VG Mainz: Datenschutzrechtliche Anforderungen an die Übermittlung einer E-Mail

Das VG Mainz befasste sich in seinem Urteil vom 17.12. 2020 (Az.: 1 K 778/19.MZ) mit den Anforderungen an die technischen und organisatorischen Maßnahmen zu Gewährleistung eines angemessenen Schutzniveaus bei der E-Mail-Kommunikation eines Anwalts in einem Mandantenverhältnis. Dabei hatte das Gericht die Frage zu beantworten, ob ein angemessenes Schutzniveau i.S.d. Art 32 Abs. 1 Datenschutz-Grundverordnung (DSGVO) vorliegt, wenn ein Berufsgeheimnisträger lediglich eine Transportverschlüsselung und keine qualifizierte Transportverschlüsselung oder Ende-zu-Ende-Verschlüsselung beim Versand von E-Mails verwendet.

Der Kläger, ein Rechtsanwalt, klagte vor dem VG Mainz gegen eine Verwarnung der Datenschutzaufsichtsbehörde Rheinland-Pfalz. Diese sah die Vorgaben zur Datensicherheit der DSGVO als verletzt an, da der Kläger E-Mails ohne Ende-zu-Ende-Verschlüsselung versendete.

Das VG Mainz verneint das Vorliegen eines Datenschutzverstoßes. Gemäß Art. 5 Abs. 1 f), Abs. 2 DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische organisatorische Maßnahmen gewährleistet. Die Anforderungen an die Sicherheit der Verarbeitung ergeben sich auch aus Art. 32 Abs. 1 DSGVO. Demnach müssen Verantwortliche ein angemessenes Schutzniveau für die Rechte und Freiheiten natürlicher Personen, unter Berücksichtigung des Stands der Technik, Implementierungskosten der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos durch geeignete technische und organisatorische Maßnahmen, gewährleisten.

Vorliegend war die E-Mail mit einer Transportverschlüsselung (SSL/TLS) versendet worden, welche nach Ansicht des VG Mainz den Anforderungen an ein angemessenes Schutzniveau gerecht wird. Einer Ende-zu-Ende-Verschlüsselung bedurfte es demnach nicht. Soweit keine Anhaltspunkte für besonders sensible Daten bestehen, ist eine Transportverschlüsselung datenschutzrechtlich – auch bei Berufsgeheimnisträgern – als ausreichend anzusehen. Das Gericht führte diesbezüglich weiter aus, dass die obligatorische Transportverschlüsselung im Geschäftsverkehr sozialadäquat und als Mindeststand der Technik einzustufen sei.

Art. 9 und 10 DSGVO bestimmen, welche Kategorien personenbezogener Daten generell einen erhöhten Schutz genießen. Das VG Mainz führt diesbezüglich weiter aus, dass allein eine mandatsbezogene Kommunikation keine erhöhte Schutzbedürftigkeit begründe. Des Weiteren können erhöhte Anforderungen an die Verarbeitung von Daten nicht an den Beruf des Versenders geknüpft werden, da die DSGVO keine spezifischen Regelungen für Berufsgeheimnisträger enthält.

Grundsätzlich ist daher ein datenschutzrechtlich angemessenes Schutzniveau bei der Nutzung einer Transportverschlüsselung anzunehmen.

Für Unternehmen lässt das Urteil einen „Erst-Recht-Schluss“ zu: Wenn bei Berufsgeheimnisträgern kein Datenschutzverstoß bei dem Versand von E-Mails mit einer Transportverschlüsselung vorliegt, dann erst recht nicht bei Verantwortlichen oder Auftragsverarbeitern, die keine Berufsgeheimnisträger sind und E-Mails ohne Ende-zu-Ende-Verschlüsselung versenden.

Letztlich ist an dieser Stelle anzumerken, dass Anwälte gem. § 2 Abs. 2 Berufsordnung für Rechtsanwälte (BORA) verpflichtet sind, die zum Schutz des Mandatsgeheimnisses erforderlichen organisatorischen und technischen Maßnahmen, die risikoadäquat und für den Anwaltsberuf zumutbar sind, zu ergreifen. Dabei geht aus § 2 Abs. 2 S. 2 BORA eine Verknüpfung mit dem Datenschutzrecht hervor. Technische Maßnahmen werden demnach als ausreichend angesehen, soweit sie im Falle der Anwendbarkeit der Vorschriften zum Schutz personenbezogener Daten deren Anforderungen entsprechen. Somit ist Art. 32 DSGVO auch in diesem berufsrechtlichen Kontext zu berücksichtigen.

Trotz des Urteils sollten Berufsgeheimnisträger nicht außer Acht lassen, dass die Beurteilung des angemessenen Schutzniveaus sich nach dem Einzelfall richtet und nicht pauschalisiert werden darf.  Insbesondere sollten Berufsgeheimnisträger gegenüber Datenschutzbehörden im Zweifel nachweisen können, dass im Einzelfall kein erhöhtes Risiko bestand. Im Zuge dessen ist es ebenfalls von Bedeutung Mitarbeiter für das Thema Datenschutz zu sensibilisieren und hinreichend zu schulen. Daneben bietet sich eine einheitliche und verbindliche Festlegung des zu verwendenden Verschlüsselungsverfahrens für konkrete Sachverhalte für alle Mitarbeiter an.