Die Verpflichtung zur verschlüsselten Übermittlung kann nicht mit einer Einwilligungserklärung von betroffenen Personen umgangen werden –
dies entschied die Datenschutzbehörde in Österreich i. Beschluss v. 16.11.2018, Az. DSB-D213.692/0001-DSB/2018.
Sachverhalt
Die österreichische Datenschutzbehörde überprüfte unter anderem eine Einwilligungserklärung einer Allergie-Tagesklinik, die von den Patienten eingeholt wurde. Inhaltlich wurde insbesondere die Zustimmung zum unverschlüsselten Versand von Gesundheitsdaten an Dritte geregelt.
Die Einwilligungsklausel verstößt gegen sämtliche Regelungen der DSGVO. Insbesondere dürfen von Bestimmungen der DSGVO, die in dem Pflichtbereich des Verantwortlichen liegen, nicht zum Nachteil von Betroffenen abgewichen werden.
Die österreichische Datenschutzbehörde ist der Ansicht, dass die Einwilligung der Patienten unwirksam sei. Zum einen sei der Einwilligung nicht eindeutig zu entnehmen, für welche Datenverarbeitungen die Einwilligung die Rechtsgrundlage darstelle, vgl. Art. 13 DSGVO und zum anderen sei die Frage, ob eine Übermittlung in verschlüsselter oder unverschlüsselter Form erfolgt, eine Datensicherheitsmaßnahme i.S.d. Art. 32 DSGVO und somit alleine von der Verantwortlichen zu beurteilen. Die Einwilligung i.S.d. Art. 6 Abs. 1 lit. a bzw. Art. 9 Abs. 2 lit. a DSGVO ist diesbezüglich unstatthaft, da die Einwilligung nicht dazu dienen würde eine Rechtsgrundlage für die Datenverarbeitung zu schaffen, sondern um von Datensicherungsmaßnahmen zum Nachteil von Betroffenen abweichen zu können. Auch eine unwiderrufliche Einwilligung in die Heranziehung von Auftragsverarbeitern sei unstatthaft, da auch diese Entscheidung allein der Verantwortlichen obliege, vgl. Art 28 DSGVO. Darüber hinaus würde eine unwiderrufliche Einwilligung grundsätzlich gegen die Regelung des Art. 7 Abs. 3 DSGVO verstoßen. Auch die Einwilligung in eine Haftungsbeschränkung für den Fall einer unkorrekten und unvollständigen Übermittlung von personenbezogenen Daten würde gegen Art. 32 DSGVO verstoßen, da es die Pflicht eines Verantwortlichen sei, adäquate Maßnahmen zu ergreifen, damit es nach allgemeinem Ermessen zu keiner Verletzung des Schutzes personenbezogener Daten kommt und folglich die Vorgaben der DSGVO eingehalten werden, vgl. Art. 24 DSGVO.
Ob sich aus Art. 32 DSGVO eine generelle Pflicht zur Verschlüsselung von E-Mails ergibt, ist allerdings noch nicht abschließend geklärt worden. Jedenfalls in denjenigen Bereichen, in denen hochsensible Daten verarbeitet werden (wie etwa Gesundheitsdaten), ist von einer Verpflichtung der Verschlüsselung auszugehen.
Autorin: Isabelle Haaf