Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat eine Orientierungshilfe verabschiedet, in der sie die Anforderungen an die Verfahren zum Versand und zur Entgegennahme von E-Mails dargelegt hat. Diese basiert auf den Vorgaben der Art. 5 Abs. 1 lit. f, 25 und 32 Abs. 1 Datenschutzgrundverordnung (DSGVO).
Werden E-Mails, die personenbezogene Daten enthalten oder aus denen sich Informationen über natürliche Personen ableiten lassen, nicht verschlüsselt, besteht das Risiko, dass unbefugte Personen mitlesen. Dies stellt eine Datenschutzverletzung i.S.d. Art. 33 DSGVO dar. Um dies abzuwenden sollten solche E-Mails standardmäßig verschlüsselt werden.
Inanspruchnahme von E-Mail-Diensteanbietern
Öffentliche E-Mail-Diensteanbieter müssen zum Schutz der Vertraulichkeit und Integrität die Anforderungen der Technischen Richtlinie „Sicherer E-Mail-Transport“ des Bundesamts für Sicherheit in der Informationstechnik (BSI TR-03108-1) einhalten.
Bei Inanspruchnahme öffentlicher E-Mail-Diensteanbieter müssen Verantwortliche sicherstellen, dass die Diensteanbieter hinreichende Garantien für die Einhaltung der Anforderungen aus der DSGVO und insbesondere der genannten Technischen Richtlinie bieten. Dies umfasst auch die sichere Anbindung eigener Systeme und Endgeräte an die Diensteanbieter.
Außerdem müssen die Verantwortlichen das Risiko für die Rechte und Freiheiten der natürlichen Personen, das sich aus der Verarbeitung personenbezogener Daten ergibt, abschätzen. Entsprechend der Einordnung des Risikos als normal oder hoch, müssen ggf. zusätzliche Maßnahmen ergriffen werden.
Entgegennahme von personenbezogenen Daten
Nimmt der Verantwortliche per E-Mail gezielt personenbezogene Daten entgegen, muss er folgende Anforderungen erfüllen:
Bei einem normalen Risiko für die Rechte und Freiheiten der natürlichen Personen muss der Verantwortliche den sicheren Empfang der E-Mails über einen verschlüsselten Kanal sicherstellen. Der Empfangsserver muss mindestens den Aufbau von TLS-Verbindungen (direkt per SMTPS oder nach Erhalt eines STARTTLS-Befehls über SMTP) ermöglichen und darf ausschließlich die in der TR 02102-2 aufgeführten Algorithmen verwenden.
Bei einem hohen Risiko muss der Verantwortliche eine qualifizierte Transportverschlüsselung und den Empfang von Ende-zu-Ende verschlüsselten Nachrichten ermöglichen. Außerdem muss er bestehende (PGP- oder S/MIME-) Signaturen qualifiziert prüfen.
Versand von E-Mails
Stellt der Bruch der Vertraulichkeit beim Versand von E-Mails mit personenbezogenen Daten ein normales Risiko für die Rechte und Freiheiten der natürlichen Personen dar, muss der Verantwortliche eine obligatorische Transportverschlüsselung sicherstellen und sollte sich an der Technischen Richtlinie „Sicherer E-Mail-Transport“ des Bundesamts für Sicherheit in der Informationstechnik (BSI TR-03108-1) orientieren.
Bei einem hohen Risiko muss der Verantwortliche eine Ende-zu-Ende-Verschlüsselung und eine qualifizierte Transportverschlüsselung sicherstellen. Ggf. kann auf einzelne Anforderungen verzichtet werden, dies hängt jedoch von den bestehenden Risiken, der konkreten Ausgestaltung des Übertragungsweges und kompensierenden Maßnahmen ab.
Ist der Verantwortliche gemäß § 203 StGB zur Geheimhaltung von Kommunikationsinhalten verpflichtet, muss zusätzlich zu den o.g. Maßnahmen zwingend eine Verschlüsselung vorgenommen werden, sodass nur diejenigen, an die die Inhalte der Nachrichten offenbart werden dürfen, eine Entschlüsselung vornehmen können.
Verschlüsselungs- und Signaturverfahren
Die folgenden Verschlüsselungs- und Signaturverfahren kommen dabei in Betracht:
Eine Transportverschlüsselung ist das Mindestmaß, das zur Erfüllung der gesetzlichen Anforderungen erforderlich ist. Hierdurch wird das normale Risiko, das sich aus der Verarbeitung personenbezogener Daten ergibt, bereits ausreichend gemindert.
Durch eine obligatorische Transportverschlüsselung soll eine unverschlüsselte Übermittlung der Nachrichten ausgeschlossen werden. Dabei sind die Anforderungen der Technischen Richtlinie „Kryptographische Verfahren: Empfehlungen und Schlüssellängen“ des Bundesamts für Sicherheit in der Informationstechnik (BSI TR-02102-2) zu erfüllen sind.
Durch eine qualifizierte Transportverschlüsselung wird ein ausreichender Schutz gegen aktive Angriffe von Dritten in den Netzverkehr gewährleistet.
Eine Ende-zu-Ende-Verschlüsselung mit den Verfahren S/MIME und OpenPGP gewährt den durchgreifendsten Schutz der Vertraulichkeit der Inhaltsdaten. Neben dem Transportweg wird auch die Zwischenspeicherung und -verarbeitung auf den an der Übermittlung beteiligten Server geschützt.
Eine Signatur mit dem S/MIME- oder OpenPGP-Verfahren ermöglicht einen nachhaltigen Schutz der Integrität der E-Mail-Inhalte gegen unbefugte Beeinträchtigung. Der Schutz umfasst neben dem Transportweg auch die Zwischenspeicherung und -verarbeitung auf den an der Übermittlung beteiligten Servern.
Fazit
Eine E-Mail-Verschlüsselung ist daher als technische und organisatorische Maßnahme i.S.d. Art. 32 DSGVO vorzunehmen, wobei die Verschlüsselungs- und Signaturverfahren dem entsprechenden Risiko angepasst werden müssen.
Falls Sie hierbei Unterstützung benötigen oder weitere Fragen haben, sprechen Sie uns gerne an.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Auch die Datenschutzbehörden Österreichs und der Schweiz haben auf die aktuelle Situation reagiert und aktuelle Mitteilungen zum datenschutzrechtlichen Umgang mit Daten rund um das Coronavirus veröffentlicht:
Österreich
Die österreichische Datenschutzbehörde stellt zunächst klar, dass es sich bei Daten über Infektionen mit dem Coronavirus und auch bei Verdachtsfällen um sensible Gesundheitsdaten i.S.d. Art. 9 DSGVO handelt, die besonders schützenswert sind. Dennoch können solche Daten zur Eindämmung des Virus und zum Schutz der Mitmenschen verwendet werden.
Folgende Rechtsgrundlagen kommen hierfür grundsätzlich in Betracht:
- Verarbeitung zum Zwecke der Gesundheitsvorsorge, Art. 9 Abs. 2 lit. h DSGVO
- Verarbeitung zum Zwecke der Erfüllung arbeits- und sozialrechtlicher Pflichten, Art. 9 Abs. 2 lit. b DSGVO: Arbeitgeber sind gegenüber ihren Arbeitnehmern zur Fürsorge verpflichtet, hierzu gehört auch der Ausschluss von Gesundheitsrisiken am Arbeitsplatz.
- Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, Art. 9 Abs. 2 lit. i DSGVO: Für die Übermittlung der Gesundheitsdaten an die Gesundheitsbehörden.
- Der Arbeitgeber kann darüber hinaus nach § 5 Abs. 3 Epidemiegesetz 1950 auf Verlangen zur Auskunftserteilung an die Bezirksverwaltungsbehörden verpflichtet sein.
Weiterhin ist es ausnahmsweise zulässig die private Telefonnummer von Mitarbeitern zu erheben, um die Mitarbeiter kurzfristig über aktuelle interne Maßnahmen zur Eindämmung der Pandemie (z.B. Standortschließungen) zu informieren oder vor einer Ansteckungsgefahr zu waren. Die Mitteilung der privaten Telefonnummer ist jedoch freiwillig.
Bei allen Datenverarbeitungen ist der Grundsatz der Zweckbindung gemäß Art. 5 Abs. 1 lit. a DSGVO zu beachten, d.h. eine Verarbeitung der Daten zu anderen Zwecken ist unzulässig. Darüber hinaus gilt auch der Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO, wonach alle Daten nach Zweckwegfall wieder zu löschen sind.
Schweiz
In der Schweiz wurde nach Art. 7 Epidemiengesetz (EpG) eine „außerordentliche Lage“ ausgerufen. Dadurch können personenbezogene Gesundheitsdaten nach Maßgabe des Art. 58 EpG verarbeitet werden.
Das Bundesamt für Gesundheit (BAG), die zuständigen kantonalen Behörden und die mit Aufgaben nach dem EpG betrauten öffentlichen und privaten Institutionen können nach Art. 58 EpG personenbezogene Gesundheitsdaten verarbeiten, soweit dies zur Identifizierung von kranken, krankheitsverdächtigen, angesteckten, ansteckungsverdächtigen und Krankheitserreger ausscheidenden Personen im Hinblick auf Maßnahmen zum Schutz der öffentlichen Gesundheit, insbesondere zur Erkennung, Überwachung und Bekämpfung übertragbarer Krankheiten, erforderlich ist. Zudem sind die allgemeinen Grundsätze der Datenschutzgesetzgebungen zu beachten.
Private, d.h. insbesondere Arbeitgeber, müssen bei Datenverarbeitungen die Grundsätze des Art. 4 des Bundesgesetzes über den Datenschutz einhalten:
- Gesundheitsdaten dürfen grundsätzlich nicht gegen den Willen der betroffenen Personen beschafft werden, da sie einem besonderen Schutz unterliegen.
- Die Verarbeitung der Gesundheitsdaten muss zweckgebunden und verhältnismäßig sein, d.h. sie muss nötig und geeignet sein, weitere Ansteckungen zu verhindern und darf auch nicht über das zur Zielerreichung erforderliche hinausgehen.
- Daten über Grippesymptome (wie z.B. Fieber) sollen durch die betroffenen Personen selbst erhoben und weitergegeben werden.
- Die Erhebung und Weiterverarbeitung von Gesundheitsdaten muss den betroffenen Personen gegenüber offengelegt werden.
Bei der Erhebung von medizinischen Daten (z.B. Körpertemperatur) beim Betreten von Gebäuden oder Arbeitsplätzen ist zu beachten, dass diese nur zur Zweckerreichung (Verhinderung von Ansteckungen) verarbeitet werden dürfen. Dies gilt sowohl inhaltlich als auch zeitlich. Ungeeignet und unverhältnismäßig ist jedoch das Beantworten zahlreicher Fragen zum Gesundheitszustand der betroffenen Personen. Alle personenbezogenen Daten, die in dem Zusammenhang verarbeitet werden, sind spätestens nach Ende der Pandemie zu löschen.
Kommen Sie bei datenschutzrechtlichen Fragen zu diesen Themen gerne auf uns zu.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Empfehlung der Europäischen Kommission zur Aufnahme von Verhandlungen mit dem Vereinigten Königreich
Am 31. Januar 2020 ist das Vereinigte Königreich aus der Europäischen Union und der Europäischen Atomgemeinschaft (Euratom) ausgetreten. Das Austrittsabkommen ist zum 1. Februar 2020 in Kraft getreten und sieht einen Übergangszeitraum bis zum 31. Dezember 2020 vor, in dem das EU-Recht für das Vereinigte Königreich weiterhin mindestens gilt.
Am 3. Februar 2020 hat nun die Europäische Kommission den ersten Schritt zur Aufnahme von Verhandlungen mit dem Vereinigten Königreich unternommen und dem Rat eine Empfehlung vorgelegt. Darin wird auch die große Bedeutung des Datenschutzes hervorgehoben. Die Kommission betont, dass die geplante Partnerschaft angesichts der Bedeutung des Datenflusses eine Verpflichtung zu einem hohen Niveau des Schutzes personenbezogener Daten gewährleisten muss. Außerdem sei es wichtig, dass die Vorschriften der Union über den Schutz personenbezogener Daten uneingeschränkt respektiert werden – ebenso wie die Entscheidungsprozesse der Union in Bezug auf Angemessenheitsentscheidungen. Eine solche Angemessenheitsentscheidung wird erforderlich, da das Vereinigte Königreich aus datenschutzrechtlicher Sicht nach dem Übergangszeitraum zu einem Drittstaat wird. Mit dem Angemessenheitsbeschluss der EU-Kommission – sofern die Bedingungen dafür erfüllt sind – wird das Vereinigte Königreich als ein Drittland mit angemessenem Schutzniveau eingestuft.
Ein solcher Angemessenheitsbeschluss sollte auch die Zusammenarbeit und den Informationsaustausch, insbesondere im Bereich der Strafverfolgung und der justiziellen Zusammenarbeit in Strafsachen ermöglichen.
Darüber hinaus sollte die Partnerschaft nach der Empfehlung der Kommission im Zusammenhang mit der Digitalisierung des Waren- und Dienstleistungsverkehrs für den Schutz der Verbraucher im Internet sorgen, einschließlich des Schutzes vor unerbetener Direktmarketingkommunikation.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
In einer Vielzahl von Gesetzen werden die Aufgaben von Behörden geregelt, die hierzu notwendigerweise die personenbezogenen Daten der Bürger verarbeiten müssen.
Umso wichtiger ist es, dass insbesondere Behörden-Mitarbeiter dem Datenschutz einen hohen Stellenwert beimessen, um das Vertrauen in das Verwaltungshandeln nicht zu erschüttern.
Dennoch kommt es vor, dass sich einzelne Mitarbeiter dieser Daten auch zu privaten Zwecken bedienen:
So rief eine Mitarbeiterin eines Einwohnermeldeamtes vielfach Daten ihr bekannter Personen unbefugt, d.h. ohne dienstliche Veranlassung, ab. Ein Polizeibeamter wiederum nutzte Datenbanken des Kraftfahrbundesamtes sowie der Bundesnetzagentur, um mit einer Person privat Kontakt aufzunehmen.
Bekannt wurden die Fälle entweder durch die betroffenen Bürger selbst oder durch entsprechend in den Behörden vorgenommene Schutzmaßnahmen, indem bspw. die Abfragen von Daten(sätzen) protokolliert und die Protokolldaten auf Plausibilität hin ausgewertet wurden.
Bei solchen Datenschutzverstößen kann die Aufsichtsbehörde Bußgelder auch gegen diejenigen verhängen, die den Verstoß in eigener Person begangen haben. Im ersten Fall stellte die Aufsichtsbehörde einen Strafantrag, was zu einer Geldstrafe von 4.950 € inkl. Kündigung des Arbeitsverhältnisses führte. Im anderen Fall verhängte die Aufsichtsbehörde ein Bußgeld von 1.400 €.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Das Verwaltungsgericht München hat in seinem Urteil vom 12.12.2018 (Az.: M 9 K 18.4553) entschieden, dass die Airbnb Ireland UC Daten zu Nutzern ihrer Plattform an die Landeshauptstadt München übermitteln muss.
Dem „stünden keine datenschutzrechtlichen Bedenken entgegen“ (Redaktion beck-aktuell: VG München: Airbnb muss Identität deutscher Gastgeber preisgeben, Verlag C.H.BECK, 13. Dezember 2018).
Öffentlichen Stellen in Bayern dürfen personenbezogene Daten nur erheben, wenn dies zur Erfüllung einer Aufgabe erforderlich ist, die der öffentlichen Stelle obliegt, Art. 4 BayDSG.
Eine Erhebung der Daten bei Dritten wie hier der Airbnb Ireland UC ist dabei nur erlaubt, wenn
- eine solche Datenerhebung durch eine Rechtsvorschrift vorgesehen oder zwingend vorausgesetzt wird, oder
- die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder im Einzelfall die Datenerhebung bei dem Dritten erforderlich macht, oder
- die Erhebung bei der betroffenen Person selbst wie hier den Airbnb-Nutzern einen unverhältnismäßigen Aufwand erfordern oder keinen Erfolg versprechen würde.
In den zwei letzten Fällen dürfen aber keine schutzwürdigen Interessen der betroffenen Personen entgegenstehen.
Entsprechende Rechtsvorschriften und Verwaltungsaufgaben sollen sich hierfür im „bayerischen Zweckentfremdungsrechts“ finden. Dadurch soll in einer Stadt wie München sichergestellt werden, dass leerstehender Wohnraum weniger an Touristen und sonstige Besucher, sondern an die Einwohner der Stadt vermietet wird, die unter dem Wohnraummangel zusehends leiden.
Von der Datenübermittlung betroffen sollen zudem auch nur diejenigen Airbnb-Nutzer sein, die Unterkünfte im Stadtgebiet anbieten und zwar für einen Zeitraum, der „die zulässige Höchstvermietungsdauer überschreite[t]“ (Redaktion beck-aktuell: VG München: Airbnb muss Identität deutscher Gastgeber preisgeben, Verlag C.H.BECK, 13. Dezember 2018).
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.