Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Ist ein Verzicht auf Verschlüsselung wirksam?
Im Anfang des Jahres veröffentlichten Jahresbericht 2013 der Datenschutzaufsichtsbehörde Berlin wird auf Seite 161 die Rechtsmeinung vertreten, der Betroffene könne gar nicht wirksam auf die Verschlüsselung seiner Daten verzichten, wenn diese per E‑Mail versendet werden. Der Gesetzgeber sehe eine solche Einwilligung nicht vor.
Der Auslöser
Im konkreten Fall sendete ein Arbeitsvermittler Bewerbungsunterlagen per E‑Mail an potenzielle Arbeitgeber, natürlich unverschlüsselt. Der Arbeitsvermittler hatte vorab die Einwilligung der Betroffenen hierzu schriftlich im Vermittlungsvertrag eingeholt.
Die Aufsichtsbehörde Berlin erfuhr davon und erließ 2010 eine Anordnung, in der sie den Arbeitsvermittler aufforderte, diese Praxis einzustellen oder Verschlüsselung einzusetzen.
Gegen diese Anordnung erhob der Arbeitsvermittler Klage und obsiegte in erster Instanz vor dem Verwaltungsgericht Berlin. Das Verwaltungsgericht begründete seine Entscheidung mit der Unverhältnismäßigkeit der Anordnung und ließ die Frage, ob Betroffene wirksam auf den Schutz ihrer Daten verzichten können, offen.
In zweiter Instanz hat das Oberverwaltungsgericht Berlin-Brandenburg die Berufung zugelassen, weil der Rechtssache grundsätzliche Bedeutung zukommt. Leider gab der Arbeitsvermittler während des Berufungsverfahrens seine Tätigkeit auf und es kam nicht zu einer obergerichtlichen Entscheidung. Die Hauptsache wurde für erledigt erklärt, das erstinstanzliche Urteil des VG Berlin aufgehoben und die Kosten des Verfahrens den Beteiligten jeweils zur Hälfte auferlegt. Die Kostenentscheidung wurde vom OVG damit begründet, dass die Entscheidung in der Hauptsache vollkommen offen gewesen wäre.
Die Praxis
Das Vorgehen des Arbeitsvermittlers in Berlin ist meiner Erfahrung nach absolut die Regel. Es ist dabei noch nicht einmal in allen Fällen gewährleistet, dass die Betroffenen überhaupt informiert werden und die Einwilligung in den unverschlüsselten Versand eingeholt wird.
Im Rahmen der SEPA-Umstellung gab es gerade zu Beginn des Jahres 2014 vermehrt Meldungen über den Versand kompletter Kontodaten mittels unverschlüsselter E‑Mail durch bestimmte Unternehmen an ihre Kunden.
Die Lösung
Machen Sie sich Gedanken, welche Daten mit wem per E‑Mail ausgetauscht werden müssen. Handelt es sich dabei um personenbezogene oder andere sensible Daten, sollten Sie eine durchgängige Verschlüsselung einsetzen. Beachten Sie dazu auch den Blogbeitrag aus 2012.
Ob das Einholen einer Einwilligung des Betroffenen in den unverschlüsselten Versand seiner Daten per E‑Mail ausreicht, ist nach dem oben geschilderten Sachverhalt zwar derzeit noch mit Rechtsunsicherheit verbunden, ist aber das Mindeste, wenn Verschlüsselung nicht möglich oder sinnvoll ist.
Bild: fotomek / Fotolia.com
Abschluss der Ausbildung mit dem zweiten juristischen Staatsexamen 1997. Seitdem in unterschiedlichen Bereichen bei der DATEV eG in Nürnberg tätig. Praktische Erfahrung im IT-Umfeld hat er insbesondere in seiner zehnjährigen Tätigkeit in der Softwareentwicklung gesammelt. Hierbei war er u.a. mit der Einrichtung und Aktualisierung von Netzwerkumgebungen in Steuerberater- und Rechtsanwaltskanzleien betraut. Seit fünf Jahren ist Bernd Bosch als externer Datenschutzberater für Kanzleien tätig.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Neueste Kommentare