Personenbezogene Daten - auch im E-Mail-Verkehr immer zu verschlüsseln?
Sachverhalt:
Ein Angestellter fordert seinen Arbeitgeber per E-Mail auf, ihm über alle hinsichtlich seiner Person gespeicherten personenbezogenen Daten eine datenschutzrechtliche Auskunft in schriftlicher Form zu erteilen. Der Arbeitgeber übersendet daraufhin eine unverschlüsselte E-Mail mit einer PDF, in der eine Übersicht der digital verarbeiteten Daten dargestellt ist. Der Angestellte rügt dieses Vorgehen gegenüber dem Thüringer Datenschutzbeauftragten und fordert für diese Datenschutzverletzung eine angemessene Entschädigung nach der DSGVO.
Entscheidung des Gerichtes:
Das Arbeitsgericht Suhl wies die Klage zwar wegen unzureichender Darlegung des eingetretenen konkreten Schadens seitens des Angestellten ab, stellte aber dennoch fest, dass ein Verstoß gegen die DSGVO durch den Versand der unverschlüsselten Mail anzunehmen ist. Die Entscheidung des Arbeitsgerichts Suhl ist nicht die erste zu diesem Themenkomplex. Aus der Rechtsprechung ergibt sich, dass die Sensibilität der übertragenen Daten immer im Verhältnis zu den Anforderungen an die Verschlüsselung ihrer Übertragung stehen muss.
Stellungnahme:
Aus der DSGVO ergibt sich zwar, dass Verschlüsselungsverfahren als Maßnahme zum Schutz personenbezogener Daten anzuwenden sind, allerdings handelt es sich dabei nur um eine von mehreren möglicherweise vorzunehmenden Maßnahmen. Erweist sich daher – so das Arbeitsgericht Suhl – jeglicher unverschlüsselte E-Mail-Verkehr von personenbezogenen Daten als Verstoß gegen Art. 5 Abs. 1 lit. f) DS-GVO? Dieser Ansatz ist realitäts- und praxisfern, vorzugswürdig ist der risikobasierte Ansatz der Datenschutzkonferenz. Aus diesem ergibt sich, dass nur bei normalen bzw. hohen Risiken für die Rechte und die Freiheit einer betroffenen Person eine Verschlüsselung notwendig ist.
Aus praktischer Sicht ist jedoch selbst der Ansatz der Datenschutzkonferenz kaum sinnvoll umzusetzen, da hierbei dem Durchschnittsbürger die Einschätzung aufgebürdet wird, zu bestimmen, welcher Risikograd in seinem Einzelfall vorliegt. Hier wäre es sachgerechter, die E-Mail-Server-Betreiber durch die gesetzlichen Bestimmungen der DSGVO in die Pflicht zu nehmen.
Zusammenfassend kann keine generelle Verschlüsselungspflicht angenommen werden, sondern es hat eine Abwägung im Einzelfall zu erfolgen. Gerade jedoch Unternehmen und Behörden, die regelmäßig personenbezogene Daten verarbeiten, sollten entsprechende Konfigurationen zur Verschlüsselung implementieren und überwachen.