Datenschutz macht Arbeit. Das gilt besonders für Maßnahmen der Datensicherheit, wie etwa die Verschlüsselung von E-Mails. Kann man sich solche Mühen sparen, wenn ein Kunde damit ausdrücklich einverstanden ist?
Datensicherheit verlangt Differenzierung
Gleich zu Beginn eine Klarstellung: Nein, es steht nirgends in der Datenschutz-Grund-verordnung (DSGVO), dass E-Mails immer verschlüsselt werden müssten. Aber die DSGVO verlangt, dass man sich Gedanken darüber macht, wann dies nötig ist. Die sehr umfangreiche Regelung über die Sicherheit der Verarbeitung in Art. 32 DSGVO zwingt Unternehmen dazu, sich zu entscheiden. Ist das Risiko für den Datenschutz so hoch, dass eine Verschlüsselung notwendig ist? Oder ist das nicht der Fall?
Der Zwang zur Entscheidung gilt auch für viele andere Fragen rund um die Sicherheit der Verarbeitung. So ist etwa eine Entscheidung nötig, wie intensiv eine Zugangskontrolle sein muss. In einem großen Rechenzentrum wird sie sicher anders aussehen als in einer Werbeagentur mit einigen wenigen Kundenlisten.
Eigene Entscheidung des Kunden denkbar?
Aber vielleicht kann man sich alle komplizierten Überlegungen sparen, wenn man den Kunden um eine Einwilligung bittet? Und zwar um eine Einwilligung darin, dass er mit einer mangelhaften Datensicherheit einverstanden ist. Denn der Kunde müsste doch die Freiheit haben, selbst zu entscheiden.
Fall aus der Praxis: eine Tagesklinik
Das mag sich zunächst absurd anhören. Doch genau dies wurde in der Praxis bereits versucht. Versuchsgelände war dabei ausgerechnet eine Tagesklinik. Es ging dabei um medizinische Daten, also nicht um etwas Banales. Unter anderem ließ sich die Klinik unterschreiben, dass sie auch telefonisch über Diagnosen Auskunft geben darf. Das Risiko, dass ein Unbefugter anruft und die Diagnose erfährt, hätte der Patient tragen müssen.
Kaum Widerstand der Betroffenen
Auch wenn es unwahrscheinlich klingt – ganz offensichtlich unterschrieben Hunderte von Patienten eine entsprechende Erklärung. Sie scheinen kein Problem damit gehabt zu haben, der Klinik einen solchen Freibrief auszustellen. Oder fühlten sie sich vielleicht unter Druck gesetzt, das zu tun? Gleich wie: Aufgegriffen wurde das Ganze nicht wegen entsprechender Beschwerden bei der (in diesem Fall österreichischen) Datenschutzaufsicht. Vielmehr stellte die zuständige Aufsichtsbehörde bei einer amtlichen Überprüfung fest, was hier ablief.
Untersagungsverfügung der Aufsichtsbehörde
Bildlich gesprochen grätschte sie hier sofort ein. Sie untersagte der Tagesklinik, weiterhin so zu verfahren. Die Begründung hierfür hat nichts mit der besonderen Situation im medizinischen Bereich zu tun. Das macht sie für alle Unternehmen interessant.
Ablehnende Haltung der Aufsichtsbehörde zu Einwilligungen
Im Kern geht es um die generelle Frage, ob ein Betroffener auf Maßnahmen der Datensicherheit verzichten kann, obwohl sie nach den Maßstäben der DSGVO erforderlich sind.
Die im Beispielfall zuständige Aufsichtsbehörde hält diesen Ansatz für völlig untauglich. Formal begründet sie dies damit, dass die Vorschriften zur Datensicherheit der Verarbeitung das Thema „Einwilligung des Betroffenen“ nicht einmal erwähnen. Daraus zieht sie den Schluss, dass eine Einwilligung hier von vornherein keine Rolle spielen kann.
Eine Einwilligung kann zwar dazu führen, dass bestimmte Daten verarbeitet werden dürfen. Sie kann aber nicht von der Pflicht befreien, diese Verarbeitung so sicher durchzuführen, wie es die DSGVO vorschreibt.
Kritische Stimmen
Kritiker bemängeln an dieser Argumentation, hier werde dem Betroffenen letztlich ein Schutz aufgedrängt, den er gar nicht wolle. Schließlich gehe es um den Schutz seiner eigenen personenbezogenen Daten. Dann müsse er aber auch entscheiden können, ob er diesen Schutz einfordern möchte.
Objektive Komponente der Datensicherheit
Man kann dies jedoch auch anders sehen. Der Zweck der DSGVO besteht nämlich nicht nur darin, die Rechte einzelner Betroffener zu schützen. Vielmehr hat sie außerdem noch den Zweck, den freien Verkehr personenbezogener Daten innerhalb der EU zu ermöglichen. Selbstverständliche Voraussetzung hierfür ist die praktische Umsetzung der Vorgaben aus der DSGVO. Sie muss objektiv gesehen gewährleistet sein. Für eine Entscheidungsfreiheit einzelner Betroffener ist dann konsequenterweise kein Raum.
Gefahr von Geldbußen
Zumindest die wenigen Aufsichtsbehörden, die sich dazu schon geäußert haben, vertreten diese Auffassung. Das Risiko, es anders zu versuchen, ist für Unternehmen zu groß. Denn gar zu schnell kann eine mangelhafte Datensicherheit eine empfindliche Geldbuße nach sich ziehen.