Zurück zur Übersicht
16.02.2022

Bonitätsdaten nur mit Verschlüsselung

Versand von Bonitätsdaten per E-Mail nur mit ausreichender Verschlüsselung

Ein Beschwerdeführer, der bei einem Vermittler einen Kredit beantragt hatte, bemängelte, dieses Unternehmen habe ihn per lediglich transportverschlüsselter E-Mail und unter Angabe seiner Bonitätsdaten (negative Schufa-Einträge) über die Ablehnung seines Kreditwunsches informiert.

Diese Datenübermittelung stellt einen Verstoß gegen die Vorgaben des Artikels 32 Datenschutz-Grundverordnung (DSGVO) zur Sicherheit der Datenverarbeitung dar. Anstelle der Transportverschlüsselung wäre eine Ende-zu-Ende-Verschlüsselung der E-Mail geeignet und angemessen gewesen, um den Zugriff unbefugter Dritter auf Bonitätsdaten zuverlässig zu verhindern. Solche Zugriffe bergen die Gefahr, dass der betroffenen Person ein erheblicher Schaden entsteht, beispielsweise könnte ihr der Abschluss eines Mietvertrages verwehrt, ihre wirtschaftliche Existenz gefährdet oder ihr Ansehen empfindlich gestört werden.

Nachdem wir an das Unternehmen herangetreten waren, teilte es uns mit, dass es beabsichtige, in gleichgelagerten Fällen auch weiterhin Bonitätsdaten per transportverschlüsselter E-Mail zu versenden, da Bonitätsdaten – wie das Unternehmen argumentiert – nicht in eine der durch Artikel 9 DSGVO geschützten, besonderen Kategorien personenbezogener Daten fallen. Es verwies auf Ausführungen anderer Datenschutzaufsichtsbehörden, aus denen sich allerdings lediglich ergab, dass die nach Artikel 9 DSGVO besonders sensitiven Daten per Ende-zu-Ende-Verschlüsselung übermittelt werden müssen. Der Umkehrschluss, dass für den Versand von Bonitätsdaten, die der genannten Vorschrift nicht unterfallen, eine Transportverschlüsselung ausreicht, ergab sich daraus keineswegs.

Im Ergebnis hat die Landesbeauftragte gegenüber dem Unternehmen eine Warnung nach Artikel 58 Absatz 2 Buchstabe a DSGVO für den Fall der Fortführung seiner bisherigen Vorgehensweise ausgesprochen. Berücksichtigt wurde dabei auch, dass es bereits über eine Plattform verfügt, die den Kundinnen und Kunden einen ausreichend gesicherten Zugang ermöglicht. Eine Alternative zum lediglich transportverschlüsselten Versand von E-Mails ist somit bereits vorhanden.

Auf Nachfrage des Unternehmens erläuterten die Datenschutzbehörde, dass auch eine Einwilligung der betroffenen Person den Verzicht auf eine Ende-zuEnde-Verschlüsselung nicht rechtfertigen kann. Eine datenschutzrechtliche Einwilligung bezieht sich ausschließlich auf die Frage, ob die eigenen personenbezogenen Daten zu einem bestimmten Zweck verarbeitet werden dürfen, kann aber nicht Vorschriften zur Art und Weise ihrer Verarbeitung aushebeln. Verantwortliche sind somit u. a. an die Regelungen des Artikels 32 DSGVO gebunden. Sie müssen die daraus resultierenden technisch-organisatorischen Verpflichtungen für eine sichere Datenübermittlung erfüllen und können sich durch eine Einwilligung davon nicht entbinden lassen.

Quelle: Landesbeauftragte für Datenschutz und Akteneinsicht Brandenburg

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks