Bundesverwaltungsgericht entscheidet zu Öffnungsklauseln: Übermittlungsvorschrift im Bayerischen Datenschutzgesetz ist mit der DSGVO unvereinbar

Das Bundesverwaltungsgericht (BVerwG) hat mit Urteil vom 27. September 2018 (BVerwG 7 C 5.17) entschieden, dass der Übermittlungstatbestand des Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG gegen die Vorgaben der DSGVO verstößt. Daneben trifft das Gericht einige relevante Äußerungen zum Umsetzungsspielraum der Mitgliedstaaten bei der Ausfüllung der Öffnungsklauseln in Art. 6 Abs. 2 und 3 DSGVO sowie zum Erlaubnistatbestand der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO.

Sachverhalt

In dem Verfahren ging es um die Aufklärung der sog. „Verwandtenaffäre“ des Bayerischen Landtags. Ein Journalist bei einer Tageszeitung machte einen presserechtlichen Auskunftsanspruch gegenüber dem Landtagsamt des Freistaates Bayern geltend. Ursprünglich lehnte die Präsidentin des Bayerischen Landtags den Antrag des Klägers ab. Zuletzt wies auch der VGH Bayern die Klage ab. Unter anderem ging es bei der Ablehnung des Auskunftsanspruchs auch um die Daten von Dritten (der Ehefrau eines Landtagsabgeordneten) und der Frage, ob eine Herausgabe ihrer Daten als auch der personenbezogenen Daten des Landtagsabgeordneten selbst dem Anspruch entgegestünden. Hiergegen wendete sich der Journalist vor dem BVerwG.

Entscheidung

Nach Art. 4 des Bayerischen Pressegesetzes (BayPrG) hat die Presse gegenüber Behörden ein Recht auf Auskunft. Die Auskunft darf nur verweigert werden, soweit auf Grund beamtenrechtlicher oder sonstiger gesetzlicher Vorschriften eine Verschwiegenheitspflicht besteht.

Das BVerwG fußt seine Entscheidung darauf, dass die Auslegung und Anwendung von Art. 4 BayPrG durch den VGH Bayern nicht mit dem verfassungsrechtlichen Schutz der Presse aus Art. 5 Abs. 1 Satz 2 GG vereinbar ist.

Die in Art. 4 Abs. 2 Satz 2 BayPrG erwähnten Verschwiegenheitspflichten können sich aus Grundrechten Dritter (zB dem Recht auf informationelle Selbstbestimmung) ergeben. In diesem Fall muss eine Abwägung des verfassungsrechtlich geschützten Interesses der Presse mit dem Interesse der Betroffenen vorgenommen werden. Das BVerwG verweist hierzu auch auf den in Art. 5 Abs. 1 Satz 2 GG verbürgten verfassungsunmittelbaren presserechtlichen Auskunftsanspruch. Zudem muss sich der mit der Weitergabe personenbezogener Daten verbundene Eingriff in das Grundrecht auf informationelle Selbstbestimmung auf eine bereichsspezifische Ermächtigungsgrundlage stützen, die insbesondere den Anforderungen an die Normenklarheit genügt.

Der VGH Bayern prüfte die Weitergabe jedoch nur anhand der Offenbarungspflichten nach dem Gesetz über die Rechtsverhältnisse der Mitglieder des Bayerischen Landtags (Bayerisches Abgeordnetengesetz). Dies kritisiert das BVerwG mit der Begründung, dass die diesem Vorgehen zugrunde liegende Rechtsauffassung, dass damit die Offenlegung mandatsbezogener Informationen grundsätzlich abschließend geregelt werde, und der daraus folgende absolute Schutz der von diesen Vorschriften nicht erfassten Informationen, die Anforderungen des Art. 5 Abs. 1 Satz 2 GG verfehlt. Mit dieser einschränkenden Rechtsauffassung verschließe sich der VGH

„der Heranziehung weiterer Rechtsvorschriften, die den Anforderungen für einen Eingriff in das informationelle Selbstbestimmungsrecht genügen und deswegen Grundlage einer umfassenden Abwägung sein können“.

Zwar existiere eine solche weitere Vorschrift weder allein im presserechtlichen Normbestand (1), noch in Gestalt einer eigenständigen Rechtsgrundlage in den datenschutzrechtlichen Bestimmungen (2). Die presserechtliche Anspruchsgrundlage ist jedoch nach Ansicht des BVerwG insoweit um datenschutzrechtliche Vorgaben zu ergänzen (3).

(1)

Das BVerwG erachtet Art. 4 Abs. 2 S. 2 BayPrG allein für unzureichend, da schutzwürdige Interessen der betroffenen Dritten nicht einmal erwähnt werden.

(2)

Auch eine eigenständige datenschutzrechtliche Rechtsgrundlage existiert nicht. Das BVerwG prüft diesbezüglich den in Betracht kommenden Erlaubnistatbestand nach Art. 5 Abs. 1 S. 1 Nr. 2 des Bayerischen Datenschutzgesetzes (BayDSG, in der Fassung vom 15.5.2018, also in Umsetzung der DSGVO).

Nach Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG ist eine Übermittlung personenbezogener Daten zulässig, wenn der Empfänger eine nicht öffentliche Stelle ist, diese Stelle ein berechtigtes Interesse an ihrer Kenntnis glaubhaft darlegt und die betroffene Person kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat; dies gilt auch, soweit die Daten zu anderen Zwecken als denjenigen, zu denen sie erhoben wurden, übermittelt werden.

Diese Vorschrift, die an den Vorgaben der DSGVO zu messen ist, ist nach Ansicht des BVerwG allerdings keine taugliche Rechtsgrundlage.

„Art. 5 Abs. 1 Satz 1 Nr. 2 BayDSG ist mit der Datenschutz-Grundverordnung nicht vereinbar“.

Zunächst stellt das BVerwG klar, dass die DSGVO gemäß Art. 288 Abs. 2 AEUV unmittelbar gilt und grundsätzlich weder auf eine Umsetzung angewiesen, noch dies überhaupt zulässig ist. Auch eine Normwiederholung im nationalen Recht ist dem Grunde nach ausgeschlossen. Nur im Rahmen ausdrücklicher Ermächtigungen können ihre Regelungen vom nationalen Gesetzgeber spezifiziert, präzisiert und konkretisiert werden.

Der bayerische Landesgesetzgeber benennt als Grundlage für Art. 5 BayDSG die Art. 6 Abs. 2 bis 4 DSGVO, „soweit dem nationalen Gesetzgeber darin Regelungsspielräume eingeräumt werden“. Der Landesgesetzgeber stützt sich also auf die Öffnungsklauseln der DSGVO. Genau diesen Regelungsspielraum sieht das BVerwG aber für Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG als nicht gegeben.

Zum einen kann Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG auf die Öffnungsklausel in Art. 6 Abs. 2 und 3 DSGVO schon deswegen nicht gestützt werden,

weil danach nur eine Konkretisierung der Regelungen von Art. 6 Abs. 1 Unterabs. 1 Buchst. c und e DS-GVO erlaubt ist, während die landesrechtliche Bestimmung an Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO anknüpft“.

Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG enthält eine Interessenabwägung nach dem Vorbild des Art. 6 Abs. 1 lit. f) DSGVO. Art. 6 Abs. 1 lit. f) DSGVO gilt jedoch, nach Unterabs. 2, gerade nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung. Hierzu gehören nach Ansicht des BVerwG sowohl „eigennützige“ als auch „fremdnützige“ Aufgaben.

Erfasst sind

„die durch Gesetz übertragenen Aufgaben im Rahmen der Eingriffs- und Leistungsverwaltung. Damit fällt jegliche Datenverarbeitung in Erfüllung hoheitlicher Funktionen, wozu auch die Beantwortung von Presseanfragen zählt, unter den Ausschlusstatbestand und ist den Erlaubnistatbeständen nach Art. 6 Abs. 1 Unterabs. 1 Buchst. c und e DS-GVO zuzuordnen“.

Der Erlaubnistatbestand des Art. 6 Abs. 1 lit. f) DSGVO ist nach dem BVerwG nur einschlägig, wenn die Behörde als Teilnehmer im Privatrechtsverkehr auftritt.

Zum anderen ermöglicht auch Art. 6 Abs. 4 DSGVO dem nationalen Gesetzgeber nicht,

„den Erlaubnistatbestand des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DS-GVO hinsichtlich seines persönlichen Geltungsbereichs zu erweitern“.

Art. 6 Abs. 4 DSGVO ist keine neben Art. 6 Abs. 2 und 3 DSGVO stehende übergreifende Öffnungsklausel. Nach Auffassung des BVerwG bezieht er sich vielmehr allein auf die Zweckänderungsbefugnis im Rahmen der nach Art. 6 Abs. 1 DSGVO nach Maßgabe von Art. 6 Abs. 2 und 3 DSGVO zulässigen Datenverarbeitung.

(3)

Zwar existiere somit für die Datenweitergabe an eine private Stelle keine eigenständige Rechtsgrundlage im Rahmen eines presserechtlichen Auskunftsanspruchs.

Jedoch, so das BVerwG, kann Art. 6 Abs. 1 lit. f) DSGVO

„zur inhaltlichen Ausfüllung und Konkretisierung dieses Anspruchs herangezogen werden, der dann den Anforderungen des Gesetzesvorbehalts für einen Eingriff in das Recht auf informationelle Selbstbestimmung genügt“.

Zwar sei Art. 6 Abs. 1 lit. f) DSGVO auf behördliche Tätigkeiten nicht anwendbar, weil die Übermittlung von personenbezogenen Daten in den privaten Bereich einer ausdrücklichen gesetzlichen Entscheidung bedarf. Jedoch, so das BVerwG, können die materiellen Anforderungen zur gebotenen inhaltlichen Ausformung der Datenverarbeitung, wie sie in Art. 6 Abs. 1 lit. f) DSGVO vorgegeben sind, bei der Anwendung und Auslegung des presserechtlichen Auskunftsanspruchs berücksichtigt werden, wenn der Gesetzgeber, wie hier, gesetzlich zumindest im Grunde vorgesehen hat, dass entsprechende Drittinteressen vor einer Weitergabe zu berücksichtigen sind bzw. ganz allgemein eine gesetzliche Erlaubnis für die Weitergabe vorgesehen ist. Nach Ansicht des BVerwG ist dies hier der Fall. Das BVerwG begründet diese Folgerung nicht näher, scheint aber davon ausgehen, dass in Art. 4 Abs. 2 S. 2 BayPrG dem Grunde nach eine gesetzliche Erlaubnis für die Weitergabe vorgesehen ist, die jedoch inhaltlich um die materiellen datenschutzrechtlichen Vorgaben des Art. 6 Abs. 1 lit. f) DSGVO zu ergänzen ist. Art. 6 Abs. 1 lit. f) DSGVO muss folglich in die Anforderungen des Art. 4 Abs. 2 Satz 2 BayPrG hineingelesen werden.

Interessenabwägung

Danach befasst sich das BVerwG mit der Interessenabwägung. Diese fällt zugunsten des Auskunftsanspruchs des Journalisten aus.

Allgemein relevant für die Anwendung des Art. 6 Abs. 1 lit. f) DSGVO ist zudem noch der Hinweis des BVerwG, dass das Tatbestandsmerkmal der „Erforderlichkeit“ im Sinne einer Verhältnismäßigkeitsprüfung zu verstehen ist.

„Im Übrigen findet der Verhältnismäßigkeitsgrundsatz in Art. 6 Abs. 1 Unterabs. 1 Buchst. f DS-GVO seinen Niederschlag in der Regelung, dass die Datenübermittlung erforderlich sein muss“.

Fazit

Besonders relevant an dieser Entscheidung ist meines Erachtens die Feststellung des BVerwG zu der Unvereinbarkeit einer nationalen Regelung mit der DSGVO, wenn diese Regelung einen Erlaubnistatbestand für die Datenverarbeitung durch öffentliche Stellen im Rahmen der Ausübung ihrer Aufgaben darstellen soll, dabei aber auf den Erlaubnistatbestand der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO rekurriert. Eine solche Vorschrift kann nicht auf die Öffnungsklauseln der Art. 6 Abs. 2 und 3 DSGVO gestützt werden. Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG dürfte hier exemplarisch für viele weitere Erlaubnistatbestände sowohl im BDSG als auch Landesdatenschutzgesetzen stehen. Ausdrücklich verweist das BVerwG etwa in seiner Begründung auf § 25 Abs 2 Nr. 2 BDSG, der damit wohl auch als europarechtswidrig anzusehen wäre. Zuletzt ist aber darauf hinzuweisen, dass eine Europarechtswidrigkeit von nationalen Vorschriften verbindlich nur durch den EuGH festgestellt werden kann.

ePrivacy Verordnung: Bundesregierung sieht weiteren Beratungsbedarf

Die Verhandlungen zur ePrivacy Verordnung dauern weiter an. Da Ende Mai 2019 in ganz Europa die Wahlen für ein neues Europäisches Parlament anstehen, wird man damit rechnen müssen, dass vor diesen Wahlen eine finale Verabschiedung der ePrivacy Verordnung (inkl. eines Trilogs zwischen Kommission, Parlament und Rat) schwierig wird.

Auf eine kleine Anfrage der Fraktion DIE LINKE im Bundestag („Verhandlungen über den Datenschutz in der elektronischen Kommunikation (ePrivacy-Reform)“) hat die Bundesregierung am 21.12.2018 einige Informationen zum aktuellen Stand der Verhandlungen zur ePrivacy Verordnung und dem möglichen weiteren Ablauf gegeben (BT Drs. 19/6709, 21.12.2018, pdf).

Zum Zeithorizont äußert die Bundesregierung, dass sie grundsätzlich einen zeitnahen Abschluss der Verhandlungen anstrebt. Jedoch teilt sie auch mit, dass sie sich im Minterrat dafür ausgesprochen hat,

dass bestimmte Anliegen zunächst weiter beraten werden sollen, bevor über Verhandlungen mit dem Europäischen Parlament entschieden wird“.

Die Bundesregierung sieht folglich allgemein noch Beratungsbedarf. Wann die Verhandlungen im Rat aus ihrer Sicht abgeschlossen sein (oder werden) können, teilt sie nicht mit. Jedoch weißt die Bundesregierung noch darauf hin, dass derzeit eine Übergangsfrist von zwei Jahren für die ePrivacy Verordnung vorgesehen ist, die die Bundesregierung auch gefordert habe. Wenn es also tatsächlich im Laufe des Jahres 2019 zu einer Einigung zwischen Kommission, Parlament und Rat kommen sollte, dürfte die Anwendbarkeit der ePrivacy Verordnung wohl nicht vor 2021 zu erwarten sein.

Drei noch umstrittene Regelungsbereiche liegen nach Aussage der Bundesregierung in der Frage der zulässigen Verarbeitung von Metadaten ohne Einwilligung des betroffenen Endnutzers zu wirtschaftlichen Zwecken des Anbieters sowie in den Regelungen zum Schutz der Endgeräte. Also die Vorgaben zum Einsatz von Cookies auf Endgeräten oder dem Zugriff auf im Endgerät vorhandene Informationen. Einen weiteren wesentlichen Konfliktpunkt stellt wohl auch der Anwendungsbereich der ePrivacy Verordnung und das Verhältnis als Spezialgesetzgebung zur DSGVO dar.

Die Bundesregierung benennt zudem noch folgende Themen mit Diskussionsbedarf:

  • Bekämpfung der Kinderpornografie und des Missbrauchs von Kindern in den Netzen
  • Bestimmungen zum Schutz der Endeinrichtungen
  • Einstellungen zum Schutz der Privatsphäre in Browsersoftware
  • Aufsicht

Konkret zu dem Thema „Tracking Walls“ befragt, bekräftigt die Bundesregierung ihre bereits in der Vergangenheit geäußerte Ansicht,

dass werbefinanzierte Onlinedienste die Möglichkeit haben sollten, die Nutzung solcher Dienste von der Einwilligung in Cookies für Werbezwecke abhängig zu machen“.

Insgesamt deuten die Antworten der Bundesregierung darauf hin, dass es zum einen in wesentlichen Punkten noch Diskussionsbedarf zwischen den Mitgliedstaaten gibt und zum anderen ein rascher Abschluss der Verhandlungen (also etwa im ersten Halbjahr 2019) insgesamt wohl nicht zu erwarten ist.

Österreichische Datenschutzbehörde: Beschwerdeverfahren nach der DSGVO nur in der amtlichen Landessprache

Mit Entscheidung vom 21.09.2018 hat die Datenschutzbehörde in Österreich (DSB) die Beschwerde einer Person nach Art. 77 DSGVO zurückgewiesen, die sich nur auf Englisch über ein österreichisches Unternehmen per E-Mail bei der DSB beschwerte.

Zunächst brachte der Beschwerdeführer seine erste Eingabe in englischer Sprache per E-Mail an die DSB ein. Aus dem Inhalt der Eingabe vermutete die DSB, dass der Beschwerdeführer eine Beschwerde gegen eine in Wien niedergelassene Gesellschaft wegen einer Verletzung des Rechts auf Löschung (Art. 17 DSGVO) beabsichtigte.

Nach Aufforderung durch die DSB, die Beschwerde nachzubessern, verwies der Beschwerdeführer auf Artikel und Erwägungsgründe der deutschen Fassung der DSGVO, die Beschwerde selbst war jedoch erneut in englischer Sprache verfasst.

Die DSB verwies zur Begründung ihrer Aufforderung zur Nachbesserung des Antrags des Beschwerdeführers u.a. auf Art. 8 des Bundes-Verfassungsgesetzes (B-VG). Danach ist die deutsche Sprache als verfassungsmäßige Amtssprache der Republik in allen Eingaben bei österreichischen Behörden zwingend zu verwenden.

An dieser Auslegung ändere auch die DSGVO und insbesondere der hier relevante Art. 77 DSGVO zum Beschwerderecht betroffener Personen nichts.

Nach Art. 77 Abs. 1 DSGVO hat jede betroffene Person

unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt“.

Nach Ansicht der DSB hat auf dieser Grundlage eine betroffene Person bei Geltendmachung ihrer Rechte im Verwaltungsrechtsweg die internationale Wahl zwischen mehreren Aufsichtsbehörden im Gebiet der Europäischen Union hat, nämlich jener des gewöhnlichen Aufenthaltsortes der betroffenen Person, ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes.

Vorliegend könnte Zuständigkeit der österreichischen Aufsichtsbehörde begründet gewesen sein, da die Beschwerdegegnerin in Wien niedergelassen war.

Daraus ist aber nicht abzuleiten, dass ein Verfahren vor der Datenschutzbehörde durch eine Partei verfahrensrechtlich in einer anderen Sprache als der verfassungsmäßigen Amtssprache beantragt und geführt werden darf. Vielmehr sollen die alternativen Einbringungsbehörden einer betroffenen Person die Möglichkeit eröffnen, sich an eine geografisch näher gelegene Aufsichtsbehörde zu wenden, deren Amtssprache ihr geläufig ist.“

Aus diesem Grund wurde die Beschwerde hier zurückgewiesen. Die DSB verwies in ihrer Antwort an den Beschwerdeführer auch auf die Möglichkeit, dass dieser sich an die zuständige Aufsichtsbehörde an seinem gewöhnlichen Aufenthaltsort oder Arbeitsplatz im Gebiet der Europäischen Union wenden kann.

Auch in Deutschland kennen wir für die Kommunikation durch und gegenüber Behörden eine ähnliche Vorgabe, wie jene in Österreich, wenn auch nicht mit Verfassungsrang. Nach § 23 Abs. 1 VwVfG ist Amtssprache deutsch. Jedoch darf auch eine deutsche Behörde einen fremdsprachigen Antrag nicht einfach ignorieren (vgl. § 23 Abs. 2-4 VwVfG).

Datenschutzbehörde NRW: Kommunikation per E-Mail bedarf mindestens der Transport-Verschlüsselung

Die DSGVO enthält keine speziellen Vorgaben zu den technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten, die per E-Mail versendet werden. Art. 32 Abs. 1 DSGVO gibt allgemein vor:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“.

Beispielhaft („unter anderem Folgendes“) benennt Art. 32 Abs. 1 DSGVO in lit. a) auch die Verschlüsselung personenbezogener Daten. Eine unbedingte Pflicht, personenbezogene Daten stets nur verschlüsselt zu übermitteln, enthält die DSGVO aber nicht. In der Praxis ist die Frage, ob und wenn ja wann und in welcher Form Daten verschlüsselt übertragen werden sollten, ein Dauerbrenner.

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LfDI NRW) hat Ende 2018 ihre Position zu den technischen Anforderungen an technische und organisatorische Maßnahmen beim E-Mail-Versand veröffentlicht.

Nach Ansicht der LfDI NRW ist bei der Übermittlung von E-Mails grundsätzlich zwischen einer Verschlüsselung auf Inhaltsebene und einer Verschlüsselung auf Transportebene zu unterscheiden. Bei der Verschlüsselung auf Inhaltsebene werden Texte einer E-Mail sowie von Anhängen verschlüsselt. Hierbei kommen nach der Behörde in erster Linie die Standards S/MIME und OpenPGP infrage. Metadaten werden von der Inhaltsverschlüsselung jedoch nicht erfasst. Bei der Verschlüsselung auf Transportebene werden sowohl Meta- als auch Inhaltsdaten auf der Verbindung zwischen Mail-Client und Server bzw. zwischen verschiedenen Mail-Servern verschlüsselt.

Danach stellt die LfDI NRW ihre Positionen dar, die „bei der Wahl der technischen und organisatorischen Maßnahmen“ zugrunde zu legen seien.

Die Kommunikation per E-Mail bedarf mindestens der Transport-Verschlüsselung, wie sie von den namhaften europäischen Providern standardmäßig angeboten wird“.

Die LfDI NRW geht also davon aus, dass ausnahmslos immer mindestens eine Transport-Verschlüsselung umzusetzen ist. Wie oben erwähnt, ergibt sich eine solche zwingende Verschlüsselungspflicht nicht aus der DSGVO. Man könnte daher argumentieren, dass diese Auffassung über die Anforderungen der DSGVO hinausgeht. Eventuell geht die Behörde bei ihrer Beurteilung davon aus, dass die Transportverschlüsslung mittlerweile der in Art. 32 Abs. 1 DSGVO erwähnte „Stand der Technik“ ist. Hierfür könnte der Verweis auf die europäischen Provider sprechen. Dennoch sieht Art. 32 Abs. 1 DSGVO, neben dem Merkmal „Stand der Technik“, noch weitere Kriterien vor, die bei der Frage der umzusetzenden Maßnahmen berücksichtigt werden müssen, so insbesondere die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen. Verantwortliche und Auftragsverarbeiter müssten also nach der DSGVO immer noch die Möglichkeit haben, anhand dieser Merkmale zu beurteilen, ob eine Verschlüsselung der Daten zwingend erforderlich ist. Die Ansicht der Behörde geht auf die einzelnen, in Art. 32 Abs. 1 DSGVO genannten Kriterien leider nicht näher ein und begründet ihre Auffassung nicht. Würde man die Ansicht der LfDI NRW in der Praxis ernst nehmen, würde dies nicht nur für größere Unternehmen, sondern auch für Vereine, Handwerksbetriebe oder kleine Unternehmen bedeuten, dass diese E-Mails nur mit einer Transportverschlüsselung versenden dürfen.

Hinsichtlich der Art der Transportverschlüsselung ist die LfDI NRW der Auffassung, dass diese entsprechend der Technischen Richtlinie „BSI TR-03108 Sicherer E-Mail-Transport“ implementiert werden sollte. Abweichungen können aber möglich sein.

Sollen per E-Mail „besonders schützenswerte Daten“ übermittelt werden, verlangt die LfDI NRW verständlicherweise höhere Anforderungen. Die Behörde versteht unter diesen Daten z.B. „Kontobewegungsdaten, Finanzierungsdaten, Daten zum Gesundheitszustand, Mandantendaten von Rechtsanwälten und Steuerberatern, Beschäftigtendaten“. Eine alleinige Transportverschlüsselung sei dann möglicherweise nicht ausreichend. Die Behörde bezieht sich hierbei anscheinend auch auf die in Art. 9 Abs. 1 DSGVO erwähnten „besonderen Kategorien personenbezogener Daten“.

Interessant an der Aufzählung der LfDI NRW ist aber etwa das Beispiel der „Beschäftigtendaten“. Hierunter könnten dem Grunde nach bereits der Name und Vorname eines Beschäftigten fallen, ohne das weitere schützenswerte Daten betroffen sein müssen. In einem solchen Fall noch umfassendere Maßnahmen als eine Transportverschlüsselung zur fordern, erscheint jedoch dem Gründe nach nicht begründbar. So sieht etwa § 26 Abs. 3 BDSG iVm § 22 Abs. 2 BDSG auch nur bei der Verarbeitung besonderer Kategorien personenbezogener Daten von Beschäftigten die Pflicht vor, „angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen“.

Zuletzt ist noch darauf hinzuweisen, dass die LfDI NRW der Auffassung ist, dass der Betreff der E-Mail keine personenbezogenen Daten enthalten sollte.

Die LfDI NRW informiert darüber, dass die Datenschutzkonferenz derzeit Empfehlungen zur datenschutzkonformen E-Mail-Kommunikation erarbeitet.