Seit Inkrafttreten der DSGVO gb es viel Unsicherheit, wenn es um die Frage der sicheren Kommunikation personenbezogener Daten geht.
Die deutschen Datenschutzbehörden sind der Ansicht, dass die Übersendung solcher Daten per E-Mail nur dann zulässig ist, wenn die Kommunikation vollständig verschlüsselt stattfinden. Davon sei auch nicht abzuweichen, wenn die an der Kommunikation Beteiligten einer unverschlüsselten Übermittlung der Daten zugestimmt hätten. Denn, so die Behörden, die Regelungen der DSGVO sind nicht disponibel. Dies bedeutet, dass der beiderseitige Wille der Beteiligten, auf die Verschlüsselung zugereichten, nicht ausreichend sei um die DSGVO außer Kraft zu setzen. Die Regelung, auf welche sich die Behörden dabei beziehen, ist übrigens Artikel 32 Abs. 1 Buchstabe a DSGVO.
Auch das gute alte Fax wird nicht als ausreichend sicher angesehen. Dies liegt vor allem daran, dass es sich heute bei den sendenden Geräten um unterschiedlichste Geräte mit Faxfunktion oder um Fax-Server handelt. Sie wandeln eingehende Faxe in eine E-Mail um und leiten sie an E-Mail-Postfächser weiter. Das „Fax“ könnte aber auch ein Fax-Dienst sein: ein virtueller Server, der Eingangsfaxe ebenfalls in E-Mails umwandelt und diese weiterleitet. Oft ist den Beteiligten gar nicht bekannt, welche Technik hinter diesen Faxen steht und wo diese ggf. zwischengespeichert werden. Aufgrund dessen ist das Fax in technischer Hinsicht ebenso unsicher, wie eine unverschlüsselte E-Mail.
Viele Unternehmen, Behörden und Versicherungen setzen daher – gerade wenn es um personenbezogene Daten geht – wieder auf die Briefpost. Aber auch hier ist Obacht geboten. Wie Das Österreichische Oberverwaltungsgericht in seinem Urteil vom 18.10.2023 mit dem Aktenzeichen W108 2257611-1 feststellte, dass die Verwendung eines Fensterumschlages gegen die DSGVO verstößt, wenn darin neben der Adresse und dem Empfängernamen auch die Betreffzeile zu sehen sei.
Wenn Sie also Briefe versenden, dann achten Sie bitte stets darauf, dass diese so gefaltet sind, dass die Betreffzeile nicht zu sehen ist und damit keine personenbezogenen Daten an Fremde preisgegeben werden.