Genügt für die Einhaltung der datenschutzrechtlichen Vorschriften, wenn personenbezogene Daten über E-Mail ausgetauscht werden, bei der eine Transportverschlüsselung vorliegt? Wenn ja, gilt die auch bei Berufsgeheimnisträgern wie Anwälten? Darüber hatte das Verwaltungsgericht Mainz zu entscheiden (VG Mainz, Urt. v. 17.12.2020 – 1 K 778/19).
Der Kläger, ein Rechtsanwalt, wendet sich vorliegend gegen eine datenschutzrechtliche Verwarnung wegen einer E-Mail-Kommunikation. Diese erteilte ihm der Beklagte, weil der Kläger personenbezogene Daten ohne ein dem Risiko angemessenes Schutzniveau verarbeitet habe. Der Versand per unverschlüsselter E-Mail biete keine ausreichende Sicherheit für Nachrichten, die sensible Informationen enthielten.
Der Landesbeauftragte für Datenschutz und die Informationsfreiheit Rheinland-Pfalz bemängelte dabei die E-Mail der Rechtsanwaltskanzlei, die vertrauliche Daten per elektronischem Medium verschickt hatte. Es sei, so die Behörde, kein ausreichendes Schutzniveau nach Art. 32 DSGVO eingehalten worden. Die vorgenommene Transportverschlüsselung sei nicht ausreichend. Vielmehr hätte es auch einer Inhaltsverschlüsselung bedurft. Hiergegen klagte der Rechtsanwalt.
Die Klage ist begründet und hatte Erfolg. Das VG Mainz bewertete die Einstufung des Datenschutzamtes für rechtswidrig. Auch Berufsgeheimnisträger (wie z.B. Anwälte, Steuerberater oder Notare) seien grundsätzlich nur verpflichtet, für eine ausreichende Absicherung auf dem Transportweg zu sorgen, meint das Gericht.
Zunächst führte das VG Mainz aus, dass insgesamt davon auszugehen sei, dass die DSGVO im Normtext selbst ausdrücklich keine spezifischen Regelungen für Berufsgeheimnisträger enthält. Vielmehr gelten grundsätzlich die allgemeinen Vorschriften. Demnach bestimmen zunächst die Art. 9 und 10 DSGVO, welche Datenkategorien generell besonderen Schutz genießen. Schließlich könne daher pauschal nicht allein deshalb von einer besonderen Schutzbedürftigkeit ausgegangen werden, weil eine mandatsbezogene Kommunikation erfolgt, so das Verwaltungsgericht. Dabei dürfe die Transportverschlüsselung ohne weiteres als weit verbreiteter Standard anzusehen sein.
Etwas anderes gelte nach Ansicht des VG Mainz nur dort, wo besondere Umstände gegeben seien, die eine strengere Verschlüsselung rechtfertigen würden. Dies sei daher einzelfallabhängig. Generell werde die Verwendung einer Transportverschlüsselung datenschutzrechtlich – auch bei Berufsgeheimnisträgern – ausreichend sein, sofern keine Anhaltspunkte für besonders sensible Daten vorliegen oder sonstige Umstände hinzutreten. Vielmehr sei es als sozialadäquat und womöglich derzeit noch als Stand der Technik einzustufen, wenn mittels transportverschlüsselter E-Mails auch im geschäftlichen Verkehr kommuniziert wird, meint das Gericht. Außerdem gehöre die etwaige (unbefugte) Kenntnisnahme Dritter von Inhalten der elektronischen Kommunikation zum allgemeinen Lebensrisiko.
Das VG Mainz stellte demnach fest, dass vorliegend keine besonderen Anhaltspunkte, die einen erhöhten Schutzbedarf begründen, vorlagen. Es habe sich zunächst weder um Daten gehandelt, die von Art. 9 und 10 DSGVO erfasst waren, noch kamen diese den dort genannten Datenkategorien auch nur nahe. Spezielle Indizien für einen naheliegenden Verlust der Vertraulichkeit lagen nach Auffassung des VG Mainz nicht vor. Allein die Tatsache, dass der Kläger und die Betroffenen in eine rechtliche Auseinandersetzung verwickelt waren, reichen ebenfalls für die Annahme eines erhöhten Schutzbedarf nicht.
Die Entscheidung des VG Mainz vermag zu überzeugen. Das Gericht hat rechtlich zutreffend herausgearbeitet, dass im Streitfall keine besonderen Anhaltspunkte für erhöhten Schutzbedarf vorlagen. Es ist als richtig zu bewerten, dass die Transportverschlüsselungen ohne weiteres als weit verbreiteter Standard anzusehen ist und eine etwaige unbefugte Kenntnisnahme Dritter von Inhalten der elektronischen Kommunikation zum allgemeinen Lebensrisiko gehört. Auch hat das Gericht die DSGVO juristisch präzise und konsequent angewandt. Zutreffend ist nämlich, dass die Datenschutz-Grundverordnung keine ausdrückliche spezielle Regelung im Rahmen der Transportverschlüsselung bei E-Mails für Berufsgeheimnisträger wie Anwälte enthält. In diesem Zusammenhang wird aufgrund der Zunahme von Streitigkeiten rund um die DSGVO, die aktuell immer wieder Neuerungen erfährt, abzuwarten sein, wie Gerichte mit solchen konkreten Problemen umgehen werden.
Nachfolgend können weitere Informationen im Bereich des Informationstechnologierechts und des Datenschutzrechts nachgelesen werden: IT-Recht / Datenschutz.
Rechtsanwalt Björn Thorben M. Jöhnke ist Partner der Kanzlei Jöhnke & Reichow Rechtsanwälte und seit 2017 Fachanwalt für Versicherungsrecht. Während seiner Anwaltstätigkeit hat er bereits eine Vielzahl von gerichtlichen Verfahren im Versicherungsrecht geführt und erfolgreich für die Rechte von Versicherungsnehmern gestritten.
Mit unserer Kompetenz streiten wir ehrgeizig für Ihr Ziel, nämlich Ihre Interessen durchzusetzen! Wir freuen uns, dass unsere Mandanten-/-innen unser Engagement schätzen und positiv bewerten.
Verpassen Sie auch zukünftig keinen Beitrag unserer Kanzlei. Über unseren 2mal monatlich erscheinenden Newsletter erhalten Sie stets die aktuellen Beiträge unserer Kanzlei zu den Themen Versicherungsrecht, Bank- und Kapitalmarktrecht, Vertriebsrecht, Handelsvertreterrecht und Wettbewerbsrecht. Wir freuen uns auf Ihre Anmeldung.