| Datenschutz |
|
Begrenzung des Haftungsrisikos durch E-Mail Verschlüsselung
Allgemein: Eine Verpflichtung, Daten zu verschlüsseln, wenn ein Unternehmen mittels E-Mail kommuniziert, kann sich stets ergeben, wenn das Unternehmen zur Vertraulichkeit im Umgang mit den Daten der sich austauschenden Partner verpflichtet ist. In Betracht kommen solche Pflichten zur E-Mail Verschlüsselung zunächst, wenn sich im Rahmen vertraglicher und vorvertraglicher Regelungen Geschäftspartner zur Vertraulichkeit verpflichten und dies Vertragsgegenstand oder vertragliche Nebenpflicht ist. Vertragsgegenstand wird die Verschlüsselung, wenn Geschäftspartner Vertraulichkeit und Verschwiegenheit über die Vertragsgegenstände vereinbaren. Die vertragliche Nebenpflicht kann sich aus § 241 BGB ergeben. Das Haftungsrisiko in beiden Fällen kann dem Grunde nach in einer Schadensersatzpflicht des Vertragspartners bestehen, der die Pflicht zur Vertraulichkeit und Verschwiegenheit verletzt hat.
Ärzte, Steuerberater, Rechtsanwälte, Wirtschaftsprüfer: Berufsgruppen, die zur Verschwiegenheit aufgrund gesetzlicher und standesrechtlicher Regelungen verpflichtet sind, können zunächst anhand der Aufzählung des § 203 StGB aufgezeigt werden. Die List der dort aufgeführten Berufsträger umfasst die Heilberufe mit staatlich geregelter Ausbildung, Berufspsychologen mit anerkannter wissenschaftlicher Abschlussprüfung, Berufsträger in Berufen der Rechts- und Steuerberatung, sowie der Wirtschaftprüfung und auch die Mitglieder eines Organs entsprechenden Gesellschaft. Bei den weiteren von § 203 StGB betroffenen Personengruppen ist eine selbständige Ausübung der Tätigkeit kaum denkbar. Wenn auch die Verschwiegenheitspflicht des Strafrechts nicht zwingend die E-Mail Verschlüsselungspflicht begründet, treten doch standesrechtliche Regelungen hinzu, die die Vertraulichkeit der Mandantenbeziehung weiter konkretisieren. Hier sei benannt: § 9 (Muster-)Berufsordnung (MBO) der Ärzte, §43a,II BRAO i.V.m. §2 BORA für Rechtsanwälte, §57,I StBerG für Steuerberater oder § 43,I WPO für Wirtschaftsprüfer. Eine Haftung ist insoweit nur dann sicher ausgeschlossen, wenn der Mandant schon im Voraus der Übermittlung von unverschlüsselten E-Mails zugestimmt hat.
Kapitalgesellschaften, Personengesellschaften, Geschäftsführer: Neben der Notwendigkeit zur E-Mail Verschlüsselung als Konsequenz aus Verschwiegenheitspflichten können auch Überwachungs- und Organisationspflichten solche Verpflichtungen auslösen. In Betracht kommt dies vor allem als Ausfluss von Organisations- und Überwachungspflichten im Gesellschaftsrecht. Geregelt sind diese Pflichten in § 93 AktG. Diese Pflichten sind so weit reichend, dass bei börsennotierten Unternehmen Angaben zum internen Überwachungssystem Gegenstand der Berichtspflicht im Abschlussbericht ist. Eine analoge Anwendung dieser Grundsätze des Aktiengesetzes ist auch im GmbH-Recht gegeben. Die Sorgfaltspflicht des Geschäftsführers wird in § 43 GmbHG benannt. Auch den Geschäftsführer können Schadensersatzforderungen der Gesellschaft treffen und darüber hinaus aus § 85 GmbHG sogar strafrechtliche Konsequenzen bei Verstößen gegen die Geheimhaltungspflicht drohen. Weiter können diese Analogien auf Gesellschaften der Rechtsform OHG und KG ausgedehnt werden, sofern die persönlich haftenden Gesellschafter keine natürlichen Personen sind. Aber auch jedes andere Unternehmen kann grundsätzlich aufgrund allgemeiner Vorschriften zur E-Mail Verschlüsselung verpflichtet sein. Grundlage ist insoweit § 9 BDSG i.V.m § 17 EU-Datenschutzrichtlinie. Eine Pflicht zum Schadensersatz kann aus § 7 BDSG folgen. Einschränkungen erfährt dieser Grundsatz lediglich durch eine Abwägung von dem zu betreibenden technischen Aufwand im Vergleich zum zu erreichenden Schutzzweck.
Nikolaus Bläsius
|
