Datenschutz-Urteil: USB-Sticks dürfen unverschlüsselt versendet werden

Das Landgericht Essen hat ein Urteil gefällt, bei dem sich die Vorkämpfer des Datenschutzes überrascht die Augen reiben. Der Postversand eines USB-Sticks mit sensiblen Daten muss keinem besondern Schutz unterliegen. Damit haben die Richter zum Jahresausklang für zahlreiche Diskussionen gesorgt.

Der Fall:

Beim Anbahnen einer Finanzierung für eine Immobilie legte ein Paar die von der Bank geforderten Daten in einer vereinbarten Dropbox ab. Weitere personenbezogene Daten warf das Ehepaar auf einem USB-Stick in den Briefkasten der Bank ein. Zu diesen vertraulichen Informationen gehörten beispielsweise Steuerunterlagen, Ausweise und Angaben zur Vermögenssituation. Aus der Finanzierung wurde nichts. Die Bank schickte den USB-Stick in einem einfachen Briefumschlag an das Paar zurück – wo er nach dessen Angaben aber nicht ankam. Das Ehepaar klagte und forderte vor dem Landgericht (LG) Essen einen immateriellen Schadensersatz in Höhe von 30000 Euro. Mit dem Verlust des Datenträgers sei die Kontrolle über hochsensible Daten verlorengegangen. Nach Ansicht der Betroffenen war es nicht rechtens, den Stick unverschlüsselt ins Kuvert zu stecken, alternativ hätte die Bank eine Abholung anbieten müssen. Der Postversand ohne Verschlüsselung hingegen sei ein Verstoß gegen Datenschutzbestimmungen.

Die Sichtweise der Datenschutzgrundverordnung:

In Art. 32 Abs. 1 EU-DSGVO:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten (...)“

Die Ansicht des Bankinstituts lautete:

Die Bank fungierte zwar als Auftragsverarbeiter, führte allerdings vor Gericht folgende Gründe für die vermeintlich lapidare Postsendung an: Die Kläger selbst hätten auf die Datenübermittlung per USB-Stick bestanden, obwohl noch andere Verfahren möglich waren und auch genutzt worden sind. Das Ehepaar hätte außerdem seine Daten selbst verschlüsseln müssen. Weil es darauf verzichtete, könne es diesen offenbar keine hohe Bedeutung beigemessen haben. Schließlich hätten die Klagenden nicht darauf bestanden, dass die Daten verschlüsselt werden, als man sich auf die postalische Zusendung verständigte.

Verblüffendes Urteil

Irgendwie mag dieses Urteil nicht so ganz zu anderen Gerichtsurteilen passen, bei denen schon deutlich weniger schwerwiegende Vorfälle unter strengen Datenschutzgesichtspunkten geahndet worden sind.

In der Tat sieht das Landgericht einen Datenschutzverstoß, weil der Verlust des USB-Sticks nicht wie in § 33 DSGVO gefordert der Aufsichtsbehörde gemeldet wurde. Nach Art. 34 DSGVO hätten auch die Adressaten informiert werden müssen, insbesondere über die nach dem Datenverlust zu ergreifenden Maßnahmen. Unklar bleibt freilich, wie die beklagte Bank vom Verlorengehen des Sticks erfahren haben sollte, wenn nicht durch die beiden Empfänger. Die jedenfalls meldeten diesen Umstand selbst bei der Bank. Die Brisanz des Urteils speist sich aber aus einer ganz anderen Quelle: Das Landgericht Essen sieht keinen Grund für eine Verschlüsselung. Täglich werden wichtige Dokumente auf den Postweg verschickt, weshalb sich den Richtern nicht erschließt, warum für USB-Sticks eine Verschlüsselungspflicht bestehen sollte, wenn dies auf Dokumenten-Ausdrucke – beispielsweise Steuerbescheide – nicht zutrifft. Hier sei kein Unterschied zwischen digitalen und analogen Medien in Bezug auf ein Sicherheitsverfahren zu machen. Zudem weisen die Richter darauf hin, dass der Untergang des Sticks, wie es im korrekten Juristendeutsch heißt, auf dem Postweg, nicht im Bankgebäude erfolgte. Dazukommt, dass die Kläger nach Ansicht des Gerichts den Beweis schuldig blieben, dass ihnen ein großer immaterieller Schaden zugefügt worden sei. Daher bestand nach Gerichtsauffassung auch keine Schadensersatzanspruch.

Verschlüsselung überbewertet?

Die zum Urteil ausgebrochenen Diskussionen werfen beispielsweise die Frage auf, ob „transportierte Daten“ generell verschlüsselt werden müssen. Dies würde auch E-Mails betreffen. Interessant in diesem Zusammenhang ist ein Urteil des Mainzer Verwaltungsgerichts, das die Verschlüsselungspflicht von Berufsgeheimnisträgern beim E-Mail-Versand vom Risiko abhängig macht. (Urteil vom 17.12.2020 (Az. 1 K 778/19.MZ). Prozessbeobachter auf Datenschutzseite bleibt vorerst die Warnung, schon deshalb umfangreich zu verschlüsseln, um sich die Meldepflicht zu ersparen. Andererseits: Überträgt man die Maximalforderung nach Verschlüsselung personenbezogener Daten zum Beispiel auf Arztschreiben oder Steuer- und Rentenbescheide, dürfte deren Übermittlung auf dem Postweg kaum noch praktikabel sein. Eine sich anschließende Frage ist in diesem Zusammenhang die nach einer hinreichend sicheren Transportverpackung – ein Kuvert kann das kaum sein.

Im Ergebnis mahnt das Urteil durchaus zur Vorsicht im Hinblick auf die Form des Versands und die Sicherheit der Kuvertierung. Auch dieses Gerichtsurteil ist wichtig für grundlegende Betrachtungen zum Datenschutz in der Praxis – denn oftmals erweisen sich Teile der Verordnung zwar als nachvollziehbar, aber praktisch kaum umsetzbar.