Samstag, 10. Januar 2015

Gesetzliche Verschlüsselungspflicht von Nachrichten

Grundsätzlich ist es eine Frage der IT-Compliance, festzulegen, ob beim Datenaustausch oder der Übermittlung digitaler Nachrichten im Unternehmen und zwischen Unternehmen und Dritten Verschlüsselungsmechanismen anzuwenden sind. Teilweise kann dies sich aus vertraglichen Regelungen zwischen Unternehmen ergeben, z.B. bei Vertraulichkeitsvereinbarungen (NDA). Allerdings kann sich auch bereits aus dem Bundesdatenschutzgesetz die Verpflichtung ergeben, personenbezogene Daten zu verschlüsseln, wobei es auf die einzelnen, datenschutzrelevanten Vorfälle ankommt.




Teilweise gibt es allerdings auch deutlich verpflichtende, gesetzliche Regelungen, die eine Verschlüsselung von personenbezogenen Informationen, unter anderem E-Mails, vorschreiben, so z.B. gemäß § 87a I AO, bei der Übermittlung personenbezogener steuerrelevanter Daten durch die Finanzbehörden und nach § 3 PassDEUV. Eine Verschlüsselungspflicht besteht auch für Arbeitgeber, die Gehaltsdaten ans Finanzamt und gegebenenfalls an die Sozialbehörden melden, § 41 a I EStG, § 1 StDÜV:




§ 1 StDÜV Allgemeines
....
(3) Bei der elektronischen Übermittlung sind dem jeweiligen Stand der Technik entsprechende Verfahren einzusetzen, die die Authentizität, Vertraulichkeit und Integrität der Daten gewährleisten; im Falle der Nutzung allgemein zugänglicher Netze sind Verschlüsselungsverfahren anzuwenden.
....


sowie §§ 23 Buchst. c, 28 Buchst. a SGB IV in Verbindung mit DÜEV:




§ 16 DEÜV Grundsatz
Eine Meldung nach dem Zweiten Abschnitt erfolgt durch Datenübertragung. Es sind geeignete Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit nach dem jeweiligen Stand der Technik vorzusehen. Bei der Nutzung allgemein zugänglicher Netze sind Verschlüsselungsverfahren anzuwenden.


Verschlüsselungsmechanismen sollten allerdings eine Ver- und Entschlüsselung auf Seiten des Versenders und des Empfängers bieten (End-to-End). Dies führt in der praktischen Anwendung zu erheblichen Problemen, da auch der Empfänger entsprechend technisch ausgerüstet sein müsste, um verschlüsselte Nachrichten entschlüsseln zu können, was in der Regel nur bei der unternehmerischen Kommunikation der Fall ist. Die Kommunikation zwischen Unternehmen und Privatpersonen über elektronische Nachrichten wird daher regelmäßig unverschlüsselt durchgeführt, und es dürfte dem Privatkunden auch kaum der Aufwand und das technische Verständnis für die Entschlüsselung von verschlüsselten E-Mail-Nachrichten zu vermitteln sein. Entsprechend sollte dann aber eine ausdrückliche, schriftliche und unternehmerseits dokumentierte Einwilligung des Kunden  in den E-Mail-Schriftverkehr in Klartext vorliegen, auch, wenn die Tatsache beidseitigen unverschlüsselten E-Mail-Schriftverkehrs häufig eine konkludente Einwilligung nahelegen wird, zumal der durchschnittliche Nutzer elektronischer Nachrichten heutzutage um die Unsicherheit der hierin übermittelten Informationen ohne Verschlüsselung weiß.


Christoph Strieder, Rechtsanwalt und Fachanwalt für IT-Recht, Fachanwalt für gewerblichen Rechtsschutz und Fachanwalt für Arbeitsrecht in Solingen und Leverkusen, www.datenschutz.laywer, www.anwalt-strieder.de, www.it-recht-fachanwalt.eu,  www.recht.Computer 


Keine Kommentare:

Kommentar veröffentlichen