Aufsehenerregendes Datenschutz-Urteil: LG Essen sieht keine Verschlüsselungspflicht beim Versand von USB-Sticks

In Millionen deutscher Büros werden personenbezogene Daten mit großer Sorgfalt behandelt, Mails verschlüsselt und Sicherheitstools genutzt, um den hohen Ansprüchen der DSGVO gerecht zu werden.

Und dann fasst das Landgericht Essen ein Urteil, bei dem sich die Vorkämpfer des Datenschutzes überrascht die Augen reiben: Der Postversand eines USB-Sticks mit sensiblen Daten muss keinem besondern Schutz unterliegen. Die vermutlich folgenreiche richterliche Entscheidung zu Herbstbeginn sorgt nun für lebhafte Diskussionen.

Der Fall:

Ein Ehepaar bemühte sich bei einer Bank um eine Immobilienfinanzierung. Die dafür benötigten Dokumente wurden dem Kreditinstitut per Dropbox bereitgestellt. Weitere personenbezogenen Daten warf das Ehepaar auf einem USB-Stick in den Briefkasten der Bank ein. Zu diesen vertraulichen Informationen gehörten beispielsweise Steuerunterlagen, Ausweise und Angaben zur Vermögenssituation. Aus der Finanzierung wurde nichts. Die Bank schickte den USB-Stick in einem einfachen Briefumschlag an das Paar zurück – wo er nach dessen Angaben aber nicht ankam. Das Ehepaar klagte und forderte vor dem Landgericht (LG) Essen einen immateriellen Schadensersatz in Höhe von 30000 Euro. Mit dem Verlust des Datenträgers sei die Kontrolle über hochsensible Daten verloren gegangen. Der USB-Stick hätte verschlüsselt versendet werden oder zur persönlichen Abholung bereitgelegt werden sollen. Aus Sicht des Ehepaars hatte die Bank einen Datenschutzverstoß begangen.

Das sagt die DSGVO ...

In Art. 32 Abs. 1 EU-DSGVO heißt es unter anderem:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten (...)“

... und das sagt die Bank

Die beklagte Bank als Auftragsverarbeiter hätte also die Daten auf dem fraglichen USB-Stick verschlüsseln müssen und hat, indem sie es nicht tat, gegen ihre Sicherheitspflicht verstoßen? Vor Gericht führte sie an, die Kläger selbst hätten auf die Datenübermittlung per USB-Stick bestanden, obwohl noch andere Verfahren möglich waren und auch genutzt worden sind. Das Ehepaar hätte außerdem seine Daten selbst verschlüsseln müssen. Weil es darauf verzichtete, könne es diesen offenbar keine hohe Bedeutung beigemessen haben. Als es schließlich um die verlangte Rücksendung des Sticks ging, habe das Klägerpaar ebenfalls nicht auf einer Verschlüsselung bestanden.

Das überraschende Urteil

In der Tat sieht das Landgericht einen Datenschutzverstoß, weil der Verlust des USB-Sticks nicht wie in § 33 DSGVO gefordert der Aufsichtsbehörde gemeldet wurde. Nach Art. 34 DSGVO hätten auch die Adressaten informiert werden müssen, insbesondere über die nach dem Datenverlust zu ergreifenden Maßnahmen. Unklar bleibt freilich, wie die beklagte Bank vom Verlorengehen des Sticks erfahren haben sollte, wenn nicht durch die beiden Empfänger. Die jedenfalls meldeten diesen Umstand selbst bei der Bank.

Die Brisanz des Urteils speist sich aber aus einer ganz anderen Quelle: Das Landgericht Essen sieht keinen Grund für eine Verschlüsselung. Täglich werden wichtige Dokumente auf den Postweg verschickt, weshalb sich den Richtern nicht erschließt, warum für USB-Sticks eine Verschlüsselungspflicht bestehen sollte, wenn dies auf Dokumenten-Ausdrucke – beispielsweise Steuerbescheide – nicht zutrifft. Hier sei kein Unterschied zwischen digitalen und analogen Medien in Bezug auf ein Sicherheitsverfahren zu machen. Zudem weisen die Richter darauf hin, dass der Untergang des Sticks, wie es im korrekten Juristendeutsch heißt, auf dem Postweg, nicht im Bankgebäude erfolgte. Und weil die Kläger nach Ansicht des Gerichts nicht hinreichend darlegen konnten, wie ihnen ein erheblicher immaterieller Schaden entstanden sei, wurde auch der Anspruch auf Schadensersatz verneint.

Was folgt als Nächstes?

So mancher Datenschutz-Aktivist interpretiert das Landgerichtsurteil sehr großzügig und folgert, dass man nun auch andere Formen von Datenübermittlung nicht eigens für den Transportweg verschlüsseln müsse. Diese würde auch E-Mails betreffen. Interessant in diesem Zusammenhang ist ein Urteil des Mainzer Verwaltungsgerichts, das die Verschlüsselungspflicht von Berufsgeheimnisträgern beim E-Mail-Versand vom Risiko abhängig macht. (Urteil vom 17.12.2020 (Az. 1 K 778/19.MZ). Prozessbeobachter auf Datenschutzseite bleibt vorerst die Warnung, schon deshalb umfangreich zu verschlüsseln, um sich die Meldepflicht zu ersparen. Andererseits: Überträgt man die Maximalforderung nach Verschlüsselung personenbezogener Daten zum Beispiel auf Arztschreiben oder Steuer- und Rentenbescheide, dürfte deren Übermittlung auf dem Postweg kaum noch praktikabel sein. Hier schließt sich auch die Frage nach einer angemessenen Verpackung an.

Im Ergebnis mahnt das Urteil durchaus zur Vorsicht im Hinblick auf die Form des Versands und die Sicherheit der Kuvertierung. Das Urteil ist in jedem Fall ein wichtiger Schritt bei der Auslotung von Grauzonen und der Lösungsfindung im Sinne eines an der Lebenswirklichkeit orientierten Datenschutzes.