Aufsatz : Die unverschlüsselte E-Mail als Gegenstand einer datenschutzrechtlichen Einwilligungserklärung : aus der RDV 4/2022, Seite 175 bis 180
Die Kommunikation über eine gewöhnliche E-Mail wird dem Schutzmaßstab der DS-GVO nicht gerecht, und der Verantwortliche begeht einen Datenschutzverstoß. Ungeachtet dessen wählt eine Vielzahl an Betroffenen auch bei der Korrespondenz mit öffentlichen Stellen diesen Übertragungsweg und sucht ohne die Möglichkeit einer hinreichenden Inhalts- oder Transportverschlüsselung den Kontakt zu Behörden. Ein Datenschutzverstoß lässt sich für diese Fälle über eine Einwilligung auflösen. Dieser Beitrag zeigt, in welchen Grenzen bei der Kommunikation mit öffentlichen Stellen in eine nicht hinreichend verschlüsselte E-Mail-Kommunikation wirksam eingewilligt werden kann.
I. Einleitung
Im behördlichen Kontext herrschen beim Umgang mit der E-Mail – die im vergangenen Winter ihren 30. Geburtstag gefeiert hat – weiterhin große Rechtsunsicherheiten zu den datenschutzrechtlichen Rahmenbedingungen bei entsprechenden Korrespondenzen mit Betroffenen.
Die Tatsache, dass nur eine hinreichend[1]verschlüsselte E-Mail den Anforderungen des Art. 32 DS-GVO gerecht wird, nehmen die Betroffenen schlicht in Kauf und suchen über eine gewöhnliche E-Mail den Kontakt zu öffentlichen Stellen. Ursächlich hierfür dürfte neben dem fehlenden Wissen insbesondere sein, dass sich das Versenden gewöhnlicher E-Mails seit Jahrzehnten etabliert hat und sich die fast ebenso lange bestehenden Standards wie S/MIME oder PGP mangels nutzerfreundlicher Implementierung der großen E-Mail-Provider nie flächendeckend durchgesetzt haben.
Erreicht eine öffentliche Stelle eine E-Mail ohne die Möglichkeit einer hinreichend verschlüsselten Antwort, dürfte bei spitzfindiger Anschauung bereits die erste Antwort der Behörde über eine gewöhnliche E-Mail einen Datenschutzverstoß darstellen, da selbst bei einer vollständig leeren E-Mail im Header personenbezogene Daten über einen nicht gesicherten Übertragungsweg verarbeitet werden. Infolgedessen dürfte die Behörde nicht antworten. Ein solches Ergebnis widerspricht jedoch nicht nur der Erwartung des Absenders, sondern ist gemessen an den realen Umständen und den derzeit verbreiteten Standards nicht vertretbar. Ein Verstoß gegen Art. 32 DS-GVO ließe sich jedoch auflösen, wenn sich der Betroffene mit der Kommunikation über einen nicht hinreichend gesicherten Übertragungsweg einverstanden erklärt.
Im Folgenden wird daher gezeigt, dass eine solche Einwilligung mit den Regelungen der Datenschutzgrundverordnung vereinbar ist und unter welchen Rahmenbedingungen auf eine konkludente Einwilligung geschlossen werden kann.
II. Das Rechtsinstitut der Einwilligung
Die Fähigkeit eigenständig darüber zu entscheiden, ob, wann und innerhalb welcher Grenzen die eigenen personenbezogenen Daten verarbeitet werden, bildet den Kern des Rechts auf Informationelle Selbstbestimmung.[2] Umgesetzt wird dieses Recht über den gesetzlichen Erlaubnistatbestand des Art. 6 Abs. 1 lit. a DS-GVO, dessen Wirksamkeitsvoraussetzungen sich lediglich über eine Gesamtbetrachtung unter Heranziehung der Art. 4 Nr. 11, Art. 5 Abs. 1 lit. b, Art. 7 und Art. 8 DS-GVO in Verbindung mit den Erwägungsgründen umfassend erschließen lassen.[3]
Die zentralen Wirksamkeitsvoraussetzungen der Einwilligung lassen sich Art. 4 Nr. 11 DS-GVO entnehmen. Hiernach ist Voraussetzung, dass eine freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung vorliegt, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
1. Freiwillig
Die von Art. 4 Nr. 11 DS-GVO vorausgesetzte Freiwilligkeit der Einwilligung ist eine zentrale Voraussetzung und wird demnach durch weitere Kriterien ausgestaltet.
Das Erfordernis der Freiwilligkeit wird zunächst von dem Kopplungsverbot[4] des Art. 7 Abs. 4 DS-GVO konkretisiert, welches in Erwägungsgrund 43 ebenfalls aufgeführt wird.[5] Hiernach darf der Verantwortliche seine Leistungen von der Einwilligung des Betroffenen abhängig machen, soweit diese nicht über das hinausgeht, was der Verantwortliche für die Erfüllung seiner Leistung benötigt, mithin hierfür erforderlich ist. Verlangt der Verantwortliche jedoch eine Einwilligung in Datenverarbeitungen, die nicht erforderlich sind, um die vom Betroffenen gewünschte Leistung erfüllen zu können, liegt ein Verstoß gegen das Kopplungsverbot vor.
Um dies genauer zu benennen, wird verlangt, dass das spezifische Charakteristikum der vom Verantwortlichen erbrachten Leistung bestimmt und mit der Erforderlichkeit abgeglichen werden muss.[6] Es wird somit ermittelt, welchen Umfang die gewünschte Leistung hat und welche Daten für die Erfüllung des Vertrags erforderlich wären.[7] Andere Stimmen bemessen das Kopplungsverbot danach, dass die Verarbeitung zur Erbringung der vom Verantwortlichen geschuldeten Leistung in tatsächlicher Hinsicht zwingend erforderlich sein muss.[8] Selbst diesem strengen Maßstab wird die Einwilligung im vorliegenden Fall gerecht. Wenden sich Betroffene an öffentliche Stellen, liegt dem zumeist ein konkreter Anlass zugrunde, und die Kontaktaufnahme über eine gewöhnliche Mail wird aus Praktikabilitätsgründen gewählt. Spezifisch für das hierauf folgende Tätigwerden der öffentlichen Stelle ist, dass diese kraft eines gesetzlichen Auftrages zur Bearbeitung des Anliegens berufen und in diesem Zusammenhang mit dem Betroffenen korrespondieren muss.[9] Soll diese Korrespondenz nach dem Willen des Betroffenen über einen ungesicherten Übertragungsweg erfolgen, wird der gewünschte Übertragungsweg zum Teil der spezifischen vom Betroffenen gewünschten Leistung und es lässt sich kein Verstoß gegen das Kopplungsverbot erkennen. Verlangt der Betroffene, dass die Leistung der öffentlichen Stelle über eine gewöhnliche E-Mail erbracht wird, ist diese Datenverarbeitung für die vom Betroffenen gewünschte Form der Leistung demnach in tatsächlicher Hinsicht zwingend erforderlich. Eine Kopplung mit Zwecken, die über die gewollte Leistung – hier die Korrespondenz über den ungesicherten Übertragungsweg – hinausgeht, findet demnach nicht statt.
Auch Erwägungsgrund 42 steht der Freiwilligkeit einer Einwilligung nicht entgegen. So soll nur dann von einer Freiwilligkeit ausgegangen werden, wenn der Betroffene eine echte oder freie Wahl hatte und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden. Dies lässt sich dann annehmen, wenn der Betroffene ohne die Einwilligung die Möglichkeit hat, auch auf andere Alternativen zurückzugreifen.[10] Deshalb wird der schon nach dem früheren autonomen Datenschutzrecht vorausgesetzten Möglichkeit, auf zumutbare Alternativen zurückzugreifen, auch innerhalb der DS-GVO entsprechende Bedeutung beigemessen.[11]Bei öffentlichen Stellen bestehen bereits aufgrund gesetzlicher Anordnungen entsprechende Alternativen zu einer gewöhnlichen E-Mail.[12] Den Betroffenen steht weiter die Kontaktmöglichkeit auf dem Postweg, dem Telefon oder einer persönlichen Vorstellung vor Ort offen, sodass sich dieser keiner Einwilligung in einen ungesicherten Übertragungsweg beugen muss. Voraussetzung ist jedoch, dass die öffentliche Stelle diese anderen Kontaktwege weiter bereitstellt, denn es liegt nur dann keine an Bedingungen geknüpfte Leistung der öffentlichen Stelle vor, soweit und solange die Möglichkeit besteht, dass der Betroffene die Leistung auch weiter ohne seine Einwilligung verlangen könnte.[13] Dies gilt selbst für den Fall, in dem der Betroffene zwar anfänglich eine Einwilligung erteilt, diese jedoch später widerrufen hat. Bei einem solchen Widerruf muss die öffentliche Stelle auf die anderen Kommunikationswege zurückgreifen, da der Betroffene anderenfalls unzulässige Nachteile im Sinne des Erwägungsgrundes 42 erleiden würde.[14]
Letztlich spricht auch das in Erwägungsgrund 43 angelegte Kriterium des Ungleichgewichts nicht gegen die Freiwilligkeit der Einwilligung. Dieser sieht vor, dass die Einwilligung dann keine gültige Rechtsgrundlage liefern soll, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht. Der Erwägungsgrund zielt somit ab auf eine faktische Zwangssituation des Betroffenen, in der nicht weiter vom Ausdruck einer freien Entscheidung ausgegangen werden kann.[15] Dies sei der Fall, wenn es sich bei dem Verantwortlichen um eine Behörde handelt und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde. Das Bestehen eines Ungleichgewichts zwischen den Beteiligten ist somit alleine nicht ausreichend und geeignet, die Freiwilligkeit der Einwilligung zu vereiteln, sondern die konkreten Umstände des jeweiligen Einzelfalls sind mit zu berücksichtigen.[16] Auch wenn dies bisweilen kritisch gesehen wird,[17] ist hieran festzuhalten. Deshalb besteht vorliegend zwischen dem Betroffenen und der verantwortlichen öffentlichen Stelle zwar ein entsprechendes Ungleichgewicht. Auch im Verhältnis zu Behörden lässt dieses Ungleichgewicht jedoch eine wirksame Einwilligung nach den konkreten Einzelfallumständen weiter zu und schließt diese nicht kategorisch aus.[18] Hierfür streitet vorliegend der Umstand, dass der Betroffene den Kommunikationskanal E-Mail eröffnet und diesen trotz vertretbarer Alternativen als das Mittel der Korrespondenz ausgewählt hat. Eine faktische Zwangssituation oder anderweitige unangemessene Benachteiligung des Betroffenen sind hierbei nicht zu erkennen, sodass das Erfordernis der Freiwilligkeit einer Einwilligung nicht entgegensteht.
2. Für den bestimmten Fall
Die Einwilligung wird nach Art. 6 Abs. 1 lit. b DS-GVO stets an bestimmte Zwecke gebunden, also für einen bestimmten Fall erteilt. Dem Grundsatz des Art. 5 Abs. 1 lit. b DS-GVO folgend, wonach Daten nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden dürfen, setzt Erwägungsgrund 42 deshalb für die Einwilligung voraus, dass diese Kenntnis der Sachlage erfolgt und der Betroffene die Verarbeitungszwecke erkennen kann. Die Zweckbindung verhindert, dass die Verarbeitungszwecke nach der Erteilung der Einwilligung nachträglich ausgeweitet werden können, und es wird ein gewisses Maß an Kontrolle und Transparenz für den Betroffenen sichergestellt.[19] Dieses Kriterium bereitet keine Schwierigkeiten, da sich die Einwilligung des Betroffenen auf den Zweck ausrichten lässt, die Kommunikation betreffend den jeweiligen Anlass zwischen den Beteiligten über eine gewöhnliche E-Mail über die jeweils angegebenen E-Mail-Adressen zu gestatten.
3. In informierter Weise
Nach Art. 7 Abs. 2 DS-GVO muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Die DS-GVO bekräftigt die Anforderung einer informierten Einwilligung basierend auf dem Transparenzgrundsatz des Art. 5 DS-GVO und verknüpft diese eng mit den Grundsätzen der Verarbeitung nach Treu und Glauben.[20] Deshalb wird von Erwägungsgrund 42 nochmals betont, dass die Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt werden muss und sie keine missbräuchlichen Klauseln beinhalten sollte. Der Betroffene muss demnach hinreichend über alle Punkte aufgeklärt werden, die für die Entscheidungsfindung wesentlich sind, damit dieser die Konsequenzen des eigenen Handels erkennen kann.[21]
Diesen Anforderungen wird die öffentliche Stelle nur dann gerecht, wenn diese den Betroffenen über auf die Risiken der Kommunikation über eine gewöhnliche E-Mail aufklärt. Hierbei ist zu fordern, dass die potenziellen Folgen und Risiken dieses Kommunikationsweges skizziert werden. Dies umfasst auch einen Hinweis und auf die bestehende Wahlmöglichkeit zugunsten eines sicheren (elektronischen) Kommunikationskanals. Neben diesen Hinweisen hat die öffentliche Stelle weitere Informationspflichten zu erfüllen, wonach über die Identität des Verantwortlichen aufzuklären, der Zweck jedes Verarbeitungsvorgangs, für den die Einwilligung eingeholt wird, darzustellen, die verarbeiteten Datenkategorien zu benennen, auf die Betroffenenrechte und insbesondere das Recht, die Einwilligung zu widerrufen, hinzuweisen und die einschlägigen Rechtsgrundlagen zu benennen sind.[22]
Da der Betroffene die Konsequenzen der Einwilligung überblicken können muss, hat die Information zeitlich vor seiner Erklärung zu erfolgen.[23] In welcher Form diese Informationen bereitzustellen sind, wird von der DS-GVO jedoch nicht konkret vorgeschrieben.[24] Aus der Aufklärungspflicht wird abgeleitet, dass die Informationen unaufgefordert zur Verfügung zu stellen und deshalb in dem Ablaufgeschehen automatisch vorgelegt oder eingeblendet werden müssten. Es genüge nicht, die betroffene Person in die Lage zu versetzen, sich die Information selbst zu beschaffen.[25]
Wendet sich ein Betroffener per gewöhnlicher E-Mail an eine öffentliche Stelle, kommt gemessen an diesen Voraussetzungen in Betracht, dass die Informationen von der öffentlichen Stelle in der ersten Antwort auf diese E-Mail bereitgestellt werden. Dies setzt jedoch nicht voraus, dass innerhalb der E-Mail – beispielsweise im Rahmen der Signatur – sämtliche soeben benannten Pflichtinformationen aufgeführt werden müssen. Nach Erwägungsgrund 58 können Informationen beispielsweise auch auf einer Website bereitgestellt werden. Art. 12 Abs. 1 S. 1 DS-GVO setzt zwar generell eine präzise, transparente, verständliche und leicht zugängliche Form der Information voraus, und letzteres muss den Betroffenen in die Lage versetzen, die Informationen insbesondere ohne großen Suchaufwand und mit den ihm zur Verfügung stehenden Mitteln wahrnehmen zu können. Gemessen hieran kann der Informationspflicht jedoch hinreichend entsprochen werden, wenn in der E-Mail Signatur ein ausdrücklicher Hinweis auf die Risiken gewöhnlicher EMail-Kommunikation enthalten ist (erste Ebene) und weitere Informationen über einen in der Signatur enthaltenen Link ohne weitere Zwischenschritte vom Betroffenen abgerufen werden können (zweite Ebene). Ein solcher Mehrebenen-Ansatz anstelle der Darstellung sämtlicher Informationen in Form eines einzigen Hinweises kann wegen der Vielzahl an bereitzustellenden Informationen gewählt werden, um Informationsermüdung zu vermeiden.[26] Erforderlich ist hierbei jedoch mit Blick auf Erwägungsgrund 39, dass bereits auf der ersten Ebene zugleich eine Information über die Verarbeitungszwecke, die Identität des Verantwortlichen und eine Beschreibung der Rechte der betroffenen Person enthalten ist.[27] Dies sichergestellt, ist es jedoch ausreichend, wenn die weiteren Informationen über einen Link abgerufen werden können.[28]
4. Unmissverständlich abgegebene Willensbekundung
Eine Einwilligung liegt nur dann vor, wenn der Betroffene diese auch vor Verarbeitungsbeginn zum Ausdruck gebracht hat.[29] Ein Schweigen ist nicht ausreichend, sodass die Einwilligung nach Erwägungsgrund 43 durch eine eindeutige bestätigende Handlung erfolgen sollte, mit der die Einwilligung unmissverständlich bekundet wird. Dies kann nach Erwägungsgrund 42 auch durch eine Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert.[30]
Eine solche Verhaltensweise kann spätestens dann angenommen werden, wenn der Betroffene seinerseits über eine gewöhnliche E-Mail den Kontakt zu der öffentlichen Stelle gesucht, diesen Kommunikationskanal somit eröffnet hat und (trotz der daraufhin in der Antwort des Verantwortlichen enthaltenen Hinweise auf die Risiken dieser Kommunikation und die bestehenden sicheren Alternativen) die Kommunikation über eine gewöhnliche E-Mail fortsetzt.
Nicht erforderlich ist, dass die öffentliche Stelle bereits die Bekanntmachung der E-Mail-Adresse unmittelbar mit den aufgeführten Pflichtinformationen verknüpft.[31] Zwar werden bereits mit der ersten Antwort der öffentlichen Stelle auf eine gewöhnliche E-Mail des Betroffenen personenbezogene Daten über einen nicht hinreichend gesicherten Übertragungsweg verarbeitet, sodass die Pflichtinformationen dem Betroffenen erst mit der ersten Antwort zugehen. Selbiges gilt jedoch auch spiegelbildlich für die erste E-Mail, mit der die Korrespondenz zur öffentlichen Stelle eingeleitet wird. Bei dieser ersten Kontaktaufnahme zu der öffentlichen Stelle über eine gewöhnliche E-Mail schildert der Betroffene ein Anliegen gegenüber der öffentlichen Stelle und bringt bereits über den selbst gewählten unsicheren Kommunikationskanal hinreichend konkret zum Ausdruck, dass die öffentliche Stelle auf diesem Kommunikationskanal antworten kann.[32] Dieser Schluss ist in Anbetracht der inzwischen allgemein bekannten Gefahren gewöhnlicher E-Mails gerechtfertigt. Wegen der Vorteile einer schnellen und preiswerten Kommunikation existiert heute soweit ersichtlich keine öffentliche Institution, die nicht auch eine E-Mail-Adresse als Kommunikationskanal eröffnet hat. Dieser Umstand ist nicht zuletzt bedingt durch die Verbreitung der E-Mail, die inzwischen in nahezu jeden Lebensbereich Einzug gefunden hat. Verbunden hiermit ist das Verlangen, sich mit den eigenen Anliegen auch per E-Mail an Behörden wenden zu können. Deshalb wird neben den Internetauftritten inzwischen auch in Bescheiden oder Gerichtsentscheidungen eine E-Mail-Adresse als Kontaktmöglichkeit aufgeführt. Aus Perspektive der Bürgerinnen und Bürger muss es daher schizophren anmuten, wenn eine öffentliche Stelle zwar eine E-Mail-Adresse unterhält, aber bei einer entsprechenden Kontaktaufnahme die weitere Korrespondenz aus Datenschutzgründen verweigert. Ein solches Ergebnis widerspricht nicht nur der Erwartung des Absenders, sondern ist gemessen an den realen Umständen und den derzeit verbreiteten Standards nicht vertretbar. Dies gilt selbst dann, wenn die öffentliche Stelle bereits über die Postanschrift des Betroffenen verfügen sollte oder diese in der ersten E-Mail mitgeteilt wird, ohne dass der Betroffene hierbei über weitere Umstände erkennen lässt eine Antwort auf dem Postweg zu wünschen.
In besonderen Verarbeitungssituationen sind jedoch die strengeren Anforderungen der Artt. 9 Abs. 2 lit. a, 22 Abs. 2 lit. c und 49 Abs. 1 lit. a DS-GVO beachtlich, die eine „ausdrückliche“ Einwilligung voraussetzen. Beabsichtigt die öffentliche Stelle, besonders geschützte Datenkategorien[33] wie insbesondere Gesundheits- oder Sozialdaten über eine gewöhnliche E-Mail zu versenden, ist deshalb eine „ausdrückliche“ Einwilligung des Betroffenen erforderlich. Eine solche kann in der vom Betroffenen eingeleiteten Kontaktaufnahme noch nicht erblickt werden. Erforderlich, aber auch ausreichend sein kann jedoch das Senden einer E-Mail oder eine mündliche Erklärung,[34] in der sich der Betroffene nach Bereitstellung der erforderlichen Pflichtinformationen ausdrücklich mit der Kommunikation über gewöhnliche E-Mails bereit erklärt.
5. Disponibilität
Letztlich handelt es sich bei der von Art. 32 DS-GVO vorausgesetzten Verschlüsselung von E-Mails auch nicht insgesamt um zwingendes Recht, das einer Disposition durch die Beteiligten gänzlich entzogen wäre.[35] Nach einem Beschluss der DSK-Konferenz beruhen die vom Verantwortlichen nach Art. 32 DS-GVO vorzuhaltenden technischen und organisatorischen Maßnahmen jedoch auf objektiven Rechtspflichten, die nicht zur Disposition der Beteiligten stünden, sodass ein Verzicht oder die Absenkung der vorgeschriebenen Standards auf der Basis einer Einwilligung nach Art. 6 Abs. 1 lit. a DS-GVO nicht zulässig sei.[36]
Solch ein weitgehendes Verständnis ist weder mit der DSGVO noch dem Recht auf informationelle Selbstbestimmung vereinbar und wird demnach mit Recht kritisch gesehen, soweit der Verantwortliche grundsätzlich in der Lage ist, dass nach der Abwägung des Art. 32 DS-GVO erforderliche Schutzniveau zu gewährleisten.[37] Zwar definiert Art. 4 Nr. 12 DSGVO eine Verletzung des Schutzes personenbezogener Daten als eine Verletzung der Datensicherheit. Die Norm knüpft daraufhin jedoch an den „unbefugten“ Zugang an, sodass sich die Befugnis und Datenschutzverletzung stets vom Willen des Betroffenen ableiten muss.[38] Dies kommt auch in Art. 5 DSGVO zum Ausdruck, der ebenfalls an die „unbefugte“ Verarbeitung anknüpft. Die besonderen Bedingungen einer „ausdrücklichen“ Einwilligung vorausgesetzt, gestattet Art. 49 Abs. 1 lit. a DS-GVO zudem die Datenübermittlung in Staaten ohne ein der DS-GVO entsprechendes Datenschutzniveau, sodass es der DS-GVO immanent ist, auf Grundlage einer Einwilligung eine rechtmäßige Datenverarbeitung vorzunehmen, die in all seinen Konsequenzen für den Betroffenen nicht absehbar ist oder die Art. 32 DS-GVO nicht entspricht.
De lege lata finden sich bereits an verschiedenen Stellen ausdrückliche Regelungen dazu, dass ein nicht hinreichend verschlüsselter elektronischer Transportweg zulässig und den Gegenstand einer entsprechenden Einwilligung bilden kann. Gemäß § 4 Abs. 1 E-Government-Gesetz Nordrhein-Westfalen eröffnen Bürgerinnen und Bürger sowie Unternehmen durch die Wahl eines elektronischen Kommunikationswegs in der jeweiligen Angelegenheit den Zugang für die zuständige Behörde und diese soll im Falle einer Antwort den von der Absenderin oder dem Absender gewählten elektronischen Kommunikationsweg zur Übermittlung der Antwort nutzen. Diese Regelung wird der erwähnten Erwartungshaltung des Absenders gerecht. Das Steuerrecht geht hingegen noch einen Schritt weiter, da nach § 87a Abs. 1 S. 3 Hs. 2 AO auf die Verschlüsselung einer E-Mail verzichtet werden kann, „soweit alle betroffenen Personen schriftlich eingewilligt haben“. Die soweit ersichtlich ausdrücklichste Regelung findet sich jedoch in § 2 Abs. 2 S. 5 BORA: „Zwischen Rechtsanwalt und Mandant ist die Nutzung eines elektronischen oder sonstigen Kommunikationsweges, der mit Risiken für die Vertraulichkeit dieser Kommunikation verbunden ist, jedenfalls dann erlaubt, wenn der Mandant ihr zustimmt. Von einer Zustimmung ist auszugehen, wenn der Mandant diesen Kommunikationsweg vorschlägt oder beginnt und ihn, nachdem der Rechtsanwalt zumindest pauschal und ohne technische Details auf die Risiken hingewiesen hat, fortsetzt“.
Bei der hier untersuchten Konstellation ist sichergestellt, dass der Verantwortliche infolge der parallel eröffneten Kommunikationswege grundsätzlich in der Lage ist, das nach der Abwägung des Art. 32 DS-GVO erforderliche Schutzniveau gewährleisten. Werden die aufgeführten Anforderungen an eine wirksame Einwilligung eingehalten, kann nach alledem an der Disponibilität des sicheren Übertragungswegs somit kein Zweifel bestehen.
III. Zusammenfassende Empfehlungen für die Korrespondenz öffentlicher Stellen
Die Einwilligung in eine nicht hinreichend verschlüsselte E-Mail-Kommunikation ist mit der DS-GVO vereinbar. Bei einer vom Betroffenen ausgehenden Kontaktaufnahme mit einer öffentlichen Stelle, bildet die Regelung des § 2 Abs. 2 S. 5 BORA die berechtigten Interessen des Betroffenen angemessen ab. Auch lässt sich diese Regelung einer praktikablen Umsetzungsmöglichkeit und Handhabung durch öffentliche Stellen zuführen, sodass vorgeschlagen wird, ihre Erwägungen sinngemäß auf die Korrespondenz zwischen dem Betroffenen und einer öffentlichen Stelle zu übertragen.
Zusammenfassend setzt eine wirksame Einwilligung in eine Korrespondenz über gewöhnliche mithin nicht hinreichend verschlüsselte E-Mails die Wahrung sämtlicher folgender Gegebenheiten voraus:
(1.) Die öffentliche Stelle stellt dem Betroffenen sichere elektronische Kommunikationswege zur Verfügung und bietet die Kommunikation über eine gewöhnliche E-Mail lediglich ergänzend an.
(2.) Der Betroffene wendet sich mit einer gewöhnlichen E-Mail an die öffentliche Stelle und eröffnet somit seinerseits eine Korrespondenz über diesen Kommunikationskanal. Ist dies nicht der Fall, wird eine vorherige und weiter bestehende Einwilligung des Betroffenen zur entsprechenden einleitenden Kontaktaufnahme der öffentlichen Stelle vorausgesetzt.
(3.) Die Kontaktaufnahme des Betroffenen enthält keinen ausdrücklichen Hinweis, dass dieser keine Antwort über eine gewöhnliche E-Mail wünscht.
(4.) Bei der ersten Antwort der öffentlichen Stelle werden dem Betroffenen sämtliche Pflichtinformationen der wirksamen Einwilligung mitgeteilt.
Für letzteres ist erforderlich, dass der Text der E-Mail selbst mindestens einen Hinweis auf die Risiken gewöhnlicher E-Mail-Kommunikation, eine Information über die Verarbeitungszwecke, die Identität des Verantwortlichen und das Recht der betroffenen Person, auf diesen Übertragungsweg zu verzichten, und auf sichere Alternativen ausweichen zu können, enthält. Dies kann in einer E-Mail-Signatur erfolgen. Die weiteren Pflichtinformationen lassen sich über einen in der E-Mail-Signatur enthaltenen Link auf dem Internetauftritt der öffentlichen Stelle bereitstellen.
Dr. Philip-René Retzbach
ist als Justiziar und behördlicher Datenschutzbeauftragter
am Landratsamt Calw tätig. Der Autor vertritt in diesem Beitrag
seine persönliche Auffassung.
[1] Über die technischen Anforderungen herrscht Streit. Eine TLS-Verschlüsselung als ausreichend annehmend: VG Mainz, Urt. v. 17. Dezember 2020 – 1 K 778/19.MZ = DSB 2021, 88-90 (Leitsatz).
[2] Vgl. nur diesbezüglich das Volkszählungsurteil: BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83 = BVerfGE 65, 1.
[3] Buchner/Petri, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl. 2020, Art. 4 Nr. 11, Rn. 1.
[4] Auch Verbot der „Bündelung“ oder „Konditionalität“.
[5] Hierzu Buchner/Petri, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl. 2020, Art. 7, Rn. 46 ff. m.w.N; BeckOK DatenschutzR/Stemmer, 39. Ed. 01.11.2021, DS-GVO Art. 7 Rn. 43 m.w.N.
[6] Buchner/Petri a.a.O.
[7] EDSA, Leitlinien 05/2020 vom 04.05.2020, Rn. 29.
[8] DatenschutzR/Stemmer, 39. Ed. 01.11.2021, DS-GVO Art. 7 Rn. 43 m.w.N.
[9] Rechtspflichten zur Bearbeitung ergeben sich nicht nur mittelbar aus subjektiv öffentlich-rechtlichen Rechten auf die behördliche Entscheidung, sondern auch primär aus gesetzlichen Ansprüchen auf Eingangsbestätigungen der öffentlichen Stelle.
[10] Vgl. OLG Düsseldorf, Urt. v. 28.10.2021 – 16 U 275/20.
[11] Buchner/Petri, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl. 2020, Art. 7, Rn. 52 m.w.N.
[12] Beispielsweise muss nach § 174 Abs. 3 ZPO i.V.m. § 130a Abs. 4 Nr. 3 ZPO, gleichlautend mit § 55a Abs. 4 Nr. 3 VwGO, § 46c ArbGG, § 65a SGG und § 52a FGO sowie § 32a StPO, jeweils in der ab 1. Januar 2018 geltenden Fassung, ein sicherer Übermittlungsweg für die Zustellung elektronischer Dokumente eingerichtet werden.
[13] Vgl. EDSA, Leitlinien 05/2020 vom 04.05.2020, Rn. 37.
[14] Vgl. EDSA, Leitlinien 05/2020 vom 04.05.2020, Rn. 46 f.
[15] Buchner/Petri in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl. 2020, Art. 7, Rn. 43.
[16] Buchner/Petri, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl. 2020, Art. 7, Rn. 44 m.w.N; BeckOK DatenschutzR/Stemmer, 39. Ed. 01.11.2021, DSGVO Art. 7 Rn. 54.
[17] Vgl. Schneider/Härting, Wird der Datenschutz nun endlich internettauglich? – Warum der Entwurf einer Datenschutz-Grundverordnung enttäuscht, ZD 2012, 199, 201.
[18] EDSA, Leitlinien 05/2020 vom 04.05.2020, Rn. 17; BeckOK DatenschutzR/Stemmer, 40. Ed. 01.05.2022, DS-GVO Art. 7 Rn. 54.
[19] BeckOK DatenschutzR/Albers/Veit, 40. Ed. 01.11.2021, DS-GVO Art. 6 Rn. 32; EDSA, Leitlinien 05/2020 vom 04.05.2020, Rn. 55.
[20] Vgl. EDSA, Leitlinien 05/2020 vom 04.05.2020, Rn. 62.
[21] EDSA, Leitlinien 05/2020 vom 04.05.2020, Rn. 64; BeckOK DatenschutzR/Stemmer, 40. Ed. 01.05.2022, DS-GVO Art. 7 Rn. 55.
[22] EDSA, Leitlinien 05/2020 vom 04.05.2020, Rn. 64; BeckOK DatenschutzR/Stemmer, 40. Ed. 01.05.2022, DS-GVO Art. 7 Rn. 58 m.w.N.
[23] Vgl. Art. 13 Abs. 1 DS-GVO „zum Zeitpunkt der Erhebung“. BeckOK DatenschutzR/Stemmer, 40. Ed. 01.05.2022, DS-GVO Art. 7 Rn. 72 m.w.N.
[24] EDSA, Leitlinien 05/2020 vom 04.05.2020, Rn. 66.
[25] BeckOK DatenschutzR/Stemmer, 40. Ed. 01.05.2022, DS-GVO Art. 7 Rn. 72.
[26] So bereits das Arbeitspapier WP 260 rev. 01 der Art. 29-Gruppe vom 11.04.2018, Rn. 35.
[27] WP 260 rev. 01 der Art. 29-Gruppe vom 11.04.2018, Rn. 36.
[28] Vgl. WP 260 rev. 01 der Art. 29-Gruppe vom 11.04.2018, Rn. 38 a.E.
[29] EDSA, Leitlinien 05/2020 vom 04.05.2020, Rn. 90.
[30] Nach Art. 7 Abs. 1 DS-GVO und Erwägungsgrund 42 liegt die Darlegungslast hierfür beim Verantwortlichen.
[31] Gleichwohl wird eine präsente und öffentliche Bekanntmachung dieser Informationen, beispielsweise auf dem Internetauftritt der öffentlichen Stelle empfohlen.
[32] Vgl. OLG Düsseldorf, Urteil vom 28.10.2021 – 16 U 275/20, wonach der Betroffene bereits durch die Mitteilung der E-Mail-Adresse hinreichend zum Ausdruck bringe, eine E-Mail-Kommunikation auch ohne hinreichende Verschlüsselung zu wünschen.
[33] Vgl. Art. 9 Abs. 1 DS-GVO.
[34] Vgl. EDSA, Leitlinien 05/2020 vom 04.05.2020, Rn. 94 mit Hinweis auf die ggf. bestehenden Nachweisprobleme des Verantwortlichen bei mündlichen erfolgten Erklärungen.
[35] Hiervon ausgehend: OLG Düsseldorf, Urt. v. 28.10.2021 – 16 U 275/20. Umfassend: Der Hamburgische Beauftragte für den Datenschutz und Informationsfreiheit, Vermerk: Abdingbarkeit von TOMs (Art. 32 DS-GVO), 05.01.2022 m.w.N.
[36] Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK), Zur Möglichkeit der Nichtanwendung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO auf ausdrücklichen Wunsch betroffener Personen vom 24.11.2021; Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, 36. Tätigkeitsbericht 2020, S. 25.
[37] Ebenso im Ergebnis der Hamburgische Beauftragte für den Datenschutz und Informationsfreiheit, Vermerk: Abdingbarkeit von TOMs (Art. 32 DS-GVO), 05.01.2022, S. 8 ff.
[38] Vgl. der Hamburgische Beauftragte für den Datenschutz und Informationsfreiheit, Vermerk: Abdingbarkeit von TOMs (Art. 32 DS-GVO), 05.01.2022, S. 8.