Das Versenden von E-Mails sei wie das Verschicken von Postkarten. Quasi jeder auf dem Weg des Versands kann die Inhalte mitlesen. Das veranlasste den sächsischen Datenschutzbeauftragten dazu, eine Verschlüsselung von E-Mails für bestimmte Berufsgruppen zu empfehlen.
Der Fall betraf eine Versandapotheke. Ein Kunde dieser beschwerte sich beim Datenschutzbeauftragten, weil die Apotheke ihm per E-Mail eine Bestellbestätigung schickte. Der Versand dieser Mail erfolgte jedoch unverschlüsselt.
Vollständige Bestelldaten
Wie üblich befanden sich in der Mail alle für die Bestellung relevanten Daten (Name, Adresse und bestellte Produkte).
Darin sah der Datenschutzbeauftragte einen Verstoß gegen das Datenschutzrecht. In diesem besonderen Fall erkannte er sogar eine strafbare Handlung des Apothekers.
“Es ist allgemein bekannt, dass der unverschlüsselte Versand von E-Mails vergleichbar mit dem Versand einer Postkarte ist.
Alle an der Datenübertragung beteiligten Stellen können problemlos mitlesen, wann konkrete Kunden welche Bestellungen ausgelöst haben und dadurch auch Rückschlüsse auf deren Gesundheitszustand ziehen.
Während der Inhaber der betreffenden Versandapotheke die Registrierung neuer Kunden und auch den eigentlichen Bestellprozess offensichtlich über eine SSL-Verschlüsselung seines Webshops ausreichend abgesichert hatte, konterkarierte er diese Maßnahmen anschließend selbst, indem er die Bestellbestätigungen völlig ungesichert über das Internet versandte.
Dies stand im Widerspruch zu den Vorgaben der Nr. 4 der Anlage zu § 9 BDSG, wonach zu gewährleisten ist, dass personenbezogene Daten bei der elektronischen Übertragung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Letztendlich stand damit sogar eine Verletzung der Schweigepflicht nach § 203 StGB im Raum.
Auch § 13 Abs. 4 Nr. 3 TMG gibt einem Dienstanbieter technische und organisatorische Vorkehrungen auf, damit seine Kunden die angebotenen Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen können.
Es nutzt Kunden wenig, wenn zwar der Bestellprozess verschlüsselt abgewickelt wird, wenig später aber der Inhalt der Bestellung vollkommen ungeschützt über das Internet übertragen und damit die vorgenommenen Bestellungen Dritten wieder zugänglich gemacht werden.
In der Konsequenz bedeutet dies, dass unverschlüsselte E-Mails jedenfalls dann (vgl. § 9 Satz 2 BDSG) nicht als Kommunikationsmittel zwischen Apotheke und Kunde verwendet werden dürfen, wenn die Nachrichten (auch) besondere Arten personenbezogener Daten enthalten.”
Müssen alle Bestellbestätigungen verschlüsselt werden?
Der Fall hier betraf einen Apotheker, der besonderen berufsrechtlichen Vorschriften, wie speziellen Verschwiegenheitsverpflichtungen unterliegt.
§ 9 BDSG verpflichtet aber jeden Online-Händler dazu, technische Maßnahmen zum Schutz von personenbezogenen Daten zu ergreifen.
“Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.”
Man könnte also durchaus argumentieren, dass die Bestellbestätigungsmails nur noch verschlüsselt an Kunden verschickt werden dürfen, weil darin ja auch die persönlichen Daten (Name, Anschrift, Telefonnummern) enthalten sind.
Versandapotheken sollten dies aber in jedam Fall tun.
Neben Bußgeldern wegen Verstößen gegen das Datenschutzrecht drohen hier im schlimmsten Fall sogar Freiheitsstrafe und berufsrechtliche Konsequenzen.
Fazit
Dass der Datenschutzbeauftragte diesen “Vorgang” in seinen Tätigkeitsbericht mit aufnimmt, zeigt die Entwicklungen in Sachen Datenschutzrecht. Wenn zum 25. Mai 2018 die Datenschutzgrundverordnung in Kraft tritt, werden die Datenschutzbehörden noch mehr Verstößen nachgehen und diese ahnden. Die Datenschutzer erhalten mit dem neuen Recht neue Möglichkeiten und die Bußgeld-Bedrohung steigt massiv an.
Unternehmer – nicht nur Online-Händler – müssen sich bereits jetzt mit dem neuen Recht auseinandersetzen, wenn sie hohe Bußgelder vermeiden wollen. (mr)
Bildnachweis: Bloomicon/shutterstock.com
Der Artikel ist technisch nicht korrekt formuliert und deshalb falsch.
“Das veranlasste den sächsischen Datenschutzbeauftragten dazu, eine Verschlüsselung von E-Mails für bestimmte Berufsgruppen zu empfehlen.”
Hat er wirklich eine Verschlüsselung von E-Mails also prinzipiell S/MIME oder PGP empfohlen? Oder hat er den E-Mail-Versand über einen verschlüsselten Transportkanal empfohlen, z.B. per SSL/TLS?
Das sind 2 völlig verschiedene Dinge.
Die “Verschlüsselung von E-Mails” (also S/MIME, PGP) ist nicht umsetzbar, weil zu viele Client (z.B. viele E-Mail-Apps auf mobilen Geräten) das überhaupt nicht unterstützen. Das Ergebnis wäre dann gleichbedeutend mit gar keine Mail versenden. Der E-Mail-Versand über einen verschlüsselten Transportkanal sollte dagegen unabhängig von Bestellbestätigungen längst Standard sein. Da fast jede Mail irgendwelche persönlichen Daten enthält, erscheint das nach BDSG immer geboten.
Halte ich für plausibel. Zumal der Versender auch irgendwie Kenntnis von dem öffentlichen Schlüssel des Empfängers erhalten müsste.
Andererseits wird der übliche Kunde kaum nachvollziehen können, ob die Verbindung zwischen den Mailservern tatsächlich verschlüsselt worden ist. Soweit ich weiß besteht keine Möglichkeit dies anhand des Mailheaders nachzuvollziehen.
Eigentlich sollten im Mailheader im “Received” Feld die Verbindungsdetails und auch die Angaben zur Transport-Verschlüsselung stehen.
Aber nicht jeder Mailserver schreibt das dort hin, leider.
Also die einzige Möglichkeit die ich sehe um das zu realisieren wäre das man dem Kunden nur noch einen Link schickt wo er dann in seinem Kundenkonto die Bestellbestätigung runterladen kann. Das würde aber letztendlich das Ende der “Gastbestellung” bedeuten.
Und Sie müssten dann alle Pflichtinformationen aus dem Online-Shop ausgedruckt der Lieferung beilegen, weil es ja noch die Pflicht gibt, diese auf einem dauerhaften Datenträger dem Verbraucher zukommen zu lassen. Das wäre nicht erfüllt, wenn ein Link auf eine Website des Händlers führt.
Hallo Zusammen,
nein, er meint es Ernst 😉
Siehe dazu seine Anmerkungen zu E-Mails von Rechtsanwälten auf Seite 138 seines Berichts:
“Ich gehe daher davon aus bzw. fordere dies gegebenenfalls, dass Rechtsanwälte ihre EMails zukünftig verschlüsseln oder aber ihre Schriftsätze per Fax und/oder Briefpost versenden. Für Ersteres habe ich einen Zugang für mit PGP verschlüsselte E-Mails eröffnet (vgl. § 2 Abs. 1 Sätze 1 und 3 SächsEGovG). Zu beachten ist dabei, dass auch die – unverschlüsselte – Angabe des Betreffs keine personenbezogenen Daten enthalten darf.”
“… Name, Anschrift, Telefonnummer …” sind auch im Telefonbuch enthalten.
Ist ein Telefonbuch datenschutzrechtlich überhaupt noch erlaubt?
Demnach müssten auch sämtliche Kontaktformular nur noch verschlüsselte E-mails senden?
Jeglich Anmeldung bei irgendeinem Dienst (Vergleichsportale, Autoportale, Auktionsplattformen …)
Falls ja, würden wir zur Papierform zurückkehren?
Im Telefonbuch steht man ja aber nur, wenn man das möchte.
Und auch Kontaktformulare müssen verschlüsselt sein, ja. http://shopbetreiber-blog.de/2017/06/23/dsgvo-kontaktformular/ Und auch die von Ihnen angesprochenen Anmeldungen, ja. Aber das ist ja heute schon Stand der Technik und Alltag.
Ne eigentlich nicht. Sie müssen ja unterscheiden zwischen Verschlüsselung der Webseite und dem Versand der eigentlichen Nachricht. Die Eingabe der Nachricht ins Kontaktformular und die Übertragung der Daten an den Server der Webseite erfolgt zwar verschlüsselt. Im Normalfall werden aber die Nachrichten aus Kontaktformularen dann per E-mail versandt. Und dieser Versand erfolgt dann im Normalfall unverschlüsselt.
Im Internet ist man auch nur, wenn man es möchte…
Viel schlimmer und vollkommen unter den Tisch gekehrt ist die Sicherheit (*huuust) beim Telefonieren. Alles frei, alles offen und der Verbraucher kann ausgenommen, abgehört, betrogen, durchleuchtet….. werden.
Oder gibt es schon die Ansagen _vor_ einem Telefonat wie: “Die Verbindungsdaten werden gespeichert und Ihr Telefonat könnte ohne Ankündigung aufgenommen werden. Wenn Sie dies nicht möchten, legen Sie bitte auf.” Analog dazu: “Diese Webseite verwendet Cookies… wenn Du das nicht willst, geh weg…”
Die Überschrift sollte wohl eher lauten “… verschlüsselt übertragen werden?” Ich denke, hier ist die verschlüsselte Kommunikation zwischen den beiden E-Mail Servern gemeint und nicht der Inhalt der E-Mail, der verschlüsselt werden soll.
Der normale Internetkäufer ist teilweise ja schon überfordert mit der Unterscheidung und korrekten Ausfüllung von der vorhandenen Feldern der Anmeldeformulars wie “Firmenname, Nachname, Vorname, Straße und Hausnummer”. Was meint also der Herr Datenschützer, was passiert, wenn man dem Kunden nun ein zusätzliches Feld zum Eintragen seines öffentlichen PGP-Schlüssels vorsetzt? Richtig, gar nichts, denn 99,999% der Internetbesteller benutzen sowas gar nicht.
Ach ja, da war ja noch die hochgelobte DE-Mail, die den verschlossenen Postbrief und gar das Einschreiben ersetzen sollte. Wieviel aller deutschen Internetnutzer haben allerdings ein solches E-Mail Postfach?
Für mich ist das Ganze mal wieder nichts als praxisfremde und sehr heiße Luft. Komisch, das Sommerloch ist doch aber schon vorbei…
Ein Artikel der Hinweise zur gesicherten Datenübertragung geben soll und dann auf der eigenen Blogseite ebenso die Anforderungen an eine verschlüsselte Übertragung von personenbezogenen Daten nicht einhält? Keine https-Verschlüsselung bei der Nutzung der Kommentarfunktion.
Vielen Dank für Ihre Anmekrung. Den Punkt haben wir korrigiert.
Also was nun? Reicht es die Mail verschlüsselt zu versenden, oder muss man jetzt tatsächlich Verschlüsselung per PGP im Online-Shop anbieten? Es wäre wirklich gut, wenn man dazu endlich irgendwo eine klare Aussage finden würde.