BfDI: Tätigkeitsbericht zum Datenschutz 2019
Heute hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) seinen Tätigkeitsbericht zum Datenschutz für das Jahr 2019 vorgelegt. Der Bericht kann hier heruntergeladen werden:
Da der BfDI aktuell (noch) nicht für die Kontrolle der Wirtschaft zuständig ist, ist der Berichtsumfang meist überschaubar. So auch in diesem Bericht, der insgesamt gut 90 Seiten lang ist. Inhalte gibt es zu folgenden Kapiteln:
- Einleitung
- Empfehlungen
- Gremienarbeit
- Schwerpunktthemen
- Gesetzgebung
- Sicherheitsbereich
- Bundestag
- Weitere Einzelthemen
- BfDI intern
- BfDI als Zentrale Anlaufstelle (ZASt)
Einige Punkte des Tätigkeitsberichts sind mir aufgefallen.
Verschlüsselung von E-Mails
So gibt es Ausführungen zur Erforderlichkeit der Verschlüsselung von E-Mails. Auch der BfDI hält es wie andere Aufsichtsbehörde nicht für zulässig, dass Betroffene in die nichtverschlüsselte Kommunikation einwilligen können.
Ich halte diese Auffassung für rechtlich falsch, denn unverschlüsselte E-Mails haben nichts mit „Zwergenweitwurf“ oder mit Einwilligungen in „Peep Shows“ i.S.d. der entsprechenden verwaltungsgerichtlichen Rechtsprechung zu tun. Denn da ging es um die Menschenwürde. Ich halte die Auffassung des BfDI, dass man in das Unterlassen von Schutzpflichten nicht einwilligen kann, aber zumindest für vertretbar.
Der BfDI meint, dass sich die Pflicht zu einer Verschlüsselung von E-Mails sich aus Art. 5 Abs. 1 lit. f) DSGVO ergeben könne. Richtigerweise sieht man dann auch ein, dass dabei eine Risikoabwägung vorzunehmen ist.
In den gesamten Ausführungen wird dann aber nicht wirklich thematisiert, dass ein Großteil der E-Mails heute schon über TLS transportverschlüsselt werden. Wir haben das mal bei einer Reihe von E-Mail-Servern getestet und nicht in einem einzigen Fall eine Kommunikation gehabt, die nicht TLS-verschlüsselt war.
Im Jahr 2020 also noch pauschal zu behaupten, dass E-Mails den Charakter einer Postkarte haben, trifft es nicht ganz. Passender wäre der Vergleich, dass der Briefumschlag bei einem kleinen Prozentteil der Briefe nicht verklebt ist.
Google Analytics
Im Kapitel 4.5.2 geht es im Tätigkeitsbericht um das Thema „Tracking und Cookies“. Hier ist eine interessante Umkehrschluss-Argumentation aus den Ausführungen des BfDG zur Möglichkeit des Einsatzes von Google Analytics ohne eine Einwilligung möglich.
Allerdings glaube ich, dass die Behörde das wahrscheinlich nur fahrlässig unglücklich formuliert hat. Wörtlich heißt es dort:
Wer eine Internetseite betreibt, möchte z. B. wissen, wie viele Besucher es gab und welche Seiten angeklickt wurden. Dies ist in vielen Fällen legitim und nachvollziehbar. Problematisch ist allerdings, wenn Drittanbieter eingebunden werden und diese ebenfalls Daten über die Nutzer erhalten. Verarbeitet der Drittanbieter diese Daten zu eigenen Zwecken weiter (wie z. B. Google Analytics in der Standardkonfiguration), benötigt er dafür die Einwilligung des Nutzers.
Im Umkehrschluss könnte das bedeuten, dass bei einem Einsatz von Google Analytics in der Variante, in der Google sich nicht die Verarbeitung der Daten für eigene Zwecke vorbehält (d.h. insbesondere ohne die Variante „Google products & services“ bzw. „Google-Produkte und -Dienste“), ein Einsatz von Google Analytics nach Ansicht des BfDI ohne Einwilligung zulässig wäre.
Bei genauer Lektüre der Passage denke ich aber nicht, dass der BfDI das so gemeint hat. Und es bleibt ja noch das Problem der Verwendung von Cookies durch Google Analytics und in der im Zitat erwähnten Einwilligung geht es um die Einwilligung für den Drittanbieter (also z.B. Google).
Ich würde jedenfalls nicht darauf setzen, dass der BfDI das so gemeint hat. Eine klarere Formulierung wäre hier aber wünschenswert gewesen.