Verschlüsselung ist meist eine fehlende Rechtspflicht im Datenschutz
Die Schuld des Unverschlüsselten - Verschlüsselung als Form der Exkulpation (Stand 04.02.2017)
Dass Verschlüsselung allgemein einem Teilschutz – der Vertraulichkeit – von Daten dient, denn so bereits die Definition, ist bekannt. Sind diese zudem personenbezogen, dann dient sie auch dem Datenschutz.
Das Ergebnis einer Suche nach datenschutzspezifischer gesetzlicher Verschlüsselungspflicht beschränkt sich bislang hingegen auf wenige und vergleichsweise spezifische Normen, wie z.B. das HKRG.
Allein der Begriff Verschlüsselung findet sich im BDSG, im TMG, in der DSGVO und im Gesetzesentwurf zum neuen BDSG1.
Nach der Anlage zum § 9 Satz 1 BDSG ist ein nach dem Stand der Technik entsprechendes Verschlüsselungsverfahren insbesondere eine geeignete Maßnahme der Zugangs-, Zugriffs- und Weitergabekontrolle.
Nach § 13 Abs. 7 TMG ist die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens insbesondere eine Maßnahme, um sicherzustellen, dass kein unerlaubter Zugriff auf die für die Telemedienangebote genutzten technischen Einrichtungen möglich ist und diese gegen Datenschutzverletzungen und gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind.
Demnach lässt der Gesetzgeber auch unter dem Gesichtspunkt der wirtschaftlichen Zumutbarkeit (§ 9 Satz 2 BDSG, § 13 Abs. 7 Satz 1 TMG) dem Verantwortlichen die Wahl, statt der Verschlüsselung ein anderes Verfahren zu wählen. Gleichwohl bietet er ihm an, diesen im Falle der Verwendung eines sicheren – also dem Stand der Technik entsprechenden – Verschlüsselungsverfahrens aus der diesbezüglichen Haftung zu entlassen, § 7 Satz 2 BDSG. Denn wie sollte hier fahrlässiges oder gar vorsätzliches Verschulden zu finden sein, wo dem Vorschlag des Gesetzgebers gefolgt wurde. Ausgenommen hiervon sind öffentliche Stellen im Falle automatisierter Datenverarbeitung, wie § 8 Abs. 1 BDSG lehrt.
Verschlüsselung ist selbstverständlich kein Allheilmittel von Datenschutzverstößen, denn dem Verantwortlichen steht immer ein umfangreiches Potpourri von Möglichkeiten zur Verfügung. Doch ruft ein abhanden gekommenes Backup mit nach dem Stand der Technik verschlüsselten personenbezogenen Daten besonderer Art § 42a BDSG möglicherweise nicht mehr auf den Plan.
Von dieser Idee, nämlich der Befreiung des Verantwortlichen von der Benachrichtigung des Betroffenen, weicht auch der europäische Gesetzgeber in Art. 34 Abs. 3 lit. a DSGVO (analog § 66 Abs. 3 Nr. 1 BDSG-E für öffentliche Stellen i.S.d. § 45 Satz 1 BDSG-E) nicht ab. Wenn angenommen werden kann, dass die Verletzung nicht zu einem Risiko für Rechte und Freiheiten des Betroffenen führt, führt dies nach Art. 33 Abs. 1 DSGVO auch zur Befreiung einer Meldung an die Aufsichtsbehörde; so auch § 65 Abs. 1 BDSG-E, welcher für öffentliche Stellen i.S.d. § 45 Satz 1 BDSG-E gilt.
Dabei stellt sich bereits die Frage, ob überhaupt eine Verletzung von Rechten und Freiheiten vorliegen kann, wenn personenbezogene Daten, die verschlüsselt sind und bleiben, abhanden kommen. Die Krux verkörpert das Verb bleiben.
Die singuläre Maßnahme Verschlüsselung ist der Anlage zu § 9 BDSG in der Datenschutzgrundverordnung nunmehr entwachsen und wird in Art. 32 Abs. 1 DSGVO verbunden mit einer Reihe weiterer, dem Betroffenen ein angemessenes Schutzniveau gewährleistenden, Maßnahmen. Aus diesen kann der Verantwortliche noch immer wählen, eine Pflicht zur Verschlüsselung gibt es nicht, doch dürfte zukünftig begründend zu dokumentieren sein, wenn keine Verschlüsselung zur Anwendung kommt, insbesondere da Verschlüsselung Vertraulichkeit verkörpert. So sieht dies auch der deutsche Gesetzgeber in § 64 Abs. 2 BDSG-E für öffentliche Stellen i.S.d. § 45 Satz 1 BDSG-E vor.
Damit hat sich die Verschlüsselung zwar noch nicht zur conditio sine qua non des Datenschutzes aber doch in Richtung Obliegenheit gemausert.
War durch § 7 BDSG der Schadenersatz im nicht öffentlichen Bereich auf den materiellen Schaden beschränkt, so dehnt Art. 82 Abs. 1 DSGVO jenen auch auf den immateriellen Schaden aus. Die Gefährdungshaftung im Bereich der automatisierten Verarbeitung bleibt gem. § 83 Abs. 1 Satz 2 BDSG-E für öffentliche Stellen i.S.d. § 45 Satz 1 BDSG-E bestehen.
Verschlüsselung ist somit selbstverständlich auch weiterhin ein brauchbares Instrument, den einzelnen und insbesondere gesamtschuldnerischen Haftungsrisiken zu entgegnen. Jeder Verantwortliche sollte sich deshalb mit dem Thema Verschlüsselung intensiv auseinandersetzen. Nicht nur mit – aber durchaus motiviert durch – Blick auf Art. 83 DSGVO.
Als Faustformel bleibt: Wer nicht verschlüsselt, hat selbst Schuld.
[1] Link zum BDSG-E.
Kontakt zum Datenschutzbeauftragten
Nutzen Sie die Vorteile einer Beratung durch einen unserer Datenschutzbeauftragten. Nehmen Sie Kontakt zum Datenschutzbeauftragten auf.