Aus Art. 32 DSGVO kann sich eine Pflicht zur Ende-zu-Ende-Verschlüsselung von E-Mails ergeben, z.B. beim Versand von sensiblen personenbezogenen Daten. Kann der Empfänger einer E-Mail auf die Verschlüsselung verzichten, wenn die in der E-Mail enthaltenen personenbezogenen Daten nur ihn betreffen?
Die Datenschutzkonferenz verneint dies in ihrem Beschluss vom 24. November 2021 ziemlich apodiktisch:
Ein Verzicht auf die vom Verantwortlichen vorzuhaltenden technischen und organisatorischen Maßnahmen oder die Absenkung des gesetzlich vorgeschriebenen Standards auf der Basis einer Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO ist nicht zulässig.
Aber, einen Absatz weiter:
Unter Beachtung des Selbstbestimmungsrechts der betroffenen Person und der Rechte weiterer betroffener Personen kann es in zu dokumentierenden Einzelfällen möglich sein, dass der Verantwortliche auf ausdrücklichen, eigeninitiativen Wunsch der informierten betroffenen Person bestimmte vorzuhaltende technische und organisatorische Maßnahmen ihr gegenüber in vertretbarem Umfang nicht anwendet.
Etwas entspannter gibt sich der Hamburgische Beauftragte für Datenschutz und Informationssicherheit, der in einem Vermerk vom 5. Januar 2022 von der Abdingbarkeit ausgeht:
Es dürfte weder im Sinne des Verordnungsgebers noch der betroffenen Person sein, dieser gegen ihren Willen und möglicherweise zu ihrem Nachteil ein Schutzniveau aufzuzwingen, das sie ausdrücklich ablehnt.
Die Gerichte gehen, sofern die Frage thematisiert wird, bislang ebenso davon aus, dass Betroffene auf den zusätzlichen Schutz verzichten können, den Ende-zu-Ende-Verschlüsselung bietet, so etwa das Oberlandesgericht Düsseldorf, das in seinem Urteil vom 28. Oktober 2021 (Az. 16 U 275/20) eine Einwilligung ohne große Diskussion für möglich hält, weil es der Privatautonomie widerspräche, wenn die Einwilligung nicht zu einem Verzicht auf Anonymisierungs-, Pseudonymisierungs- sowie Verschlüsselungstechniken führen könnte, oder das Sozialgericht Hamburg in seinem Urteil vom 30. Juni 2023 (Az. S 39 AS 517/23), in dem es das beklagte Jobcenter sogar zur nicht ende-zu-ende-verschlüsselten E-Mail-Kommunikation mit dem siegreichen Kläger verurteilte.