlich.

Sachverhalt

Dem Rechtsstreit vor dem VG Mainz lag die Klage eines Rechtsanwalts zugrunde, mit der dieser sich gegen eine Verwarnung der Datenschutzaufsichtsbehörde Rheinland-Pfalz zur Wehr setzte. Die Behörde hatte gegenüber dem Rechtsanwalt zuvor eine Verwarnung nach Art. 58 Abs. 2 lit. b DSGVO ausgesprochen, weil dieser E-Mails ohne Ende-zu-Ende-Verschlüsselung versendet hatte. Hierin sah die Behörde einen Verstoß gegen die IT-Sicherheitsvorgaben der DSGVO. Die Behörde war dabei davon ausgegangen, dass der Versand per unverschlüsselter E-Mail keine ausreichende Sicherheit für Nachrichten, die sensible Informationen enthielten, biete. Gerade als Berufsgeheimnisträger solle der Rechtsanwalt mit gutem Beispiel vorangehen und seine Mitarbeiter für die Einhaltung des Datenschutzes sensibilisieren und entsprechend anweisen.

Entscheidung des Gerichts

In seiner Entscheidung stellt das VG Mainz jedoch fest, dass die Klage gegen die Verwarnung des Rechtsanwalts zulässig und begründet ist.

Bezogen auf die Zulässigkeit der Klage ist dabei hervorzuheben, dass das Gericht den rheinland-pfälzischen Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) als richtigen Beklagten für Streitigkeiten zwischen einer natürlichen oder einer juristischen Person und der Aufsichtsbehörde des Landes gemäß Art. 78 Abs. 1 und 2 DSGVO sieht.

Im Rahmen der Begründetheit kommt das Gericht zum Ergebnis, dass die von der Aufsichtsbehörde ausgesprochene Verwarnung materiell rechtswidrig ist. Zur Begründung führt das Gericht aus, dass der Versand einer E-Mail ohne Nutzung einer Ende-zu-Ende-Verschlüsselung oder sonstiger über eine (obligatorische) Transportverschlüsselung hinausgehender Sicherungsmaßnahmen keinen Verstoß gegen Art. 5 DSGVO  darstelle. Nach Art. 5 Abs. 1 lit. f, Abs. 2 DSGVO sei der Verantwortliche zwar verpflichtet, personenbezogene Daten in einer Weise zu verarbeiten, die eine angemessene Sicherheit gewährleistet. Hieraus folge jedoch nicht, dass eine Ende-zu-Ende-Verschlüsselung erforderlich sei. Vielmehr verlange die DSGVO in Art. 32 Abs. 1 DSGVO geeignete technische und organisatorische Maßnahmen. Die Verschlüsselung werde dabei ausdrücklich in Art. 32 Abs. 1 HS. 2 lit. a DSGVO genannt. Ein angemessenes Schutzniveau i.S.v. Art. 32 Abs. 1 DSGVO lässt sich nach Ansicht des Gerichts jedoch auch bei Berufsgeheimnisträgern (hier: Rechtsanwälten) durch die Nutzung einer (obligatorischen) Transportverschlüsselung erreichen, soweit nicht im Einzelfall ein erhöhter Schutzbedarf besteht.

Bewertung

Die Entscheidung des Gerichts ist aus Unternehmenssicht, auch über den Kreis der Berufsgeheimnisträger hinaus, zu begrüßen, da sie klarstellt, dass die datenschutzrechtliche Erforderlichkeit von IT-Sicherheitsmaßnahmen nicht holzschnittartig bewertet werden kann. Vielmehr kommt es abhängig von der jeweiligen Datenverarbeitung insbesondere auf das jeweils bestehende Risiko an. Art. 32 Abs. 2 DSGVO enthält gerade keine zwingend umzusetzenden Mindestanforderungen oder keinen abschließenden Katalog an Kriterien, die bei der Bestimmung des angemessenen Schutzniveaus eine Rolle spielen können. Das Gericht erteilt mit dieser differenzierten Ansicht zugleich den pauschalen Vorgaben einiger Datenschutzaufsichtsbehörden zum Erfordernis einer Ende-zu-Ende-Verschlüsselung bei Berufsgeheimnisträgern eine Absage. Bisher handelt es sich jedoch um eine vereinzelte Entscheidung, sodass derzeit nicht damit zu rechnen ist, dass Aufsichtsbehörden, die beim E-Mail-Versand von personenbezogenen Daten durch Berufsgeheimnisträger pauschal eine Ende-zu-Ende-Verschlüsselung voraussetzen, ihre kritikwürdige Rechtsauffassung aufgeben. Ausgehend davon sollten Unternehmen, die Pflichten als Berufsgeheimnisträger unterliegen, darauf achten, die Risikoabwägung der entsprechenden Verarbeitungstätigkeiten genau zu dokumentieren, um nachweisen zu können, dass im Einzelfall kein hohes Risiko besteht.

[März 2021]