Das Versenden von E-Mails sei wie das Verschicken von Postkarten. Quasi jeder auf dem Weg des Versands kann die Inhalte mitlesen. Das veranlasste den sächsischen Datenschutzbeauftragten dazu, eine Verschlüsselung von E-Mails für bestimmte Berufsgruppen zu empfehlen.

Der Fall betraf eine Versandapotheke. Ein Kunde dieser beschwerte sich beim Datenschutzbeauftragten, weil die Apotheke ihm per E-Mail eine Bestellbestätigung schickte. Der Versand dieser Mail erfolgte jedoch unverschlüsselt.

Vollständige Bestelldaten

Wie üblich befanden sich in der Mail alle für die Bestellung relevanten Daten (Name, Adresse und bestellte Produkte).

Darin sah der Datenschutzbeauftragte einen Verstoß gegen das Datenschutzrecht. In diesem besonderen Fall erkannte er sogar eine strafbare Handlung des Apothekers.

„Es ist allgemein bekannt, dass der unverschlüsselte Versand von E-Mails vergleichbar mit dem Versand einer Postkarte ist.

Alle an der Datenübertragung beteiligten Stellen können problemlos mitlesen, wann konkrete Kunden welche Bestellungen ausgelöst haben und dadurch auch Rückschlüsse auf deren Gesundheitszustand ziehen.

Während der Inhaber der betreffenden Versandapotheke die Registrierung neuer Kunden und auch den eigentlichen Bestellprozess offensichtlich über eine SSL-Verschlüsselung seines Webshops ausreichend abgesichert hatte, konterkarierte er diese Maßnahmen anschließend selbst, indem er die Bestellbestätigungen völlig ungesichert über das Internet versandte.

Dies stand im Widerspruch zu den Vorgaben der Nr. 4 der Anlage zu § 9 BDSG, wonach zu gewährleisten ist, dass personenbezogene Daten bei der elektronischen Übertragung nicht unbefugt gelesen, kopiert, verändert oder  entfernt werden können.

Letztendlich stand damit sogar eine Verletzung der Schweigepflicht nach § 203 StGB im Raum.

Auch § 13 Abs. 4 Nr. 3 TMG gibt einem Dienstanbieter technische und organisatorische Vorkehrungen auf, damit seine Kunden die angebotenen Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen können.

Es nutzt Kunden wenig, wenn zwar der Bestellprozess verschlüsselt abgewickelt wird, wenig später aber der Inhalt der Bestellung vollkommen ungeschützt über das Internet übertragen und damit die vorgenommenen Bestellungen Dritten wieder zugänglich gemacht werden.

In der Konsequenz bedeutet dies, dass unverschlüsselte E-Mails jedenfalls dann (vgl. § 9 Satz 2 BDSG) nicht als Kommunikationsmittel zwischen Apotheke und Kunde verwendet werden dürfen, wenn die Nachrichten (auch) besondere Arten personenbezogener Daten enthalten.“

Müssen alle Bestellbestätigungen verschlüsselt werden?

Der Fall hier betraf einen Apotheker, der besonderen berufsrechtlichen Vorschriften, wie speziellen Verschwiegenheitsverpflichtungen unterliegt.

§ 9 BDSG verpflichtet aber jeden Online-Händler dazu, technische Maßnahmen zum Schutz von personenbezogenen Daten zu ergreifen.

„Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“

Man könnte also durchaus argumentieren, dass die Bestellbestätigungsmails nur noch verschlüsselt an Kunden verschickt werden dürfen, weil darin ja auch die persönlichen Daten (Name, Anschrift, Telefonnummern) enthalten sind.

Versandapotheken sollten dies aber in jedam Fall tun.

Neben Bußgeldern wegen Verstößen gegen das Datenschutzrecht drohen hier im schlimmsten Fall sogar Freiheitsstrafe und berufsrechtliche Konsequenzen.

Fazit

Dass der Datenschutzbeauftragte diesen „Vorgang“ in seinen Tätigkeitsbericht mit aufnimmt, zeigt die Entwicklungen in Sachen Datenschutzrecht. Wenn zum 25. Mai 2018 die Datenschutzgrundverordnung in Kraft tritt, werden die Datenschutzbehörden noch mehr Verstößen nachgehen und diese ahnden. Die Datenschutzer erhalten mit dem neuen Recht neue Möglichkeiten und die Bußgeld-Bedrohung steigt massiv an.

Unternehmer – nicht nur Online-Händler – müssen sich bereits jetzt mit dem neuen Recht auseinandersetzen, wenn sie hohe Bußgelder vermeiden wollen. (mr)

Bildnachweis: Bloomicon/shutterstock.com