Bonitätsdaten nur mit Verschlüsselung
Versand von Bonitätsdaten per E-Mail nur mit ausreichender Verschlüsselung
Ein Beschwerdeführer, der bei einem Vermittler einen Kredit beantragt hatte, bemängelte, dieses Unternehmen habe ihn per lediglich transportverschlüsselter E-Mail und unter Angabe seiner Bonitätsdaten (negative Schufa-Einträge) über die Ablehnung seines Kreditwunsches informiert.
Diese Datenübermittelung stellt einen Verstoß gegen die Vorgaben des Artikels 32 Datenschutz-Grundverordnung (DSGVO) zur Sicherheit der Datenverarbeitung dar. Anstelle der Transportverschlüsselung wäre eine Ende-zu-Ende-Verschlüsselung der E-Mail geeignet und angemessen gewesen, um den Zugriff unbefugter Dritter auf Bonitätsdaten zuverlässig zu verhindern. Solche Zugriffe bergen die Gefahr, dass der betroffenen Person ein erheblicher Schaden entsteht, beispielsweise könnte ihr der Abschluss eines Mietvertrages verwehrt, ihre wirtschaftliche Existenz gefährdet oder ihr Ansehen empfindlich gestört werden.
Nachdem wir an das Unternehmen herangetreten waren, teilte es uns mit, dass es beabsichtige, in gleichgelagerten Fällen auch weiterhin Bonitätsdaten per transportverschlüsselter E-Mail zu versenden, da Bonitätsdaten – wie das Unternehmen argumentiert – nicht in eine der durch Artikel 9 DSGVO geschützten, besonderen Kategorien personenbezogener Daten fallen. Es verwies auf Ausführungen anderer Datenschutzaufsichtsbehörden, aus denen sich allerdings lediglich ergab, dass die nach Artikel 9 DSGVO besonders sensitiven Daten per Ende-zu-Ende-Verschlüsselung übermittelt werden müssen. Der Umkehrschluss, dass für den Versand von Bonitätsdaten, die der genannten Vorschrift nicht unterfallen, eine Transportverschlüsselung ausreicht, ergab sich daraus keineswegs.
Im Ergebnis hat die Landesbeauftragte gegenüber dem Unternehmen eine Warnung nach Artikel 58 Absatz 2 Buchstabe a DSGVO für den Fall der Fortführung seiner bisherigen Vorgehensweise ausgesprochen. Berücksichtigt wurde dabei auch, dass es bereits über eine Plattform verfügt, die den Kundinnen und Kunden einen ausreichend gesicherten Zugang ermöglicht. Eine Alternative zum lediglich transportverschlüsselten Versand von E-Mails ist somit bereits vorhanden.
Auf Nachfrage des Unternehmens erläuterten die Datenschutzbehörde, dass auch eine Einwilligung der betroffenen Person den Verzicht auf eine Ende-zuEnde-Verschlüsselung nicht rechtfertigen kann. Eine datenschutzrechtliche Einwilligung bezieht sich ausschließlich auf die Frage, ob die eigenen personenbezogenen Daten zu einem bestimmten Zweck verarbeitet werden dürfen, kann aber nicht Vorschriften zur Art und Weise ihrer Verarbeitung aushebeln. Verantwortliche sind somit u. a. an die Regelungen des Artikels 32 DSGVO gebunden. Sie müssen die daraus resultierenden technisch-organisatorischen Verpflichtungen für eine sichere Datenübermittlung erfüllen und können sich durch eine Einwilligung davon nicht entbinden lassen.
Quelle: Landesbeauftragte für Datenschutz und Akteneinsicht Brandenburg
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks