Zum Inhalt springen Zur Navigation springen
SG Hamburg: Einwilligung in unverschlüsselte E-Mails möglich

SG Hamburg: Einwilligung in unverschlüsselte E-Mails möglich

Artikel von Dr. Datenschutz·31. August 2023

Das Sozialgericht Hamburg hat geurteilt, dass ein Leistungsempfänger zu seinen Gunsten geltende technische und organisatorische (TOMs) Maßnahmen der Behörde wirksam abbedingen konnte. Die Sozialbehörde durfte die von ihm geforderte Form der Datenübermittlung nicht mit einem Verweis auf datenschutzrechtliche Regelungen verweigern.

Kläger möchte seine Dokumente digital und nicht in Papierform

Der Kläger, ein sehbehinderter Leistungsempfänger nach dem Zweiten Buch Sozialgesetzbuch (SGB II), bat das für ihn zuständige Jobcenter um Übermittlung aller ihn betreffenden Dokumente im .docx bzw. .pdf Format per E-Mail. Aufgrund seiner Behinderung sei es ihm nicht möglich, die Unterlagen in Papierform zu lesen, er sei auf die Nutzung einer Vorlesesoftware angewiesen, welche nur mit Dateien dieses Formats bespielt werden könne. Auf das Erfordernis einer E-Mail Verschlüsselung verwiesen, erwiderte der Betroffene, dass ihm die technischen Möglichkeiten einer Verschlüsselung nicht zur Verfügung stünden. Die Einrichtung eines verschlüsselten E-Mail-Versand sei ihm aufgrund seiner Blindheit nicht möglich. Des Weiteren teilte er mit, dass er mit einer unverschlüsselten Übersendung einverstanden sei. Das Jobcenter verweigerte jedoch standhaft die Übersendung der Dokumente in gewünschter Form.

„Eine abschließende und für beide Seiten zufriedenstellende Lösung konnten wir leider nicht herbeiführen. Sie behalten sich den Rechtsweg vor. Ich habe meine Vorgesetzten über das Ergebnis unseres Gesprächs informiert.“

Das insofern fruchtlose Hin und Her zwischen Bürger und Behörde kulminierte schließlich in einer Klage vor dem Sozialgericht Hamburg. Das Gericht entschied mit Urteil vom 30. Juni 2023 (Az. S 39 AS 517/23).

Urteil: Dokumente sind unverschlüsselt per E-Mail zu versenden

Das Gericht verurteilte die Behörde, dem Kläger sämtliche Unterlagen, die sein Sozialrechtsverhältnis betreffen, als PDF-Dokument per unverschlüsselte E-Mail an ihn zu versenden.

Anspruch aus Behindertengleichstellungsgesetz

Der Anspruch wurde sowohl auf die bundesgesetzlichen wie hamburgischen Regelungen zur Behindertengleichstellung gestützt. Die ausführlichen Erwägungen zur Abgrenzung des anwendbaren Landes- oder Bundesrechts bei gemeinsamen Einrichtungen wie dem Jobcenter mögen hier dahingestellt bleiben. Ihre Relevanz aus datenschutzrechtlicher Sicht ist allenfalls zweitrangig, zudem sind die Regelungen jeweils beinahe deckungsgleich. Beide Vorschriften räumen sehbehinderten Berechtigten nämlich Ansprüche auf Berücksichtigung ihrer Behinderung in der Kommunikation mit Behörden ein.

§ 9 Abs. 2 HmbBGG: „Blinde und sehbehinderte Menschen können von den Trägern öffentlicher Gewalt zur Wahrnehmung eigener Rechte im Verwaltungsverfahren nach Maßgabe der Rechtsverordnung nach Satz 2 insbesondere verlangen, dass ihnen Bescheide, öffentlich-rechtliche Verträge und Formulare ohne zusätzliche Kosten auch in einer für sie wahrnehmbaren Form zugänglich gemacht werden. Der Senat wird ermächtigt, durch Rechtsverordnung zu bestimmen, unter welchen Voraussetzungen und in welcher Art und Weise die in Satz 1 genannten Dokumente blinden und sehbehinderten Menschen zugänglich gemacht werden.“

§ 10 Abs. 1 Satz 2 und Abs. 2 BGG: „Blinde und sehbehinderte Menschen können zur Wahrnehmung eigener Rechte im Verwaltungsverfahren nach Maßgabe der Rechtsverordnung nach Absatz 2 insbesondere verlangen, dass ihnen Bescheide, öffentlich-rechtliche Verträge und Vordrucke ohne zusätzliche Kosten auch in einer für sie wahrnehmbaren Form zugänglich gemacht werden.

Das Bundesministerium für Arbeit und Soziales bestimmt durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, bei welchen Anlässen und in welcher Art und Weise die in Absatz 1 genannten Dokumente blinden und sehbehinderten Menschen zugänglich gemacht werden.“

Gewünschte Übermittlungsform nicht ohne Weiteres zurückweisbar

Sowohl die bundesgesetzliche wie die Hamburgische Regelung enthält Zurückweisungsmöglichkeiten, wonach Behörden die ausgewählte Übermittlungsart in begrenzten Fällen ablehnen dürfen.

§ 5 Abs. 2 Sätze 1 bis 3 VBD: „Der Träger öffentlicher Gewalt kann die ausgewählte Form, in der Dokumente zugänglich gemacht werden sollen, zurückweisen, wenn sie ungeeignet ist.“

§ 5 Abs. 1, Abs. 2 Sätze 1 bis 3 HmbBDVO: „Die Behörde oder sonstige Einrichtung kann die ausgewählte Form, in der Dokumente zugänglich gemacht werden sollen, zurückweisen, wenn sie ungeeignet ist oder in sonstiger Weise den Voraussetzungen des Absatzes 1 nicht entspricht.“

An genau dieser Stelle kamen die datenschutzrechtlichen Erwägungen zu tragen. Das Jobcenter verweigerte nämlich die unverschlüsselte Übermittlung der Unterlagen mit Verweis auf Vorgaben des Datenschutzrechts und die daraus erwachsende Pflicht zur Einrichtung entsprechender TOMs, in diesem Fall der Verschlüsselung des E-Mailverkehrs. Nach Ansicht des Gerichts griffen eben diese Erwägungen nicht durch.

Einwilligung

Demnach war die ursprüngliche Anfrage des Klägers an die Behörde, ihm unverschlüsselte E-Mails zukommen zu lassen als wirksame Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO in die entsprechende Übersendung zu werten.

Abwägungen zur Sicherheit der Verarbeitung

Ebenso wenig waren nach dem Urteil des Sozialgerichts die Bedenken der Behörde in Bezug auf die Erwägungen zur Gewährleistung der Sicherheit der Datenverarbeitung gemäß Art. 32 DSGVO durchgreifend. Zum einen war eine entsprechende Abwägung durch die Behörde anscheinend nicht erkennbar vorgenommen worden. Nach Art. 32 DSGVO sind nämlich bei der Beurteilung des angemessenen Schutzniveaus die Risiken der Verarbeitung für die Rechte und Freiheiten des Betroffenen mit der Angemessenheit der konkreten Maßnahmen in Bezug zu setzen. Als Besonderheit in diesem Fall bestand aber nicht nur ein Risiko, dass das Grundrecht des Klägers auf informationelle Selbstbestimmung verletzt wird, sondern dem gegenüber bestand auch das Risiko, dass sein subjektives Abwehrrecht aus dem Benachteiligungsverbot verletzt wird. Das Gericht formulierte hierzu prägnant, dass der Art. 32 DSGVO keine Datensicherheit um jeden Preis verlange. Insbesondere vor dem Hintergrund der Einwilligung des Betroffenen war demnach nicht erkennbar, aus welchem Grund datenschutzrechtliche Einwände den Anspruch des Klägers auf Gleichbehandlung überwiegen sollten. Vielmehr stünde die Verweigerung der Behörde im Widerspruch zum Verfassungsrecht.

„Das pauschalierte Vorbringen des Beklagten es sei aufgrund von „Datenschutz“ und „Weisungen“ nicht möglich, dem Kläger per unverschlüsselter E-Mail seine Bescheide und Formulare barrierefrei zu übersenden, zeigt vielmehr, dass der Beklagte seinen verfassungsrechtlichen Schutzauftrag aus Art. 3 Abs. 2 Satz 2 GG in besonderem Maße verletzt.“

Keine Übermittlung im Sinne des § 67b Abs. 1 Satz 1 SGB X

Schließlich handelte es sich nach Ansicht des Gerichtes bei der Übersendung der Daten an den Betroffenen nicht um eine Übermittlung der Daten im Sinne der datenschutzrechtlichen Regelungen des Sozialrechts. Denn bei dem Betroffenen handelt es sich schon nicht um einen Dritten im Sinne des Gesetzes. Etwaige Vorgaben und Einschränkungen der Übermittlung nach diesen Vorschriften greifen demnach ebenfalls nicht durch.

Datenschutz ist kein Selbstzweck

Das Sozialgericht befasste sich im Rahmen dieses Urteils jedenfalls indirekt mit der Abdingbarkeit von technischen und organisatorischen Maßnahmen. Wir berichteten bereits zu einem entsprechenden Vermerk des Hamburgischen Datenschutzbeauftragten. Dieser räumte darin im Einzelfall die Möglichkeit ein, auf Wunsch von Betroffenen von den Vorgaben des Art. 32 DSGVO abzuweichen. Auch das OLG Düsseldorf urteilte am Rande einer Entscheidung (Az.: 16 U 275/20) dahingehend. Demgegenüber steht immer noch eine Entscheidung der österreichische Datenschutzaufsicht. Diese beschäftigte sich auch mit der Möglichkeit, in den unverschlüsselten Versand von Gesundheitsdaten einzuwilligen und verneinte dies. Die Rechtsfrage ist damit noch nicht abschließend geklärt, eine Tendenz ist aber erkennbar.

Den vorliegend Beteiligten soll ausdrücklich nichts unterstellt werden. Oft genug sind die Möglichkeiten von Behördenvertretern von internen Weisungen abzuweichen nur stark eingeschränkt. Der Rechtsweg und eine damit verbindliche Entscheidung eines unabhängigen Gerichtes scheinen in derartigen Konfliktlagen aus Behördensicht vorzugswürdig. Allerdings findet man sich als Betroffener oftmals in Situationen wieder, in denen der Datenschutz jedenfalls augenscheinlich als Grund für die Verweigerung bestimmter Mitwirkungshandlungen vorgeschoben wird. Dabei ist stets zu bedenken, dass der Datenschutz eben kein Selbstzweck ist und primär dem Schutz informationeller Selbstbestimmung dient. Selbstbestimmung bedeutet allerdings auch, dass Betroffene über das Ausmaß des Schutzes und den Umgang mit ihren Daten eben selbst bestimmen können. Entsprechende Mitwirkung gegenüber der Person mit Verweis auf den Schutz ihrer eigenen Rechte zu verweigern, erscheint in derartigen Zusammenhängen da schon beinahe zynisch.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.