Compliance-Pflicht E-Mail-Verschlüsselung?
Rechtsanwalt und Fachanwalt für IT-Recht Dr. Jens Bücking, Stuttgart
Die haftungsrechtlichen Verantwortlichkeiten von Sonderbeauftragten wie dem Compliance-Officer, dem Sicherheitsbeauftragten – und (umstritten) – ggf. dem Datenschutzbeauftragten wurden bereits an anderer Stelle erörtert.
Die damit korrespondierenden strengen Überwachungs- und Handlungspflichten dürften sich nochmals verschärfen durch ein Urteil des Bundesgerichtshofs aus 2013 zur Unzumutbarkeit einer Übermittlung unverschlüsselter E-Mails als Träger von Informationen, die dem Geschäfts-/Betriebsgeheimnis unterfallen können.
In der instanzgerichtlichen Rechtsprechung ist seit langem anerkannt, dass eine zuverlässige IT-Sicherheit und das dazugehörige Risikomanagement in Bezug auf die Unternehmensdaten im Zeitalter digitaler Datenverarbeitungen zu den unternehmerischen Selbstverständlichkeiten gehört.
Nun hat auch das höchste deutsche Zivilgericht in der Gewährleistung der Sicherheit der Kommunikation eine – im Ergebnis damit Compliance-relevante – Sorgfaltspflicht gesehen. Aus dem Urteil dürfte zu folgern sein, dass geschäftliche Interna in der Regel nicht unverschlüsselt per E-Mail versandt werden dürfen, da dem Unternehmen bzw. seinen Verantwortlichen, die solche Daten in Kenntnis des Gefährdungspotenzials ungesichert – beispielsweise über das Internet – verschicken (lassen), der Vorwurf des strafbaren Geheimnisverrats zur Last liegen könnte.
Allgemein lässt sich die Tendenz der Gerichte und Verwaltungsbehörden erkennen, eine Vorlage von Daten, auch wenn diese bereits vor langer Zeit in großen, ggf. externen oder auch internationalen (Backup-) Speichen abgelegt wurden und entsprechend schwer verfügbar gemacht werden können, für ein laufendes Verfahren in einer beweisfesten Form zu verlangen. Dies bedingt ggf. den Einsatz zeitgemäßer IT-Systeme, die starke Indizien für Beweissicherheit – und damit letztlich Rechtssicherheit – liefern.
In technischer Hinsicht angemahnt werden insbesondere zeitnahe Backups, revisionssichere Archivierungsprozesse, Firewalls, Filter- und Überwachungssysteme, eine Verschlüsselung jedenfalls bei besonders sensitiven oder sonst geheimhaltungspflichtigen Daten sowie eben auch ein Kontinuitätsmanagement, das ein Wiederanlaufen nach Wiederherstellung von System und Daten im Schadensfall gewährleistet. Organisatorisch sind geeignete IT-Unternehmens- und Datenschutzrichtlinien und entsprechende Schulungen der Mitarbeiter erforderlich.
Auch die in zunehmendem Maße versandten Stichprobenerhebungen der Datenschutzaufsichtsbehörden knüpfen in ihrem Fragekatalog folgerichtig bei der Bewertung des Schutzniveaus in Bezug auf die personenbezogenen Daten von Kunden und Mitarbeitern daran an, ob eine Verschlüsselung der entsprechenden E-Mailkorrespondenz erfolgt. So fragt beispielsweise das Bayerische Landesamt für Datenschutzaufsicht nach den allgemeinen technisch-organisatorischen Maßnahmen zur Sicherstellung der Datensicherheit, nach einem Konzept über die Gesamtheit an Sicherheitsmaßnahmen und – in der Unterrubrik „Einzelpunkte, die in der Praxis oft nicht beachtet werden“ – danach, ob E-Mails mit personenbezogenen Daten nur verschlüsselt versendet werden, ob das Unternehmen für die Aufarbeitung einer eventuellen Datenpanne nach § 42 a BDSG vorbereitet ist und ob es dazu einen Notfallpan gibt..
Und auch der fahrlässige Umgang mit Mailadressdaten wird inzwischen mit massiven Bußgeldern geahndet, jüngst etwa die Zusendung von Informationen, die unmittelbar nur einen kleinen Kreis von Adressaten betreffen, nachrichtlich im offenen – also personalisiert erkennbaren – Cc der Mail an einen weiteren potenziell interessierten Empfängerkreis.