Sozialdatenschutz - Datenschutz im Jobcenter - Aktenversand als pdf- Datei an Prozessbevollmächtigte.

Sozialdatenschutz - Datenschutz im Jobcenter

Ist es datenschutzrechtlich erlaubt, Schriftstücke/Akten als Pdf- Datei mit einfacher E-Mail an die Prozessbevollmächtigten zu übersenden?

Klare Antwort Nein. Aber warum eigentlich?

Schriftstücke und Akten, die personenbezogene Daten beinhalten, unterliegen was den Vorgang der Übermittlung anbelangt den Regelungen der DSGVO. Die Integrität und auch die Vertraulichkeit der Daten sind zu wahren. Es sind solche Maßnahmen, die dem Risiko der übertragenen Nachrichten, entsprechen, zu wählen, damit die datenschutzrechtlichen Grundsätze gewährleistet werden können. In dieser Beurteilung müssen Art, Umfang, Umstände und Zwecke ihrer Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen in einzelnen Fall berücksichtigt werden.

Der Verantwortliche der personenbezogenen Daten muss also die Schutzmaßnahme auswählen, die unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlicheit und Schwere des Risikos für die Recht und Freiheiten natürlicher Personen bedeutet. Das kann in Form einer Verschlüsselung, die, auch wenn die DSGVO diese als Beispiel für eine Schutzmaßnahme explizit nennt, nicht verpflichtend ist, aber auch anders erfolgen. Verschlüsselungen sind also als sinnvoller Schutz zu qualifizieren, es sind sowohl Ende-zu-Ende-Verschlüsselungen als auch Transportverschlüsselungen möglich, durch sie wird für ihren jeweiligen Anwendungszweck Risiken für die Vertraulichkeit der übertragenen Nachrichten gemindert. Es sollten also beide Verfahren in der Abwägung der notwendigen Maßnahmen berücksichtigt werden.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit dies bereits schon sein Tätigkeitsbericht aus 2019 klargestellt und entsprechend auch gerügt.
 (BfDI, 28. TB aus 2019 unter Punkt 8.3 – Unverschlüsselter Email-Versand? )

„Einwilligungen betroffener Personen zum unverschlüsselten E-Mail-Versand können Verantwortliche nicht von ihrer Pflicht entbinden, geeignete technische und organisatorische Maßnahmen zum Schutz pD vor unbefugter Offenbarung zu treffen, […]

Zwar sieht die DSGVO als mögliche Rechtsgrundlage einer datenschutzkonformen Datenverarbeitung eine Einwilligung vor. Diese kann sich nach Art. 6 Abs. 1 DSGVO aber nur auf die Zulässigkeit der Verarbeitung personenbezogener Daten, nicht hingegen auf die gesetzliche Verpflichtung zur Einhaltung der notwendigen technischen und organisatorischen Maßnahmen durch Verantwortliche beziehen. Es wäre ein Verstoß gegen das Rechtsstaatsgebot des Art. 20 Abs. 3 GG, wenn öffentlichen Stellen erlaubt würde, auf die Einhaltung gesetzlicher Verpflichtungen aufgrund einer „freiwilligen“ Entscheidung des Betroffenen zu verzichten.“ 

Verschlüsselung ist natürlich eine Variante. 

Alternativ könnte man auch darüber nachdenken, Unterlagen und Akten in einem eigenen Downloadbereich vorzuhalten und den berechtigten Personen, hier den Prozessbevollmächtigten, einen temporären Zugang zu gewähren. Die Einhaltung der IT-Sicherheit des Clouddienstes versteht sich von selbst.

Henning Koch ist am Standort Marburg Rechtsanwalt, Fachanwalt für IT-Recht, Fachanwalt für Arbeitsrecht und zertifizierter (zugleich auch behördlicher) Datenschutzbeauftragter  in der Wirtschaftskanzlei Ruhmann Peters Altmeyer PartG mbB sowie Geschäftsführer der RPA Datenschutz + Compliance GmbH.