Urteil : Betroffene Person kann in unverschlüsselten Erhalt einer E-Mail einwilligen : aus der RDV 6/2023, Seite 398-400
(SG Hamburg, Urteil vom 10. Juni 2023 – S 39 AS 517/23 –)
- Ein Blinder hat nach § 10 Abs. 1 S. 2, Abs. 2 BGG (Behindertengleichstellungsgesetz) i.V.m. §§ 3 Abs. 1, 5 Abs. 2 S. 1 bis 3 der Verordnung über barrierefreie Dokumente in der Bundesverwaltung (VBD) Anspruch auf Übersendung der vom Grundsicherungsträger ihm gegenüber erlassenen Bescheide sowie entsprechender Formulare und Vordrucke in barrierefreier Form, d.h. als PDF Dokumente durch unverschlüsselte E-Mail.
(Amtlicher Leitsatz)
- Das Datenschutzrecht verbietet nicht pauschal die unverschlüsselte Übermittlung von Sozialdaten. Art. 32 DS-GVO verlangt keine Datensicherheit um jeden Preis. Vielmehr muss eine Abwägung zwischen Schutzzweck und Aufwand vorgenommen werden. Zur Bestimmung der geeigneten und angemessenen Maßnahmen ist die Verhältnismäßigkeit zwischen folgenden Aspekten herzustellen: dem Stand der Technik, also das technisch Mögliche und Erprobte, den Kosten, die Art und Weise der Verarbeitung und den Risiken für die Rechte und Freiheiten der natürlichen Person, also der mögliche Schaden.
- Mögliche Schäden können u.a. die Verletzung des Grundrechts des E-Mail-Empfängers und Betroffenen auf informationelle Selbstbestimmung nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG sein und die Verletzung des subjektiven Abwehrrechts aus dem Benachteiligungsverbot nach Art. 3 Abs. 3 S. 2 GG.
(Nicht amtliche Leitsätze)
Aus den Gründen:
Die Klage, mit welcher der Kläger begehrt, den Beklagten zu verurteilen, ihm alle ab dem 11. Dezember 2019 gegenüber erlassenen Bescheide sowie alle ihm bekannt zu gebenden Bescheide und alle das beiderseitige Sozialrechtsverhältnis betreffenden Formulare (z.B. Weiterbewilligungsanträge sowie alle Vordrucke, die im Weiteren vom Kläger auszufüllen sind) zeitgleich mit der Versendung per Post auch in barrierefreier Form, d.h. als PDF-Dokument durch unverschlüsselte E-Mail, zur Verfügung zu stellen, hat Erfolg.
[…]
a) Die vom Beklagten vorgetragenen datenschutzrechtlichen Bedenken gegen die Übersendung der Bescheide und Formulare als PDF-Dokument mit unverschlüsselter E-Mail greifen nicht durch. Denn der Kläger hat in die Verarbeitung eingewilligt (dazu unter aa)), eine Abwägung nach Art. 32 Abs. 1 DS-GVO steht einer Übersendung nicht entgegen (dazu unter bb)) und eine Übersendung an den Kläger selbst stellt schon keine Übermittlung i.S.d. §§ 67 b ff. SGB X (dazu unter cc)).
aa) Gemäß Art. 6 Abs. 1 lit. a) der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (DS-GVO) ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat. Diese Einwilligung hat der Kläger bereits mit der Anfrage einer Übersendung mit unverschlüsselter E-Mail gegeben.
bb) Gemäß Art. 32 Abs. 1 DS-GVO treffen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem die Verschlüsselung personenbezogener Daten ein (lit. a) Alt. 2). Gemäß Art. 32 Abs. 2 DS-GVO sind bei der Beurteilung des angemessenen Schutzniveaus besonders die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden. Dabei wird deutlich, der vom Beklagten als datenschutzrechtliches Hindernis in der mündlichen Verhandlung vorgebrachte Art. 32 DS-GVO (vgl. Bl. 111 d. PA) verlangt keine Datensicherheit um jeden Preis. Vielmehr muss eine Abwägung zwischen Schutzzweck und Aufwand vorgenommen werden (vgl. Schaffland/Holthaus in: Schaffland/Wiltfang, DS-GVO/BDSG-Kommentar, 7. Erg.-Lf. 2023, Art. 32 DS-GVO, Rn. 3). Zur Bestimmung der geeigneten und angemessenen Maßnahmen ist die Verhältnismäßigkeit zwischen folgenden Aspekten herzustellen: dem Stand der Technik, also das technisch Mögliche und Erprobte, den Kosten, die Art und Weise der Verarbeitung und den Risiken für die Rechte und Freiheiten der natürlichen Person, also der mögliche Schaden (vgl. Schaffland/Holthaus in: Schaffland/Wiltfang, DS-GVO/ BDSG-Kommentar, 7. Erg.-Lf. 2023, Art. 32 DS-GVO, Rn. 3). Vorliegend ist der (mögliche) Schaden, zum einen die Verletzung des Grundrechts des Klägers auf informationelle Selbstbestimmung nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG und zum anderen die Verletzung seines subjektiven Abwehrrechts aus dem Benachteiligungsverbot nach Art. 3 Abs. 3 S. 2 GG (vgl. dazu etwa: BVerfG, Beschluss v. 16.12.2021, 1 BvR 1541/20, juris Rn. 93, 96).
Zunächst hat der Beklagte nicht nachgewiesen, eine etwaige Abwägung nach Art. 32 Abs. 1 DS-GVO überhaupt vorgenommen zu haben. Im Weiteren verletzt der Beklagte – ohne sich damit angemessen auseinanderzusetzen – das verfassungsrechtlich verankerte und sowohl landes- als auch bundesrechtlich ausgeformte Benachteiligungsverbot von Menschen mit Behinderung in erheblicher Weise. Es leuchtet dem Gericht nicht ein – auch weil der Beklagte etwaige technische Nachweise innerhalb der gesamten Verfahrensdauer von einem Jahr nicht vorgebracht hat –, aus welchem Grund der Schutz der Daten des Klägers – in dessen unverschlüsselte Übermittlung er zur Durchsetzung seines Rechtes auf Gleichbehandlung längst eingewilligt hat (s.o.) – dem Recht übergeordnet werden soll, nicht benachteiligt zu werden. Das pauschalierte Vorbringen des Beklagten es sei aufgrund von „Datenschutz“ und „Weisungen“ nicht möglich, dem Kläger per unverschlüsselter E-Mail seine Bescheide und Formulare barrierefrei zu übersenden, zeigt vielmehr, dass der Beklagte seinen verfassungsrechtlichen Schutzauftrag aus Art. 3 Abs. 2 S. 2 GG (vgl. dazu etwa: BVerfG, Beschluss v. 16.12.2021, 1 BvR 1541/20, juris Rn. 96) in besonderem Maße verletzt. Dies gilt insbesondere vor dem Hintergrund, dass etwa die D. (und auch alle anderen Behörden Hamburgs) ohne Probleme barrierefrei mit dem Kläger kommunizieren (vgl. Schreiben der D. v. 26.10.2021 (Dok. 78 d. elektr. VA)).
cc) Gemäß § 67 b Abs. 1 S. 1 SGB X ist die Übermittlung von Sozialdaten durch die in § 35 des Sozialgesetzbuches, Erstes Buch (SGB I), genannten Stellen zulässig, soweit die dem § 67 b SGB X nachfolgenden Vorschriften oder eine andere Rechtsvorschrift im SGB X es erlauben oder anordnen. Nach § 69 Abs. 1 Nr. 1 Var. 1 SGB X ist eine Übermittlung von Sozialdaten zulässig, soweit sie für die Erfüllung der Zwecke, für die sie erhoben worden sind, erforderlich ist.
Bei einer Übersendung von Bescheiden und Formularen an den Kläger selbst handelt es sich jedoch schon nicht um eine „Übermittlung“ von Sozialdaten i.S.d. SGB X. Denn der Kläger ist im Hinblick auf seine eigenen personenbezogenen Daten schon nicht „Dritter“ (vgl. § 67 d Abs. 1 S. 1 SGB X; Dritter ist auch nicht der Prozessbevollmächtigte: vgl. Landessozialgericht Niedersachsen-Bremen, Beschluss v. 23.01.2012, L 11 AS 500/11 B, juris Rn. 14; Fromm in: Schlegel/Voelzke, jurisPKSGB X, 2. Aufl., § 69 SGB X, (Stand: 2. Mai 2018), Rn. 22).
b) Auch die weiteren Ausführungen des Beklagten, aus welchem Grund es bei der Übersendung von Bescheiden und Formularen an den Kläger einer E-Mail-Verschlüsselung bedarf, greifen nicht durch.
In der verwaltungsinternen Informationsbroschüre „E-MailVerschlüsselung für externe Kommunikationspartner“ der Bundesagentur für Arbeit (Stand: 4. März 2022) wird ausgeführt:
„Die Verschlüsselung von E-Mails gewährleistet die Vertraulichkeit der übertragenen Daten. Sie stellt sicher, dass die übertragenen Daten tatsächlich nur von den dafür vorgesehenen Kommunikationspartnern eingesehen und gelesen werden können.“ (Ziff. 1.1, Bl. 14 d. PA)
„Um verschlüsselte E-Mails senden und empfangen zu können, benötigen Sie für Ihre E-Mail-Adresse ein Zertifikat und den zugehörigen privaten Schlüssel. Dieses kann z.B. von einem Trustcenter (Vertrauensdiensteanbieter) ausgestellt werden.“ (Ziff. 2.2, Bl. 15 d. PA)
Der Kläger hat jedoch in die „Gefahren“ des Vertrauensverlustes eingewilligt, weshalb es für das Gericht nicht nachvollziehbar ist, warum es einer Verschlüsselung bedarf (s.o.).
Überdies kostet ein entsprechendes Verschlüsselungszertifikat (S/MIME) nach Recherche des Gerichts ca. 45 Euro, welches sodann beim Kläger eingerichtet werden müsste, was u.U. weitere Kosten nach sich zöge. Dies widerspräche wiederum der Vorgabe nach § 10 Abs. 1 S. 2 BGG bzw. § 9 Abs. 2 S. 1 HmbBGG, Bescheide und Formulare ohne zusätzliche Kosten blinden und sehbehinderten Menschen auch in einer für sie wahrnehmbaren Form zugänglich zu machen.
c) Im Weiteren lässt selbst das verwaltungsinterne „Rundschreiben Nr. 9 zum Datenschutz in den gemeinsamen Einrichtungen (Jobcenter)“ des Beklagten vom 16. Dezember 2022 (Bl. 58 ff. d. PA) eine Abweichung des Vorrangs des Datenschutzes im Einzelfall zu. Unter Top 5 wird dort ausgeführt:
„Im Einzelfall kann nach dem o.g. DSK-Beschluss (Einfügung d. Vors.: Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, zur Möglichkeit der Nichtanwendung technischer und organisatorischer Maßnahmen nach Art. 32 DS-GVO auf ausdrücklichen Wunsch betroffener Personen vom 24. November 2021, abrufbar unter: https://www.datenschutzkonferenz-online. de/media/dskb/20211124_TOP_7_Beschluss_Verzicht_auf_ TOMs.pdf, zuletzt aufgerufen am: 5. Juli 2023) ausnahmsweise unter den folgenden Voraussetzungen in vertretbarem Umfang davon abgewichen werden:
- Der Wunsch nach unverschlüsselter E-Mail-Kommunikation muss vom Kunden ausdrücklich geäußert werden.
- Im konkreten Fall muss ein besonderer Grund für eine unverschlüsselte Kommunikation vorliegen.
- Eine unverschlüsselte E-Mail-Kommunikation kann nur im Einzelfall erfolgen. Eine solche darf keinesfalls regelmäßig erfolgen.
Generell lässt sich somit festhalten, dass insbesondere beim Umgang mit sensiblen Sozialdaten konkrete Anforderungen an eine sichere Kommunikation, wie beispielsweise die Verschlüsselung, zu stellen sind. Kunden können grundsätzlich nicht wirksam eine unverschlüsselte Kommunikation einwilligen. Die von der DSK aufgestellten Voraussetzungen für Einzelfälle sind als absolute Ausnahmen anzusehen und kommen im Verwaltungsverfahren in der Arbeitsverwaltung regelmäßig nicht zur Anwendung.“ (Hervorh. d. d. Vors.)
Auf den gerichtlichen Hinweis vom 3. April 2023 (Bl. 84 d. PA), ob und wenn nein, warum eine Einzelfallprüfung vorgenommen worden ist, führte der Beklagte mit Schriftsatz vom 17. April 2023 (Bl. 86 d. PA) aus, der unter Top 5 geschilderte Fall betreffe stets nur einen Einzelfall. Im hiesigen Fall dürfte der vielfache Versand von Schreiben begehrt werden, sodass die dort beschriebene Einzelfallprüfung nicht vorgenommen worden sei.
Nach Ansicht des Gerichts ist vor dem Hintergrund der obigen Ausführungen die Ausnahmeregelung weit zu fassen und darf auch im Einzelfall – hier der Kommunikation mit dem blinden Kläger generell – „regelmäßig“ erfolgen. Der Ausschluss der Regelmäßigkeit ist ebenfalls weit zu fassen. Gemeint sein dürfte eine insbesondere vor dem ansonsten in erheblicher Weise verletzten Benachteiligungsverbot aus Art. 3 Abs. 3 S. 2 GG fallübergreifende regelmäßige Kommunikation.
d) Schließlich ist der Hinweis des Beklagten auf den Postfachservice im Online-Angebot des Jobcenters.digital nicht zielführend.
Zwar wird in der Anlage zur Weisung 202012002 (Bl. 52 d. PA) ausgeführt:
„Das Hochladen von Dateianhängen wird vorerst noch nicht möglich sein. Hinweis: Diese Funktionalität wird nach heutigem Planungsstand im Rahmen des Projektes JOBCENTER.DIGITAL II, welches ab dem 01.01.2021 startet, umgesetzt werden.“
Allerdings konnte der Beklagte zum einen keine Nachweise dafür erbringen, dass ein Herunterladen aller (Widerspruchs-)Bescheide und Formulare durch die Leistungsberechtigten möglich ist (Bl. 111 d. PA). Auch die Ermittlungen durch das Gericht – insbesondere das Abspielen des Videos zur Erklärung des Postfachservices (abrufbar unter: https:// www.arbeitsagentur.de/arbeitslos-arbeit-finden/buergergeld/erklaer-videos-buergergeld/erklaer-video-postfachservice, zuletzt aufgerufen am: 5. Juli 2023) ergab lediglich, dass „wichtige Nachrichten“ als PDF heruntergeladen werden können. Ob dies auch (Widerspruchs-)Bescheide umfasst, bleibt offen.
Dies kann allerdings auch deshalb dahinstehen, weil der Kläger dem Gericht überzeugend dargelegt hat, dass für ihn schon das Öffnen eines Browsers – den es unstreitig für die Benutzung des Postfachservices des Beklagten bedarf – nicht möglich ist. Es fehlt dem Kläger eine etwaige Schulung, da er ansonsten mithilfe seiner Scannersoftware schon einfache Homepages nicht besuchen kann (Bl. 110 d. PA).