Datenschutzkonforme Verschlüsselung ist nicht nur Anwalts Liebling

it-sicherheit 28
Fachbeitrag

Die Kommunikation via E-Mail ist eine tolle Sache. Preisgünstig, schnell und die Antwort nebst Anlagen direkt auf dem eigenen PC.

Viele Unternehmen sind sich in der Praxis allerdings nicht darüber im Klaren, dass eine einfache E-Mail von der Vertraulichkeit her mit einer Postkarte vergleichbar ist. Sensible Informationen sollte man daher nicht ohne weiteres mit einer E-Mail verschicken.

Elektronische Kommunikation ist bei bestimmten Berufsträgern schwierig

Weitaus strenger sieht es bei Anwälten, Ärzten, Steuerberatern, Wirtschaftsprüfern oder Psychologen aus. Denn das Gesetz stellt die unbefugte Offenbarung von entsprechenden Geheimnissen unter Strafe (§ 203 StGB).

Offenbart wird der jeweilige Nachrichteninhalt in jedem Fall, da zumindest Mitarbeiter des jeweilige TK-Dienstleisters in der Lage sind, Einsicht in unverschlüsselte Kommunikationsinhalte zu nehmen. Daran ändert auch ein ggf. gem. §§ 88 TKG, 206 StGB bestehendes Verbot am Ende nichts. Ohne das Vorliegen einer wirksamen Einwilligung sollten solche Berufsträger daher trotz aller Vorteile auf eine Kommunikation per E-Mail mit ihren Mandanten oder Patienten verzichten.

Ohnehin besteht natürlich immer die Gefahr einer falschen Adressierung:
Wir erinnern uns nur zu gern an einen Herren namens “Paolo Pinkel”, dessen Anwälte ein Fax der Verteidigung an eine falsche Adresse (Pizza-Bäcker) sandten, so dass selbiges letztlich bei der Bild-Zeitung landete.

Verschlüsselung als Lösung

Da stellt sich die Frage, ob eine Verschlüsselung der E-Mail eine Hilfe sein könnte. Im Falle einer wirksamen Verschlüsselung sollten jedenfalls nur Absender und Empfänger in der Lage sein, die Nachricht zu lesen. So gehen auch Datenschutzaufsichtsbehörden der eigenen Erfahrung zu Folge davon aus, dass es sich bei verschlüsselten Daten um keine personenbezogenen Daten mehr handelt. Dass bedeutet, auch die Beförderung der E-Mail durch den TK-Anbieter wäre insoweit unproblematisch, da es sich nach dieser Ansicht nicht mehr um personenbezogene Daten handelt.

Diese Auffassung mag vom Ergebnis her wünschenswert sein, hat jedoch einige Haken:

Die objektive Theorie

Zum einen wäre da die von den Aufsichtsbehörden regelmäßig vertretende objektive Theorie, mit deren Hilfe die Aufsichtsbehörden auch den Personenbezug bei IP-Adressen bejahen. Danach ist es für einen Personenbezug ausreichend, wenn irgendeine Stelle objektiv dazu in der Lage ist, den Personenbezug wieder herzustellen.

Ist dies der Fall, so liegen personenbezogene Daten vor und für eine Datenübermittlung bedarf es einer Rechtsgrundlage (§ 4 Abs. 1 BDSG), da selbige andernfalls bußgeldbewehrt (bis zu 300.000,- EUR) ist (§ 43 Abs. 2 Nr. 1 BDSG). Objektiv wären zumindest der Absender und sinnigerweise auch der Empfänger in der Lage, die Nachricht zu entschlüsseln, weshalb hiernach ein Personenbezug vorläge.

Anders sieht dies ggf. im Falle der subjektiven Theorie aus, wonach es auf die subjektive Kenntnis des Einzelnen ankommt. Würde man diese aber anwenden, so bestünde ein logischer Widerspruch zur sonstigen Argumentation bei IP-Adressen.

Anonymisierung

Wird zum anderen der Personenbezug verneint, so ist die Konsequenz das Vorliegen anonymer Daten.

Auch diese ist aber gesetzlich definiert und verlangt, dass Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können (§ 3 Abs. 6 BDSG). Dies wird aber weder beim Datenempfänger, noch beim verschlüsselnden Unternehmen selbst, denn andernfalls wären die Daten schlicht wertlos.

Enigma lässt grüßen

Letztlich stellt sich aber auch hier die Frage der Wirksamkeit einer Verschlüsselung. Moderne Computer können pro Sekunde mehrere Milliarden Rechenoperationen durchführen. Was in den 70ern noch Supercomputern vorbehalten war, das erledigt heute bereits ein handelsüblicher PC.

Zumindest nicht ganz von der Hand zu weisen scheinen daher beispielsweise etwaige Bedenken dahingehend, ob eine Verschlüsselung sich auch noch in 10 Jahren als wirksam erweisen wird. Auch die Enigma galt früher als unknackbar.

Fazit

Aus Ergebnissicht argumentiert, trägt eine Verschlüsselung durchaus den Anforderungen des Datenschutzes Rechnung, da Ziele des Datenschutzes (z.B. Weitergabekontrolle) hierdurch erreicht werden. Das Datenschutzrecht selbst stützt diese technische Möglichkeit allerdings bisher noch nicht ausdrücklich in ausreichendem Maße, weshalb hier Anpassungsbedarf besteht.

Jemand der zwar regelmäßig nicht im Bereich Kryptografie unterwegs ist, sich dafür aber mit dem Thema Datenschutz und IT-Sicherheit auskennt, ist Ihr betrieblicher Datenschutzbeauftragter.

Apropos: Hat Ihr Unternehmen eigentlich einen betrieblichen Datenschutzbeauftragten?

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

Ein Kommentar zu diesem Beitrag

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.