In einem Verfahren auf einstweiligen Rechtsschutz im Zusammenhang mit dem Kriegswaffenrecht hat das Verwaltungsgericht Frankfurt mit Beschluss vom 15. Juli 2022 – 5 L 1281/22.F entschieden, dass bei der Übermittlung von personenbezogenen Daten im Rahmen der Meldung von Kriegswaffenbeständen zwischen Aufsichtsbehörde und Unternehmen eine Transportverschlüsselung genügt und eine sichere sogenannte Ende-zu-Ende-Verschlüsselung nicht notwendig ist.
Gegenstand des Verfahrens war die Übermittlung von personenbezogenen Daten per E-Mail zwischen der Aufsichtsbehörde und einem Unternehmen im Zusammenhang mit der Meldung von Kriegswaffenbeständen. Das Unternehmen befürchtete, dass im Rahmen der E-Mail-Kommunikation führende Mitarbeiter bekannt würden und Opfer einer Entführung oder eines Raubes werden könnten. Deshalb begehrte es im Verfahren die Feststellung, dass für die E-Mail-Kommunikation anstatt einer Transportverschlüsselung eine Ende-zu-Ende-Verschlüsselung zu verwenden ist.
Der Transport der E-Mail zwischen Absender und Empfänger erfolgt über unterschiedliche Knotenpunkte im Internet. Die Transportverschlüsselung sorgt für eine sichere Kommunikation auf den Übertragungswegen vom Knotenpunkt zu Kontenpunkt. An den Knotenpunkten selbst – zum Beispiel beim E-Mail-Provider des Empfängers – ist die E-Mail jedoch nicht verschlüsselt, sondern liegt im Klartext vor. Kriminelle mit Zugriff auf diese Knotenpunkte können den Inhalt der E-Mail somit zur Kenntnis nehmen. Eine Ende-zu-Ende-Verschlüsselung stellt hingegen eine Verschlüsselung des gesamten Inhalts der E-Mail dar und ist daher auch an den Knotenpunkten geschützt.
Laut dem Verwaltungsgericht Frankfurt ist bei der Übermittlung von personenbezogenen Daten der betroffenen Mitarbeiter keine Ende-zu-Ende-Verschlüsselung notwendig, da es sich insbesondere nicht um besondere Kategorien von personenbezogenen Daten im Sinne von Art. 9 DS-GVO handele. Diese sind abschließend in Art. 9 Abs. 1 DS-GVO geregelt und betreffen unter anderem Daten zur Gesundheit und zur sexuellen Orientierung, aber nicht die Betroffenen des Kriegswaffenrechts. Eine besondere (konkrete) Gefährdung sei vom Antragsteller nicht überzeugend dargelegt worden, und auch die Vorgaben zum Kriegswaffenrecht sähen keine strengeren Vorgaben vor. Die vorliegende Entscheidung ist im einstweiligen Rechtsschutzverfahren ergangen, bei dem keine abschließende und umfangreiche Überprüfung stattfindet. Daher bleibt abzuwarten, ob im Hauptverfahren ähnlich entschieden wird.
Auch im Sozial- und Gesundheitsbereich ist die Ende-zu-Ende-Verschlüsselung noch längst nicht Standard. Teilweise werden sogar noch Telefaxe genutzt, die üblicherweise nicht verschlüsselt sind. Künftig sollen aber insbesondere über den geplanten Kommunikationsdienst KIM (Kommunikation im Medizinwesen) Nachrichten und Dokumente über die Telematik-Infrastruktur Ende-zu-Ende-verschlüsselt werden. KIM wird von der Gesellschaft für Telematik aufgrund eines gesetzlichen Auftrags aus dem SGB V betrieben und soll für alle Akteure im Gesundheitswesen verpflichtend werden.
Praxis-Hinweis
Auch vier Jahre nach der Einführung der DS-GVO und der korrespondierenden kirchenrechtlichen Datenschutzvorgaben gibt es noch keinen übergreifenden Verschlüsselungsstandard. Häufig akzeptieren die Empfänger im Sozial- und Gesundheitswesen, unter anderem Arztpraxen und Behörden, eine verschlüsselte Kommunikation nicht. Die Transportverschlüsselung von E-Mails bewirkt ein Minimum an Sicherheit, erfolgt jedoch nicht automatisch, sondern muss aktiviert werden. Wenn Daten im Sinne von Art. 9 Abs. 1 DS-GVO bzw. Daten der Schutzklasse III im Sinne von § 13 KDG-DVO/KDR-OG-DVO – insbesondere Gesundheitsdaten – übertragen werden, empfehlen wir dringend, eine Ende-zu-Ende-Verschlüsselung zu nutzen und Faxe lediglich in dokumentierten Notfällen zu verwenden. Mit regelmäßigen Empfängern sollten Sie in den Dialog treten und eine sinnvolle Vorgehensweise – wohlmöglich auch eine manuelle Verschlüsselung von ZIP-Archiven oder einen Passwortschutz bei Office-Dokumenten – vereinbaren.
