Dürfen Berufsgeheimnisträger Daten per E-Mail senden?
Bei der Versendung von E-Mails müssen die in der DatenschutzGrundverordnung (DSGVO) enthaltenen Pflichten zur Datensicherheit gemäß Art. 5 Abs. 1 Buchstabe f) in Verbindung mit Art. 32 Abs. 1 DSGVO eingehalten werden. Hierfür ist die verschlüsselte Versendung von E-Mails dringend geboten. Dies gilt für Rechtsanwälte, die das Berufsgeheimnis nach § 203 Abs. 1 Nr. 3 Strafgesetzbuch (StGB) zu wahren haben, in besonderer Weise.
Rechnungen, Bilder und andere vertrauliche Dokumente sind schnell per E-Mail an den weit entfernten Empfänger gesendet. Natürlich vereinfacht die Übersendung von Dokumenten per E-Mail die Geschäftsabwicklungen und die Kommunikation. Wie steht es dabei aber um die Sicherheit der übermittelten Daten? Eine Frage, die sich viele vor der Versendung von personenbezogenen Daten per E-Mail nicht stellen.
So auch in einem dem Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) bekannt gewordenen Fall einer Wirtschafts- und Unternehmensberatungskanzlei, welche als Rechtsvertreter tätig wird. Diese wurde von ihrer Mandantin beauftragt, ein Schulungszertifikat anzufordern. Die Mandantin hatte bei einem Nagelstudio eine Schulung absolviert. Nach Zahlung der Rechnung wurde das Zertifikat hierfür jedoch nicht ausgestellt. Nunmehr wandte sich die Kanzlei an das Nagelstudio und übermittelte die Rechnung zu der Schulung in einer unverschlüsselten E-Mail mit Benennung der Schulungsleiterin (vorname.nachname@nagelstudio.de). Problematisch war bei diesem Fall weiterhin, dass die Schulungsleiterin zwischenzeitlich nicht mehr für das Nagelstudio tätig war. Vielmehr eröffnete sie ihren eigenen Nagelsalon. Die Schulungsleiterin beschwerte sich beim TLfDI vorwiegend darüber, dass ihre personenbezogenen Daten an das Nagelstudio übermittelt worden sind, obwohl sie zum Zeitpunkt der Übermittlung per E-Mail nicht bei diesem tätig war.
Der TLfDI stellte grundsätzlich klar, dass das Schulungszertifikat bei dem Nagelstudio anzufordern war, weil dort die Schulung stattgefunden hatte. Die Anforderung war auch erforderlich, weil die Mandantin ebenfalls ein eigenes Unternehmen gründen wollte. Das Schulungszertifikat war eine Voraussetzung für die beabsichtigte Unternehmensgründung. Die Wirtschafts- und Unternehmensberatungskanzlei wurde von ihrer Mandantin beauftragt, sie bei der Unternehmensgründung zu unterstützen.
Die Übermittlung der besagten Rechnung an das Nagelstudio durch die Kanzlei kann rechtmäßig sein, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten (Mandantin der Kanzlei) erforderlich ist, sofern nicht die Grundrechte und Grundfreiheiten der Schulungsleiterin überwiegen, die den Schutz personenbezogener Daten erfordern, Art. 6 Abs. 1 Satz 1 Buchstabe f) DSGVO. Eine vertragliche Rechtsgrundlage kommt nicht in Betracht, weil die Kanzlei mit der Schulungsleiterin keinen Vertrag geschlossen hatte. Die Datenübermittlung ist nur zulässig, soweit sie zur Wahrnehmung berechtigter Interessen erforderlich ist. Die Mandantin erhielt – trotz mehrfacher Aufforderung – im Anschluss an die Zahlung der Schulung kein Zertifikat. Da dieses Zertifikat aber für die Gründung eines Unternehmens zwingend erforderlich war, beauftragte die Mandantin die Wirtschafts- und Unternehmensberatungskanzlei mit der Durchsetzung ihrer Rechte. Hierfür legte die Mandantin ihre Rechnung zur Schulung vor. Die Kontaktaufnahme der Kanzlei über die E-Mail-Adresse der Schulungsleiterin war erforderlich, da die mildere Alternative – die persönliche Kontaktaufnahme – den gewünschten Zweck nicht erreicht hatte. Ihre Grundrechte am Schutz ihrer personenbezogenen Daten treten zu den Interessen der Kanzlei und der Mandantin zurück. Zumal in der von der Schulungsleiterin ausgestellten Rechnung die E-Mail-Adresse mit Zuordnung zum Nagelstudio als Kontaktmail angegeben wurde. Des Weiteren war die Schulungsleiterin als Inhaberin des Nagelstudios im Rechnungsformular aufgeführt. Nach dem Kenntnisstand des TLfDI hatte sie die auf ihr Zertifikat wartende Mandantin nicht darüber informiert, dass sie zwischenzeitlich nicht mehr mit dem Nagelstudio zusammenarbeitete und einen eigenen Nagelsalon eröffnet hatte.
Die Übermittlung der Rechnung an die E-Mail-Adresse mit Zuordnung zum Nagelstudio war im Ergebnis zulässig. Dennoch müssen die in der Datenschutz-Grundverordnung enthaltenen Pflichten zur Datensicherheit gemäß Art. 5 Abs. 1 Buchstabe f) in Verbindung mit Art. 32 Abs. 1 DSGVO eingehalten werden. Personenbezogene Daten, welche die Kanzlei im Rahmen ihrer Tätigkeit als Rechtsvertreter verarbeitet und die somit unter das Berufsgeheimnis fallen nach § 203 Strafgesetzbuch (StGB), müssen verschlüsselt per E-Mail versandt werden. Dies ergibt sich aus den Prinzipien der Vertraulichkeit und des Integritätsschutzes der Daten – verankert in Art. 5 Abs. 1 Buchstabe f) DSGVO – und den Regelungen zur Datensicherheit aus Art. 32 Abs. 1 DSGVO. Unter Berücksichtigung des Standes der Technik, der Implementierungskosten sowie der Art, der Umstände und des Zweckes der Datenverarbeitung, aber auch der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die persönlichen Rechte und Freiheiten hat die Kanzlei als Verantwortliche für die Datenverarbeitung geeignete technische und organisatorische Maßnahmen umzusetzen. Dabei muss das Sicherheitsniveau im Verhältnis zum Risiko angemessen sein. Die Kanzlei hat die von ihrer Mandantin zur Verfügung gestellte Rechnung jedoch mit einer unverschlüsselten E-Mail an die E-Mail-Adresse mit Zuordnung zum Nagelstudio übermittelt.
Werden E-Mails weder während des Transports, Ende-zu-Ende verschlüsselt, noch signiert übermittelt, so können Schadensereignisse durch Angreifer bewirkt werden, die Zugriff auf mindestens ein System oder Netz besitzen oder unbefugt erlangt haben, das für die EMail-Übermittlung genutzt wird. Durch die Verschlüsselung kann die Vertraulichkeit der Daten im Sinne der Verhinderung der Kenntnisnahme durch einen unberechtigten Dritten erreicht werden. Die im Rahmen der Mandatsausübung zu verarbeitenden personenbezogenen Daten unterliegen dem Berufsgeheimnis nach § 203 StGB. Nur im Rahmen einer verschlüsselten elektronischen Versendung von Unterlagen im Rahmen eines Mandantenverhältnisses kann gewährleistet werden, dass das Berufsgeheimnis, dem die Wirtschafts- und Unternehmensberatungskanzlei gemäß § 203 Abs. 1 Nr. 3 StGB unterliegt, gewahrt wird. Alternativ dazu müssen andere als elektronische Kommunikationswege – beispielsweise die postalische Versendung – bevorzugt werden.
Daher hat der TLfDI aufgrund eines Verstoßes gegen Art. 32 Abs. 1 Buchstabe a) DSGVO gegen die Wirtschafts- und Unternehmensberatungskanzlei gemäß Art. 58 Abs. 2 Buchstabe b) DSGVO eine Verwarnung ausgesprochen.
Quelle: TLfDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks