Aktuelles

Urteile, Vorfälle, Kommentierungen...
Übermittlung von Sicherheitskonzepten und Mitarbeiterlisten per E-Mail?

Übermittlung von Sicherheitskonzepten und Mitarbeiterlisten per E-Mail?

by 9. Oktober 2018

Es gibt keine gesetzliche Pflicht, Informationen verschlüsselt zu verschicken. Neu ist allerdings die Vorschrift des Art. 32 DSGVO, nach der personenbezogene Daten grundsätzlich nicht unverschlüsselt per Mail verschickt werden dürfen.

Man denke an ein Sicherheitskonzept für eine Veranstaltung oder an eine Namensliste von Mitarbeitern, die per Mail verschickt werden. Eine E-Mail ist eine digitale Postkarte: Ihr Inhalt ist einsehbar.

Aber mal ehrlich: Wer verschickt seine E-Mails tatsächlich verschlüsselt, wenn er Mitarbeiterlisten oder ein Sicherheitskonzept verschickt? Was aber könnte alles passieren, wenn das Sicherheitskonzept in die falschen Hände gelangt?

Der Bundesgerichtshof hatte einmal entschieden, dass ein Unternehmer nicht verpflichtet sei, unternehmensinterne Daten über eine ungesicherte E-Mail-Verbindung an eine Behörde zu übermitteln. Dabei spielt es keine Rolle, ob es sich bei den übermittelten Daten um Betriebs- oder Geschäftsgeheimnisse handelt.

Aus dieser Entscheidung könnte man einen Umkehrschluss ziehen: Wenn der Versand an Dritte nicht zumutbar ist, dann könnte aber das Versenden via unverschlüsselter E-Mail ein Problem sein, umso mehr, wenn sich darin sensible Informationen befinden.

Ein Dienstleister, der ein Sicherheitskonzept unverschlüsselt verschickt, könnte damit eine vertragliche Nebenpflicht verletzen – denn Verschlüsselung gehört heute (oder sollte gehören) zum Standard einer IT-Sicherheitsstruktur.

Das gilt umso mehr, wenn sich im Sicherheitskonzept personenbezogene Daten befinden: Namen und Telefonnummern von verantwortlichen Personen. Art. 32 DSGVO verlangt nun eine Risikoeinschätzung und darauf basierend die Feststellung eines Schutzbedarfs der Daten. In Art. 32 Abs. 2 DSGVO sind mögliche Risiken der Datenverarbeitung genannt, auf die abzustellen ist:

„Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.“

Und die Risiken, die sich aus einem unbefugten Zugang zu Daten der verantwortlichen Personen im Zusammenhang mit der Sicherheit einer Veranstaltung ergeben könnten, dürften unschön sein. Dies gilt umso mehr, als nach Auffassung der Gerichte wie schon gesagt eine Verschlüsselung von E-Mails mit sensiblen Inhalten zum Standard gehören sollte.

Es kann übrigens sinnvoll sein, ggf. im Vertrag die Übermittlung zu vereinbaren. Umgekehrt kann der Empfänger natürlich auch in die Nicht-Verschlüsselung einwilligen.

Aber:

Der Empfänger eines Sicherheitskonzeptes mag eine solche Einwilligung erteilen – dann aber müsste eine Einwilligung aller Betroffenen vorliegen. Und: Man könnte bei derart sensiblen Inhalten wie bei einem Sicherheitskonzept durchaus eine Analogie zu Art. 32 DSGVO ziehen, auch wenn sich darin keine personenbezogenen Daten befinden oder (m.E. viel wichtiger) wenn alle Betroffenen datenschutzrechtlich in die Nicht-Verschlüsselung einwilligen würden: Denn immerhin willigen alle darin ein, die Sicherheit der Veranstaltung und aller Besucher nicht unerheblich aufs Spiel zu setzen. Denn ob das Abfischen sensibler Informationen überhaupt bemerkt würde, ist fraglich. Und wenn man sich im Sicherheitskonzept um Angriffe von außen Sorgen macht, sollte auch die Cyber-Attacke dazu gehören.

Unterschätzen Sie das Thema nicht! Gerne beraten wir Sie, wenn es um Datenschutz und/oder IT-rechtliche Fragen geht. Melden Sie sich dann einfach bei mir: ra-waetke@schutt-waetke.de

 

Thomas Waetke

Ich bin Rechtsanwalt und Fachanwalt für Urheber- und Medienrecht und der Herausgeber und Autor hier auf eventfaq.de. Hier lesen Sie mehr über mich.

EVENTFAQ – iwent-eff-a-kuh = so spricht man eventfaq aus. FAQ sind die häufig gestellten Fragen („Frequently Asked Questions“), die sich auch bei einer Veranstaltung stellen. Mit diesem Portal versuche ich, Antworten zu geben: Urteile, Gesetze, Artikel, Checklisten, Seminare, Webinare, Bücher und vieles mehr.

Urheberangabe für das/die Foto(s) (Symbolfoto):

  • Schlüssel im Schloss: © lucapd - Fotolia.com