Abdingbarkeit der Pflicht zur E-Mail-Verschlüsselung

Manchmal schreibt das Datenschutzrecht Ende-zu-Ende-Verschlüsselung von E-Mails vor. Kann der Empfänger einer E-Mail auf diese unpraktische Art der Verschlüsselung verzichten?

Aus Art. 32 DSGVO kann sich eine Pflicht zur Ende-zu-Ende-Verschlüsselung von E-Mails ergeben, z.B. beim Versand von sensiblen personenbezogenen Daten. Kann der Empfänger einer E-Mail auf die Verschlüsselung verzichten, wenn die in der E-Mail enthaltenen personenbezogenen Daten nur ihn betreffen?

Die Datenschutzkonferenz verneint dies in ihrem Beschluss vom 24. November 2021 ziemlich apodiktisch:

Ein Verzicht auf die vom Verantwortlichen vorzuhaltenden technischen und organisatorischen Maßnahmen oder die Absenkung des gesetzlich vorgeschriebenen Standards auf der Basis einer Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO ist nicht zulässig.

Aber, einen Absatz weiter:

Unter Beachtung des Selbstbestimmungsrechts der betroffenen Person und der Rechte weiterer betroffener Personen kann es in zu dokumentierenden Einzelfällen möglich sein, dass der Verantwortliche auf ausdrücklichen, eigeninitiativen Wunsch der informierten betroffenen Person bestimmte vorzuhaltende technische und organisatorische Maßnahmen ihr gegenüber in vertretbarem Umfang nicht anwendet.

Etwas entspannter gibt sich der Hamburgische Beauftragte für Datenschutz und Informationssicherheit, der in einem Vermerk vom 5. Januar 2022 von der Abdingbarkeit ausgeht:

Es dürfte weder im Sinne des Verordnungsgebers noch der betroffenen Person sein, dieser gegen ihren Willen und möglicherweise zu ihrem Nachteil ein Schutzniveau aufzuzwingen, das sie ausdrücklich ablehnt.

Die Gerichte gehen, sofern die Frage thematisiert wird, bislang ebenso davon aus, dass Betroffene auf den zusätzlichen Schutz verzichten können, den Ende-zu-Ende-Verschlüsselung bietet, so etwa das Oberlandesgericht Düsseldorf, das in seinem Urteil vom 28. Oktober 2021 (Az. 16 U 275/20) eine Einwilligung ohne große Diskussion für möglich hält, weil es der Privatautonomie widerspräche, wenn die Einwilligung nicht zu einem Verzicht auf Anonymisierungs-, Pseudonymisierungs- sowie Verschlüsselungstechniken führen könnte, oder das Sozialgericht Hamburg in seinem Urteil vom 30. Juni 2023 (Az. S 39 AS 517/23), in dem es das beklagte Jobcenter sogar zur nicht ende-zu-ende-verschlüsselten E-Mail-Kommunikation mit dem siegreichen Kläger verurteilte.

Neueste Beiträge

Ähnliche Beiträge

Mein Blog

In meinem Blog finden sich aktuellen Informationen und Updates zu allen Teilbereichen des IT-Rechts, in denen ich tätig bin:

Meine Leistungen

Ich biete praxisnahe rechtliche Lösungen für Ihre Fragen und Anliegen aus allen Bereichen des IT-Rechts, die ich auch noch gut erklären kann. Meine Lösungen sind aktuell, vollständig und präzise, und zwar zu vernünftigen Preisen und, wenn Sie wollen und soweit zulässig, zum Festpreis.

Je individueller Ihre Produkte und Dienstleistungen sind, desto individueller muss auch die Rechtsberatung sein, und da sind Sie bei mir richtig.

Kontakt

Sie erreichen mich am besten per E-Mail unter tim@timschroeder.law. Meinen-PGP Key gibt es hier.