Einwilligung in den versand unverschlüsselter e-mails durch finanzbehörden

Die Kommunikation per E-Mail ist seit Jahren (Jahrzehnten?) in der Berufswelt und auch im privaten Bereich angekommen. E-Mails sind sozusagen “Stand der Technik” bezogen auf die zur Verfügung stehenden Kommunikationsmittel. Leider wurden sie in den 80er Jahren “erfunden”, zu einer Zeit also, in der nicht absehbar war, dass sie in der Zukunft (heute) auch über öffentliche Netze (das Internet) verschickt werden. Das Thema “Privatheit” ist dementsprechend wenig berücksichtigt worden. Bis heute wurde daran immer wieder gearbeitet. Aufgrund der notwendigen (oder zumindest gewünschten) Abwärtskompatibilität sind die gemachten Veränderungen jedoch stets Add-Ons geblieben, die man einsetzen kann (Betonung auf “kann”). So ist es auch beim Thema Verschlüsselung.

Verschlüsselung ist nicht gleich Verschlüsselung

Es existieren nicht nur mehrere Vorgehensweisen bei der Verschlüsselung (Transportverschlüsselung, Inhaltsverschlüsselung), sondern auch noch diverse Möglichkeiten, diese technisch zu implementieren: Symmetrisch, asymmetrisch und das auch noch mit unterschiedlichen Algorithmen und Verschlüsselungsstärken. Nicht alle Techniken sind miteinander kompatibel.

Anders ausgedrückt: Es gibt eine ganzes Bündel an möglichen Maßnahmen und wenn sich Sender und Empfänger nicht ausreichend absprechen und gegebenenfalls im Vorfeld sogar noch Daten (zum Beispiel die öffentlichen Schlüssel) austauschen, dann werden Versuche, verschlüsselt zu kommunizieren sehr anstrengend oder sogar scheitern.

Wird mit Privatpersonen kommuniziert, gestaltet sich das Ganze eher noch komplizierter, denn für Unternehmen ist die Einführung und konsequente Nutzung von Verschlüsselung zwar aufwändig und häufig auch teuer aber zumindest machbar. Privatpersonen sind jedoch nur in seltenen Fällen technisch so versiert, dass die Nutzung von Verschlüsselungstechniken problemlos funktioniert.

Alter Hut?

Hier ein kurzer Einschub: Ja, wir hatten bereits zwei Mal (siehe hier und hier) über das Thema E-Mails und Verschlüsselung berichtet. Es gibt aus technischer Sicht auch keine Neuigkeiten. Allerdings haben sich sowohl der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), als auch die Hamburgische Aufsichtsbehörde zu diesem Thema geäußert. Interessanter Weise mit teilweise unterschiedlichen, bzw. unterschiedlich dogmatischen, Ansichten. Dies ist unser eigentliches Thema, bis hierhin war nur Einleitung 😉.

Wie wir in unserem Artikel über die Anpassung der BORA geschrieben hatten, bezog die Hamburgische Aufsicht die Möglichkeit für den unverschlüsselten Versand von E-Mails zwischen Rechtsanwält*in und Mandant*in in der Vergangenheit ausschließlich bezogen auf das Mandatsgeheimnis. Sobald im Rahmen dieser Kommunikation auch personenbezogene Daten unverschlüsselt übermittelt werden, sollte diese Möglichkeit nicht bestehen. Dass dies eine für die Praxis vollkommen untaugliche Ansicht ist, versteht sich (vermutlich) von selbst.

Was sagt der BfDI?

Der BfDI argumentiert nun in seinem 29. Tätigkeitsbericht analog bezüglich der Anpassung der Abgabenordnung (AO). So wird nun seit 12.12.2020 im neu gefassten §87a Abs. 1 Satz 3 AO die unverschlüsselte Kommunikation per E-Mail erlaubt, “soweit alle betroffenen Personen schriftlich eingewilligt haben”. Eine ähnliche Regelung also wie in der BORA. Der BfDI führt wie folgt aus:

Eine Einwilligung kann sich nicht auf die gesetzliche Verpflichtung zur Einhaltung der notwendigen technischen und organisatorischen Maßnahmen beziehen. Das liegt daran, dass die vom Verantwortlichen zu treffenden technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO frei wählbar und damit nicht einwilligungsfähig sind.

… und was der HmbBfDI?

Ganz (naja, zumindest teilweise) anders sah das der Hamburgische Beauftragte für den Datenschutz und die Informationsfreiheit (HmbBfDI), also die Hamburgische Aufsichtsbehörde, in diesem Vermerk vom 18.02.2021: Dort wird zwar ähnlich argumentiert, dass die Verpflichtung des Art. 32 DSGVO, angemessene technische und organisatorische Maßnahmen (TOM) zu treffen, unabdingbar sind. Allerdings lässt sich der HmbBfDI nun (anders als noch im Jahr 2018) darauf ein, den betroffenen Personen das Recht zuzugestehen, auf die Anwendung der TOM in Einzelfällen freiwillig(!) zu verzichten. Mit anderen Worten: Wenn eine datenschutzrechtlich wirksame Einwilligung (siehe Art. 7 DSGVO und Art. 13 DSGVO) für den konkreten Einzelfall vorliegt, kann beispielsweise auf die Verschlüsselung personenbezogener Daten in E-Mails verzichtet werden. Das Thema der Freiwilligkeit dürfte hier der Knackpunkt sein. Um die Freiwilligkeit sicherzustellen, muss der für die Verarbeitung Verantwortliche in der Lage sein, verschlüsselt per E-Mail zu kommunizieren und somit diesen sicheren Übermittlungsweg zumindest anbieten. Nur dann darf er – auf Wunsch der betroffenen Person – darauf verzichten, diese einzusetzen. Dies wird voraussichtlich nur dann ein realistisches Szenario sein, wenn die betroffene Person nicht in der Lage ist, zu verschlüsseln. Ist der Verantwortliche aufgrund der fehlenden Implementierung einer Verschlüsselungsmöglichkeit gar nicht in der Lage, E-Mails zu verschlüsseln, dann wird hingegen die Einwilligung nicht als freiwillig anzusehen sein, da die Empfänger*in letztlich gar keine Wahl hat.

Dies formuliert der HmbBfDI in seinem Fazit auch sehr deutlich:

Der Verantwortliche und der Auftragsverarbeiter haben die nach Art. 32 DSGVO erforderlichen Maßnahmen zwingend umzusetzen und vorzuhalten. Betroffene Personen können in die Herabsetzung des nach Art. 32 DSGVO vorgesehenen Schutzniveaus allerdings bezogen auf ihre eigenen Daten im Einzelfall einwilligen, wenn die Einwilligung freiwillig im Sinne des Art. 7 DSGVO erfolgt. Dies setzt jedoch voraus, dass der Verantwortliche die nach Art. 32 DSGVO erforderlichen Schutzvorkehrungen grundsätzlich vorhält und der betroffenen Person auf Verlangen zur Verfügung stellt, ohne dass der betroffenen Person Nachteile dadurch entstehen.

Unstrittig ist, dass sich eine Einwilligung immer nur auf die eigene Person beziehen kann. Werden in einer Kommunikation auch personenbezogene Daten Dritter ausgetauscht (z.B. bei der Kommunikation mit dem Rechtsanwalt über die Prozessgegner*in), dann scheidet jegliche Möglichkeit des unverschlüsselten Versands auf Basis von AO, BORA oder Einwilligung aus.

Fazit

Letztlich bedeutet dies, dass die Verantwortlichen Technologien zur Verschlüsselung implementieren und anbieten müssen. Nur, sofern die betroffenen Personen dann freiwillig und im Einzelfall darauf verzichten, kann eine alternative unverschlüsselte Kommunikation auch zulässig sein. Die in der BORA und nun auch in der AO formulierten Ausnahmen von der Verschlüsselungspflicht können sich weiterhin ausschließlich auf die berufsrechtlichen Regelungen beziehen. Für jegliche Übermittlung personenbezogener Daten ist immer die DSGVO anzuwenden.

Müssen Sie mit betroffenen Personen per E-Mail kommunizieren? Wir unterstützen Sie bei der Auswahl und Einführung von Verschlüsselungslösungen.