VG Mainz: Ende-zu-Ende-Verschlüsselung von E‑Mails nur bei hohem Risi­ko erforderlich

Das Ver­wal­tungs­ge­richt (VG) Mainz hat mit Urteil vom 17.12.2020 (Az. 1 K 778/19.MZ) ent­schie­den, dass kein Ver­stoß gegen die DSGVO vor­liegt, wenn ein Berufs­ge­heim­nis­trä­ger E‑Mails mit Trans­port­ver­schlüs­se­lung ver­sen­det. Eine Ende-zu-Ende-Verschlüsselung ist nach Ansicht des Gerichts nur bei hohen Risi­ken erforderlich.

Sach­ver­halt

Dem Rechts­streit vor dem VG Mainz lag die Kla­ge eines Rechts­an­walts zugrun­de, mit der die­ser sich gegen eine Ver­war­nung der Daten­schutz­auf­sichts­be­hör­de Rheinland-Pfalz zur Wehr setz­te. Die Behör­de hat­te gegen­über dem Rechts­an­walt zuvor eine Ver­war­nung nach Art. 58 Abs. 2 lit. b DSGVO aus­ge­spro­chen, weil die­ser E‑Mails ohne Ende-zu-Ende-Verschlüsselung ver­sen­det hat­te. Hier­in sah die Behör­de einen Ver­stoß gegen die IT-Sicherheitsvorgaben der DSGVO. Die Behör­de war dabei davon aus­ge­gan­gen, dass der Ver­sand per unver­schlüs­sel­ter E‑Mail kei­ne aus­rei­chen­de Sicher­heit für Nach­rich­ten, die sen­si­ble Infor­ma­tio­nen ent­hiel­ten, bie­te. Gera­de als Berufs­ge­heim­nis­trä­ger sol­le der Rechts­an­walt mit gutem Bei­spiel vor­an­ge­hen und sei­ne Mit­ar­bei­ter für die Ein­hal­tung des Daten­schut­zes sen­si­bi­li­sie­ren und ent­spre­chend anweisen.

Ent­schei­dung des Gerichts

In sei­ner Ent­schei­dung stellt das VG Mainz jedoch fest, dass die Kla­ge gegen die Ver­war­nung des Rechts­an­walts zuläs­sig und begrün­det ist.

Bezo­gen auf die Zuläs­sig­keit der Kla­ge ist dabei her­vor­zu­he­ben, dass das Gericht den rheinland-pfälzischen Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (LfDI) als rich­ti­gen Beklag­ten für Strei­tig­kei­ten zwi­schen einer natür­li­chen oder einer juris­ti­schen Per­son und der Auf­sichts­be­hör­de des Lan­des gemäß Art. 78 Abs. 1 und 2 DSGVO sieht.

Im Rah­men der Begrün­det­heit kommt das Gericht zum Ergeb­nis, dass die von der Auf­sichts­be­hör­de aus­ge­spro­che­ne Ver­war­nung mate­ri­ell rechts­wid­rig ist. Zur Begrün­dung führt das Gericht aus, dass der Ver­sand einer E‑Mail ohne Nut­zung einer Ende-zu-Ende-Verschlüsselung oder sons­ti­ger über eine (obli­ga­to­ri­sche) Trans­port­ver­schlüs­se­lung hin­aus­ge­hen­der Siche­rungs­maß­nah­men kei­nen Ver­stoß gegen Art. 5 DSGVO  dar­stel­le. Nach Art. 5 Abs. 1 lit. f, Abs. 2 DSGVO sei der Ver­ant­wort­li­che zwar ver­pflich­tet, per­so­nen­be­zo­ge­ne Daten in einer Wei­se zu ver­ar­bei­ten, die eine ange­mes­se­ne Sicher­heit gewähr­leis­tet. Hier­aus fol­ge jedoch nicht, dass eine Ende-zu-Ende-Verschlüsselung erfor­der­lich sei. Viel­mehr ver­lan­ge die DSGVO in Art. 32 Abs. 1 DSGVO geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men. Die Ver­schlüs­se­lung wer­de dabei aus­drück­lich in Art. 32 Abs. 1 HS. 2 lit. a DSGVO genannt. Ein ange­mes­se­nes Schutz­ni­veau i.S.v. Art. 32 Abs. 1 DSGVO lässt sich nach Ansicht des Gerichts jedoch auch bei Berufs­ge­heim­nis­trä­gern (hier: Rechts­an­wäl­ten) durch die Nut­zung einer (obli­ga­to­ri­schen) Trans­port­ver­schlüs­se­lung errei­chen, soweit nicht im Ein­zel­fall ein erhöh­ter Schutz­be­darf besteht.

Bewer­tung

Die Ent­schei­dung des Gerichts ist aus Unter­neh­mens­sicht, auch über den Kreis der Berufs­ge­heim­nis­trä­ger hin­aus, zu begrü­ßen, da sie klar­stellt, dass die daten­schutz­recht­li­che Erfor­der­lich­keit von IT-Sicherheitsmaßnahmen nicht holz­schnitt­ar­tig bewer­tet wer­den kann. Viel­mehr kommt es abhän­gig von der jewei­li­gen Daten­ver­ar­bei­tung ins­be­son­de­re auf das jeweils bestehen­de Risi­ko an. Art. 32 Abs. 2 DSGVO ent­hält gera­de kei­ne zwin­gend umzu­set­zen­den Min­dest­an­for­de­run­gen oder kei­nen abschlie­ßen­den Kata­log an Kri­te­ri­en, die bei der Bestim­mung des ange­mes­se­nen Schutz­ni­veaus eine Rol­le spie­len kön­nen. Das Gericht erteilt mit die­ser dif­fe­ren­zier­ten Ansicht zugleich den pau­scha­len Vor­ga­ben eini­ger Daten­schutz­auf­sichts­be­hör­den zum Erfor­der­nis einer Ende-zu-Ende-Verschlüsselung bei Berufs­ge­heim­nis­trä­gern eine Absa­ge. Bis­her han­delt es sich jedoch um eine ver­ein­zel­te Ent­schei­dung, sodass der­zeit nicht damit zu rech­nen ist, dass Auf­sichts­be­hör­den, die beim E‑Mail-Versand von per­so­nen­be­zo­ge­nen Daten durch Berufs­ge­heim­nis­trä­ger pau­schal eine Ende-zu-Ende-Verschlüsselung vor­aus­set­zen, ihre kri­tik­wür­di­ge Rechts­auf­fas­sung auf­ge­ben. Aus­ge­hend davon soll­ten Unter­neh­men, die Pflich­ten als Berufs­ge­heim­nis­trä­ger unter­lie­gen, dar­auf ach­ten, die Risi­ko­ab­wä­gung der ent­spre­chen­den Ver­ar­bei­tungs­tä­tig­kei­ten genau zu doku­men­tie­ren, um nach­wei­sen zu kön­nen, dass im Ein­zel­fall kein hohes Risi­ko besteht.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.