Einfacher Brief, Postgeheimnis und Art 32 DSGVO

Hallo zusammen!
Gehe ich recht bei folgenden Annahmen:

  • Ein einfacher Brief unterliegt dem Postgeheimnis und ist eine sichere Versendungsart auch für Gesundheitsdaten wie zum Beispiel Röntgenbilder oder medizinische Gutachten. So auch LfDI Thüringen im 12. TB Seite 344. Natürlich wäre ein Einschreiben möglich. Aber zwingend ist es nicht.
  • Dann dürfte es auch kein Verstoß gegen Art 32 DSGVO sein, wenn man solche Daten auf unverschlüsselten Datenträgern per einfacher Post verschickt. Oder?
    Vielen Dank für Eure Antworten.
    Grüße iDSB

Tatsächlich: ein normaler Brief reicht (ggf. mit Vermerk “Persönlich” oder “Vertraulich”). Bei dem Datenträger sehe ich ein höheres Risiko: ein Brief mit Papierunterlagen kann nicht in der Form verändert werden, dass er beim Empfänger höhere Risiken als die Offenlegung bewirkt. Der Datenträger könnte dagegen mit Malware ergänzt werden.

Das Postgeheimnis ist grundrechtlich geschützt (Art.10 GG) und die Verletzung des Briefgeheimnisses ist strafbewehrt (§202 StGB). Das ist ein zumindest rechtlicher Zugriffsschutz zur Wahrung der Vertraulichkeit (Art.32 Abs.1 b) und gilt für beide Punkte. Bei Datenträgern gesellen sich mE zwei Punkte für den Prozess vor / nach Erhalt des Datenträgers hinzu. Die Wahrung der Integrität: Daten auf einer Platte / einem Stick zu verändern, ist leichter als gedacht. Und noch einmal die Vertraulichkeit: Wer kann den Datenträger nach dem Erhalt wofür und wie verwenden? Wie wäre der Datenträger selbst geschützt? Hier besteht idR ein Unterschied zum Brief, der abgeheftet wird, in den abgeschlossenen Schrank kommt und dem Veränderungen / Fälschungen leichter anzusehen sind. Ein weiterer Punkt ist Art.32 Abs.1 a und die Verschlüsselung als Standardmaßnahme entsprechend dem Schutzniveau. In Verbindung mit Abs.1 b stellt sich hier die Frage nach der grundsätzlichen Verschlüsselung von mobilen Datenträgern und zwar unabhängig vom Postgeheimnis (alternativ die Daten selbst zu verschlüsseln oder anderweitig vor unbefugtem Zugriff zu schützen). Darum sehe ich die Verschlüsselung bei Punkt 2 als Standardmaßnahme und die Nichtverschlüsselung der Daten als Verstoß an.

2 Likes

Die allgemeine Rechtsauffassung der gesammelten Datenschützer ist an diesem Punkt aus meiner Perspektive furchtbar inkonsequent.

Alle relevanten Kommunikationsformen sind nach lex specialis besonders geregelt. Briefe fallen unter das Postgeheimnis und den dazugehörigen Regelungen und Telefon/Fax sowie die E-Mail fallen unter das Telekommunikationsgeheimnis und den dazugehörigen Regelungen. Die Anforderungen an den Stand der Technik/die Regeln der Kunst bemessen sich daher nicht nach dem allgemeinen datenschutzrechtlichen Regelungen, sondern nach den speziellen Regelungen in diesen Rechtskreisen. Will heißen, wenn ein E-Mail-Provider alle Anforderungen aus dem TKG erfüllt, dann gilt es grundsätzlich aus Rechtsperspektive als sicher. Hierzu passt auch die Rechtsprechung des BGH zum besonderen elektronischen Anwaltspostfach, das nach objektiven Maßstäben für jeden Techniker als unsicher zu erkennen ist, aber halt alle rechtlichen Anforderungen erfüllt und insofern als sicher fingiert wird.

Damit spielt Art. 32 DSGVO grundsätzlich keine Rolle für die Bewertung eines besonders geregelten Kommunikationsmittels. Es sei denn(!), man nimmt im Rahmen der Organisationspflicht die Pflicht für einen zusätzlichen, denklogischen Schritt an, bei dem man sich für ein anlassangemessenes Kommunikationsmittel entscheiden muss. Das kann man annehmen, aber inwiefern dann die ebenso unverschlüsselte Briefpost/Fax angemessener sein sollen als die unverschlüsselte E-Mail erschließt sich mir nicht. Dann müsste viel mehr per Postzustellungsurkunde versendet werden.

Die Authentifikation des Empfängers ist übrigens ein davon getrenntes Problem. Es ist grundsätzlich keine Schwierigkeit auch eine E-Mail-Adresse als grundsätzlich zu einer Person gehörig zu identifizieren.

2 Likes

Hallo,

die notwendigen technischen und organisatorischen Massnahmen ergeben sich doch aber aufgrund der Risikobetrachtung - und ich denke, dass wir einem Angreifer kein gesetzeskonformes Verhalten unterstellen sollten. [DSGVO Art 24 (1)]

Ein unauthorisierter Zugriff (mit möglicher Ausspähung/Modifikation/Löschung/Vernichtung) könnte z.B. erfolgen durch

  • Diebstahl des Briefes auf dem Postweg (Entwendung des Postsacks, etc.)
  • Diebstahl des Briefes aus dem Briefkasten (bzw. Zerstörungsfreie Öffnung des Briefes)
  • Unauthorisierter Zugriff beim Versender bzw. Empfänger (zB in der Hauspost)

Von daher ist mir gerade unklar wie das Postgeheimnis hier wirklich Abhilfe schafft?

Viele Grüsse

Stefan

Art.32 DSGVO spielt insofern eine Rolle, als dass er unmittelbar geltendes EU-Recht ist. Eine bereichsspezifische nationale Norm muss durch eine Öffnungsklausel der DSGVO erlaubt werden. Die gibt es nur für Art.32 Abs.4 … und für 70(?) andere Regeln. Ein löchriges Gewand.

Die Rechtsprechung zum beA tangierte das TKG nicht. Die Klage basierte auf BRAO, ZPO und RAVPV. Anwälte unterliegen dem Art.32 wie alle anderen auch. Warum sie diese Karte nicht gespielt haben, weiß ich nicht. Und die Datenschutzbestimmungen des TKG werden dann durch die DSGVO verdrängt, wenn die Bestimmungen der ePrivacy-Richtlinie im TKG nicht umgesetzt sind (vgl. auch Art.95 DSGVO). Hier herrscht seit Jahren allgemeine Rechtsunsicherheit und seit Jahren versucht man eine Neuregelung.

Technische Unsicherheiten muss man nachweisen können. Im Fall von beA wäre das die Erbringung des Nachweises, dass ein Unbefugter aufgrund der Nicht-Ende-zu-Ende-Verschlüsselung die Daten einsehen kann, folglich die Übermittlung nicht sicher ist.

Mit der Eingangsfrage hat das aber alles nichts zu tun, order? War nur so allgemeiner Frust über Rechtssicherheiten?

Das Thema hat doch Kommunikationsmittel und deren Sicherheit angerissen. Finde es nicht verfehlt, dann noch etwas allgemeiner darüber zu sprechen. Mein Ursprungsgedanke war halt, dass es für die Kommunikation an sich nicht darauf ankommt, ob die Information tatsächlich auf welche Weise auch immer verschlüsselt ist, sondern nur darauf, ob sie die jeweils für ihren Rechtskreis geltenden Regeln befolgt. Ich bin mir auch relativ sicher, bei aller sonstigen Unsicherheit im Verhältnis zwischen den alten Regelungen, die auf der e-Privacy RL basieren, und der DSGVO, dass die Kernregelungen, die den Kommunikationsakt an sich betreffen, korrekt umgesetzt sind und entsprechend nicht unter die DSGVO fallen. Damit ist Art. 32 DSGVO für den Kommunikationsakt selbst halt außen vor.

Den Gedanken kann man dann halt auch für das Szenario im Ursprungspost übertragen. Ein mit der Post versendeter, unverschlüsselter Datenträger entspricht als Kommunikationsakt selbst den Anforderungen des dort geltenden Rechtskreises, weil der Inhalt (hier: Datenträger) ja gar keine Rolle spielt. Dass es sich um einen unverschlüsselten Datenträger handelt kann auch im Anschluss an den Kommunikationsakt, also nach Gelangen in den Herrschaftsbereich des Empfängers, keine Rolle aus Sicht des Senders spielen, weil er ab dann nicht mehr verantwortlich ist. Das heißt wenn überhaupt spielt der unverschlüsselte Datenträger zum Zeitpunkt Übergabe des Verantwortlichen an den Kommunikationsdienst (hier: Post) eine Rolle. Wobei ich da im konkreten Fall ebenfalls keinen Verstoß gegen Art. 32 DSGVO sehe, weil ein unverschlüsselter Datenträger ist genauso sicher oder unsicher wie ein Stück Papier. Letzteres kann ich auch mühelos manipulieren oder komplett austauschen.

Aus meiner Sicht sind Briefsendung und Datenträger zwei unterschiedliche Sachverhalte. Der Datenträger samt Daten existiert ohne jegliche Versendung, ob beim Absender oder Empfänger ist gleichgültig. Wer auch immer diesen Datenträger für pb Daten verwendet, hat die TOMs unabhängig von Versand / Empfang zu erfüllen. Die technische Standardmaßnahme für mobile Datenträger ist, gleich den mobilen Endgeräten, die Verschlüsselung der darauf vorhandenen Daten. Ob dafür Container- oder Datenträgerverschlüsselung oder ein sicheres Passwort genutzt wird, hängt vom Stand der Technik ab. Das ist keine neue Maßnahme der DSGVO. Früher hieß es Zugriffs- und Weitergabekontrolle sowie Verschlüsselungsverfahren; heute benennen es Art.32 Abs.1 a, b als Verschlüsselung, Vertraulichkeit und Integrität. Sofern diese Maßnahme ordentlich umgesetzt ist, erübrigen sich Fragen nach dem Postgeheimnis und dem Schutz der Daten bei Absender oder Empfänger. Beide sind gem. Art.32 Satz 1 dafür verantwortlich, dass Vertraulichkeit und Integrität der Daten gewahrt werden, jeder in seinem Verantwortungsbereich. Und wenn sie das erforderliche Schutzniveau nicht erfüllen, dann verstoßen sie gegen die DSGVO.

Der Stand der Technik hängt ja stets vom konkreten Einsatzszenario ab. Wenn ich einen Datenträger lediglich als elektronisches Briefpapier einsetze, dann ist eine Verschlüsselung eher nicht notwendig nach dem Stand der Technik (für die Versendung von Briefen im Grunde). Es herrscht ja kein Automatismus, dass jedwede digtale Datenhaltung zwingend zu jedem Zeitpunkt verschlüsselt werden muss. Selbst wenn man das für die komplette eigene Serverstruktur annimmt, wäre das digitale Briefpapier ja mit dem Brennvorgang da herausgelöst und eben ein eigener Sachverhalt, bei dem sich mir im direkten Vergleich mit dem Papieräquivalent nicht erschließt, warum hierfür immer noch eine Verschlüsselung zwingend sein. Der Gedanke ist auch übertragbar auf die Anforderung der Integrität der Datei. Die kann, unverschlüsselt und ungeschützt wie sie nun im gedachten Fall im Umschlag liegt, ja genauso gut oder genauso schlecht nachträglich verändert werden wie eben das Papieräquivalent.

Ich weiß zwar nicht, was mit elektronischem Briefpapier gemeint ist, aber wenn @iDSB von “Gesundheitsdaten wie zum Beispiel Röntgenbilder oder medizinische Gutachten” spricht, dann sind wir bei der Verarbeitung besonderer Kategorien personenbezogener Daten, regelmäßig verbunden mit einer Datenschutz-Folgenabschätzung - wegen des hohen Risikos. Das ist der Kontext zu der von mir angesprochenen Verschlüsselung mobiler Datenträger. Die Vorgaben für den Einsatz der TOMs sind eindeutig: “geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten” u.a. unter Berücksichtigung des Stands der Technik. Der Schutzbedarf und folglich die anzuwendende technische Maßnahme richten sich am Risiko aus. Besteht keines, muss man sich keine Gedanken machen. Das war bei der Eingangsfrage aber gerade nicht der Fall. Reden wir aneinander vorbei?

Ich weiß nicht, ob wir aneinander vorbeireden. Ich möchte eigentlich nur ausdrücken, dass ich nicht sehe, wieso es im Sinne von Art. 32 DSGVO notwendig sein sollte, einen Datenträger zu verschlüsseln, den ich ausschließlich dafür verwenden möchte, ihn per Post zu versenden. Ihn also quasi als elektronisches Briefpapier verwendete. Der Inhalt spielt dabei ja keine große Rolle. Es werden ja auch analoge Röntgenaufnahmen per Post verschickt oder auch Arztberichte. Die sind genauso leicht oder schwer manipulierbar, wie eine elektronische Version.

Ich will also der zweiten Ursprungsfrage von iDSB dahingehend zustimmen.