Das deutsche Datenschutzrecht entwickelt sich weiter

Die deutschen Politiker haben im Mai 2021 ein neues Datenschutzgesetz verabschiedet, um sowohl die EU-Richtlinien einzuhalten als auch ein Geflecht aus bestehenden nationalen Rechtsvorschriften zu vereinheitlichen. Da es auf einer bestehenden Regelung basiert, scheint das Gesetz auf den ersten Blick wenig Neues zu bieten, aber es hat tatsächlich erhebliche Auswirkungen auf E-Mail-Anbieter und Arbeitgeber, die ihren Mitarbeitern die Nutzung von Firmen-E-Mails für die private Kommunikation erlauben. Das Gesetz trat im Dezember 2021 in Kraft und ist wegen seines vorhersehbar klobigen deutschen Namens unter seinem Akronym TTDSG bekannt.

Die Politiker haben das TTDSG angeblich verabschiedet, um die ePrivacy-Richtlinie der Europäischen Union umzusetzen, eine Ergänzung der allgemeinen Datenschutzverordnung (GDPR), die offiziell als Richtlinie über den Schutz der Privatsphäre und der elektronischen Kommunikation bekannt ist. Die eigentliche Triebfeder war jedoch die Vereinheitlichung und Klarstellung der Handvoll Gesetze, die den deutschen Datenschutz regeln.

Die Vorliebe des Landes für den Schutz der Privatsphäre führt dazu, dass mindestens vier weitere Gesetze den Informationsfluss regeln, darunter ein Kunstrecht und ein allgemeines Datenschutzgesetz.[i] Das Land hat auch ein Telekommunikationsgesetz (TKG) und ein Telemediengesetz (TMG); die manchmal archaischen Gesetze regeln Telekommunikation und Online-Medien getrennt, die jetzt oft untrennbar sind.

Und obwohl sich die Experten einig waren, dass die meisten Unternehmen nur wenig auf das neue Gesetz reagieren müssen, da sie wahrscheinlich schon die vorherigen Gesetze einhielten, gibt es zwei Ausnahmen. Das TTDSG gewährt so genannten "Over-the-Top"-Diensten (OTT) Datenschutz auf Telekommunikationsebene, ein Begriff, der sich auf Cloud-basierte E-Mail und andere webbasierte Nachrichtenübermittlung bezieht. Dieser Schritt ist wichtig, weil er allen, die nicht in eine Nachricht involviert sind, die Einsicht in diese Kommunikation untersagt. Mit dem Gesetz wird auch die Rolle von Unternehmen geklärt, die ihren Mitarbeitern die Nutzung von Firmen-E-Mails für den privaten Gebrauch gestatten.

Neu geschützte Kommunikation

Da webbasierte E-Mail-Anwendungen und Nachrichtendienste unter die OTT-Bestimmung fallen, können Anbieter wie Google und Facebook laut den Anwälten des CMS E-Mails und Nachrichten nicht mehr für gezielte Werbung oder andere Dienste analysieren.[ii] Anbieter von Diensten müssen auch Nachrichten für mögliche rechtliche Untersuchungen aufbewahren.

Für Unternehmen gelten weniger strenge Anforderungen. Bisher war unklar, ob Arbeitgeber die E-Mails ihrer Mitarbeiter ohne deren Zustimmung lesen dürfen. Es wurde argumentiert, dass die Unternehmen in diesem Fall als E-Mail-Provider im Auftrag ihrer Mitarbeiter fungierten. Wenn die Arbeitgeber die Korrespondenz ohne Erlaubnis gelesen haben, setzten sie sich einer möglichen strafrechtlichen Verfolgung nach den Datenschutzgesetzen aus.

In Verbindung mit einem kürzlich ergangenen Gerichtsurteil hat das TTDSG klargestellt, was ein Provider ist, so dass persönliche E-Mails auf Firmenkonten eher den GDPR-Vorschriften als dem strengeren deutschen Telekommunikationsrecht unterliegen. Laut den Datenschutzexperten von JOWECON brauchen Arbeitgeber nur einen zwingenden Grund, um ohne Erlaubnis zu schnüffeln.[iii]

Trotz der Auswirkungen auf den E-Mail-Verkehr konzentrierte sich ein Großteil der Presse über das Gesetz auf die Bestimmungen zu Cookies, da deutsche (und europäische) Internetsurfer ständig von Bannern belästigt werden, die sie auffordern, die Verwendung von Cookies für jede einzelne Website zu genehmigen. Das TTDSG macht den Weg frei für Dienste, die die Cookie-Präferenzen der Nutzer speichern und an die Websites weitergeben, so dass die Banner überflüssig werden.

Mehr Bürokratie zum Schutz der Rechte

"Die Privatsphäre muss auch in der digitalen Welt geschützt werden. Zugleich müssen wir Geschäftsmodelle ermöglichen. Die neuen Regeln schaffen ein Gleichgewicht", sagte der damalige Wirtschaftsminister Peter Altmaier, als das Gesetz im Mai verabschiedet wurde. Altmaiers Regierungskoalition aus der linken SPD und der konservativen CDU von Angela Merkel wurde Ende letzten Jahres durch eine Dreierkoalition aus SPD, Umweltgrünen und der wirtschaftsfreundlichen FDP abgelöst.

Obwohl Cookies nur wenig mit E-Mail zu tun haben, verdeutlicht dieser Schritt die zentrale Rolle, die der Datenschutz spielt. Deutsche Politiker würden es vorziehen, eine ganze Industrie von Cookies und Rechtemanagement zu schaffen, als in die individuellen Datenschutzrechte einzugreifen. Letztendlich, so sagen Datenschutzanwälte, wird das TTDSG wahrscheinlich durch eine deutsche Version der lang erwarteten EU-Datenschutzverordnung für elektronische Kommunikation ersetzt werden. Diese Verschärfung der bestehenden Datenschutzrichtlinie für elektronische Kommunikation sollte 2018 zusammen mit der Datenschutz-Grundverordnung (DSGVO) eingeführt werden, aber sie hat lange auf sich warten lassen und wird nun voraussichtlich 2025 Gesetz werden.[iv]

Während das deutsche TTDSG Fragen klärte, die bereits vor der Pandemie in Deutschland bestanden, kämpft das Land nun auch mit pandemiebedingten Datenschutzproblemen, wie alle anderen auch. Deutsche Unternehmen, die während der Pandemie das Arbeiten von zu Hause aus erlaubt haben, haben sich als Eldorado für Cyberangreifer erwiesen, die auf Phishing, Ransomware und andere Angriffe spezialisiert sind. Neunundfünfzig Prozent der Unternehmen, die ihren Mitarbeitern das Arbeiten von zu Hause aus erlaubten, meldeten seit Beginn der Pandemie Phishing-Angriffe, sowohl per E-Mail als auch per Telefon, so das Ergebnis einer Umfrage des Digitalverbands Bitkom unter 1.000 deutschen Unternehmen.[v] Von diesen gaben 52 Prozent an, dass die Angriffe zu Schäden geführt haben.

In der weltweiten Kampagne zur Bekämpfung der Cyberkriminalität sind deutsche Sicherheitsexperten jedoch zwiespältig, wenn es um Cybersicherheit und Datenschutzpolitik geht, so der Bericht von Mimecast State of Email Security 2022 . Auf die Frage nach der potenziellen Auferlegung staatlicher Vorgaben wie Mindeststandards für die Cybersicherheit beschrieben die deutschen Umfrageteilnehmer ein "halbvolles Glas":

• 69 % der Befragten gaben an, dass derartige Vorschriften die allgemeine Cybersicherheit ihres Unternehmens mäßig bis stark verbessern würden.
• 62 % gaben an, dass vorgeschriebene Cybersicherheitsstandards ihr Risiko von Cyberangriffen mäßig bis stark verringern würden.
• 65 % sagten einen mäßigen bis hohen Anstieg ihrer Kosten voraus.
• 67 % sahen einen ähnlichen Rückgang bei ihrer Freiheit, selbst die besten Maßnahmen gegen Cyberangriffe zu bestimmen.

Nicht alle Verschlüsselungen sind gleich

In der heutigen Ära der Fernarbeit: "Es reicht nicht aus, die Mitarbeiter nach Hause zu schicken. Ihre Geräte müssen geschützt, die Kommunikationswege zum Unternehmen gesichert und sie müssen auf die Risiken hingewiesen werden", sagte Bitkom-Präsident Achim Berg. "Wer das nicht tut, handelt fahrlässig."

Die Deutschen werden ihrem Ruf gerecht, eine Gesellschaft zu sein, die Recht und Ordnung schätzt. Aber wenn es um die Umsetzung spezifischer Vorschriften wie der DSGVO geht, wenden sie sich oft an ein Netzwerk unabhängiger Verbände und Think Tanks. Unternehmen sind verpflichtet, jegliche digitale Korrespondenz zu verschlüsseln, die personenbezogene Daten enthält, und der Verband unabhängiger öffentlicher Datenschützer im Jahr 2020 empfiehlt zwei Verschlüsselungsstufen,[vi] wobei es im Ermessen der Unternehmen liegt, welche Stufe angemessen ist.

Die Verschlüsselung der Daten während des Transports ist für die meisten Korrespondenzen obligatorisch, so der Verband, und dieses Verschlüsselungsniveau ist für jede Kommunikation ausreichend, die, wenn sie von Unbefugten eingesehen wird, nur eine normale Bedrohung für die "Rechte und Freiheiten" der in der E-Mail genannten Personen darstellen würde. Sollte die Exposition ein "erhöhtes Risiko" darstellen, empfiehlt der Verband eine Ende-zu-Ende-Verschlüsselung.[vii]

E-Mail wird in Deutschland oft als unsicher angesehen und die meisten Unternehmen und Behörden weigern sich, sie für offizielle Korrespondenz zu verwenden, die zum Beispiel bestimmte Zahlen oder identifizierende Informationen über M&A enthalten könnte. Obwohl Einzelpersonen auf Datenschutzrechte verzichten können, in der Hoffnung, offizielle Antworten von Behörden oder Unternehmen per E-Mail zu erhalten, raten Anwälte von dieser Praxis ab, da Verwirrung über den Umfang der Erlaubnis entstehen kann - eine einzelne E-Mail, eine einzelne Angelegenheit oder die gesamte Korrespondenz - was Unternehmen und Behörden unnötigen Risiken aussetzt.

Die Quintessenz

Die deutschen Politiker bemühen sich um ein Gleichgewicht zwischen der Forderung nach Datensicherheit, dem effizienten Austausch notwendiger Informationen und der langsam voranschreitenden EU-weiten Regulierung. Cyber-Angreifer scheinen den politischen Bemühungen immer noch einen Schritt voraus zu sein.

[i] "Das TTDSG kommt: Welche Änderungen bringt das neue Gesetz?", PSW Group Consulting

[ii] "Anwendungsbereich der Datenschutzverordnung für die elektronische Kommunikation," CMS

[iii]"Können Arbeitgeber private E-Mails von Arbeitnehmern einsehen?", JOWECON

[iv]"Cookies, TTDSG und ePrivacy-Verordnung," Taylor Wessing

[v] "Deutsche Unternehmen unter Beschuss," Bitkom

[vi]"Konferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder," DSK

[vii] "Ein Leitfaden zur End-to-End-Verschlüsselung," Business Insider