DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Ist ein Ver­zicht auf Ver­schlüs­selung wirksam?

Im Anfang des Jahres ver­öf­fent­lichten Jah­res­be­richt 2013 der Daten­schutz­auf­sichts­be­hörde Berlin wird auf Seite 161 die Rechts­meinung ver­treten, der Betroffene könne gar nicht wirksam auf die Ver­schlüs­selung seiner Daten ver­zichten, wenn diese per E‑Mail ver­sendet werden. Der Gesetz­geber sehe eine solche Ein­wil­ligung nicht vor.

 

Der Aus­löser

Im kon­kreten Fall sendete ein Arbeits­ver­mittler Bewer­bungs­un­ter­lagen per E‑Mail an poten­zielle Arbeit­geber, natürlich unver­schlüsselt. Der Arbeits­ver­mittler hatte vorab die Ein­wil­ligung der Betrof­fenen hierzu schriftlich im Ver­mitt­lungs­vertrag eingeholt.

Die Auf­sichts­be­hörde Berlin erfuhr davon und erließ 2010 eine Anordnung, in der sie den Arbeits­ver­mittler auf­for­derte, diese Praxis ein­zu­stellen oder Ver­schlüs­selung einzusetzen.

Gegen diese Anordnung erhob der Arbeits­ver­mittler Klage und obsiegte in erster Instanz vor dem Ver­wal­tungs­ge­richt Berlin. Das Ver­wal­tungs­ge­richt begründete seine Ent­scheidung mit der Unver­hält­nis­mä­ßigkeit der Anordnung und ließ die Frage, ob Betroffene wirksam auf den Schutz ihrer Daten ver­zichten können, offen.

In zweiter Instanz hat das Ober­ver­wal­tungs­ge­richt Berlin-Bran­­denburg die Berufung zuge­lassen, weil der Rechts­sache grund­sätz­liche Bedeutung zukommt. Leider gab der Arbeits­ver­mittler während des Beru­fungs­ver­fahrens seine Tätigkeit auf und es kam nicht zu einer ober­ge­richt­lichen Ent­scheidung. Die Haupt­sache wurde für erledigt erklärt, das erst­in­stanz­liche Urteil des VG Berlin auf­ge­hoben und die Kosten des Ver­fahrens den Betei­ligten jeweils zur Hälfte auf­erlegt. Die Kos­ten­ent­scheidung wurde vom OVG damit begründet, dass die Ent­scheidung in der Haupt­sache voll­kommen offen gewesen wäre.
 
Die Praxis

Das Vor­gehen des Arbeits­ver­mittlers in Berlin ist meiner Erfahrung nach absolut die Regel. Es ist dabei noch nicht einmal in allen Fällen gewähr­leistet, dass die Betrof­fenen über­haupt infor­miert werden und die Ein­wil­ligung in den unver­schlüs­selten Versand ein­geholt wird.

Im Rahmen der SEPA-Umstellung gab es gerade zu Beginn des Jahres 2014 ver­mehrt Mel­dungen über den Versand kom­pletter Kon­to­daten mittels unver­schlüs­selter E‑Mail durch bestimmte Unter­nehmen an ihre Kunden.

Die Lösung

Machen Sie sich Gedanken, welche Daten mit wem per E‑Mail aus­ge­tauscht werden müssen. Handelt es sich dabei um per­so­nen­be­zogene oder andere sen­sible Daten, sollten Sie eine durch­gängige Ver­schlüs­selung ein­setzen. Beachten Sie dazu auch den Blog­beitrag aus 2012.

Ob das Ein­holen einer Ein­wil­ligung des Betrof­fenen in den unver­schlüs­selten Versand seiner Daten per E‑Mail aus­reicht, ist nach dem oben geschil­derten Sach­verhalt zwar derzeit noch mit Rechts­un­si­cherheit ver­bunden, ist aber das Min­deste, wenn Ver­schlüs­selung nicht möglich oder sinnvoll ist.

Bild: fotomek / Fotolia.com

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Bosch, DATEV eG

Abschluss der Aus­bildung mit dem zweiten juris­ti­schen Staats­examen 1997. Seitdem in unter­schied­lichen Bereichen bei der DATEV eG in Nürnberg tätig. Prak­tische Erfahrung im IT-Umfeld hat er ins­be­sondere in seiner zehn­jäh­rigen Tätigkeit in der Soft­ware­ent­wicklung gesammelt. Hierbei war er u.a. mit der Ein­richtung und Aktua­li­sierung von Netz­werk­um­ge­bungen in Steu­er­be­rater- und Rechts­an­walts­kanz­leien betraut. Seit fünf Jahren ist Bernd Bosch als externer Daten­schutz­be­rater für Kanz­leien tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.