16. Juli 2013 - Datensicherheit

Unternehmensinterne Daten: Übermittlung per ungesicherter E-Mail-Übertragung

Sind Unternehmen verpflichtet, unternehmensinterne Daten per „normaler“ E-Mail – also weder signiert noch verschlüsselt – an eine Behörde zu übermitteln? Ein Unternehmen hatte die Übermittlung mit Hinweis auf die Sensibilität der Daten verweigert. Daraufhin musste sich der Kartellsenat des Bundesgerichtshofs mit dieser Frage auseinandersetzen.

ubermittlung-unternehmensinterner-daten-per-ungesicherter-e-mail-ubertragung.jpeg
Selbst eine Behörde kann nicht verlangen, Unternehmensdaten unverschlüsselt zu übermitteln (Bild: Thinkstock)

Behörde fordert Excel-Liste per E-Mail an

Die Landeskartellbehörde forderte von einem Unternehmen zusätzliche Informationen an. Diese per Excel-Liste erfassten Daten sollten elektronisch an die Behörden-E-Mail-Adresse geschickt werden. Das Unternehmen weigerte sich aber, unternehmensinterne Daten ohne weitere Schutzmaßnahmen per E-Mail zu übermitteln.

Ungesicherte Übertragung nicht zumutbar

Der BGH kommt in seinem Beschluss gleich zur Sache: Aus Sicherheitsgründen könne keinem Unternehmen zugemutet werden, unternehmensinterne Daten per E-Mail ungesichert an eine Behörde zu übertragen. Entscheidend dabei: Nach den Feststellungen des Beschwerdegerichts stellte die Landeskartellbehörde eine E-Mail-Adresse zur Verfügung, die lediglich zum Empfang nichtsignierter und nichtverschlüsselter Nachrichten diente.

Keine Betriebs-/Geschäftsgeheimnisse erforderlich

Ebenso klar stellt der Kartellsenat auf dieser Grundlage fest, dass es nicht darauf ankommt, ob es sich bei den Daten um Betriebs- bzw. Geschäftsgeheimnisse handelt. Vielmehr sei die Grenze bereits bei unternehmensinternen Daten erreicht, weil keine Pflicht bestehe, „einen derartigen Übertragungsweg benutzen zu müssen.“

Alternativen (ohne weiteres) möglich

Die Landeskartellbehörde Brandenburg hätte sich die „gewünschte Datei auf anderem Wege, etwa auf einem Datenträger oder auf einem gesicherten elektronischen Übertragungsweg“ übermitteln lassen können. Angesichts dieser Alternativen könne die Behörde gerade nicht die Übertragung einer Datei mit unternehmensinternen Daten per E-Mail verlangen.

Fazit: „War doch klar“

Der BGH stellt in seinem Beschluss fest, dass das vorliegende Verfahren keine „grundsätzliche Bedeutung“ habe und es einer Entscheidung „zur Fortbildung des Rechts oder zur Sicherung einer einheitlichen Rechtsprechung“ nicht bedürfe. Das zeigt nicht nur in prozessrechtlicher Hinsicht, dass damit die Rechtsmittel für die Landeskartellbehörde ausgeschöpft sind.

Zugleich wird damit klargestellt, dass die Entscheidung mehr oder weniger auf der Hand lag: Letztlich ist eine ungesicherte E-Mail wie eine Postkarte, die aus-/mitgelesen werden kann. Warum sollte ein Unternehmen interne Daten so übermitteln müssen, insbesondere wenn Alternativen zur Verfügung stehen?

In datenschutzrechtlicher Hinsicht und in Zeiten von Prism, Tempora & Co. wirkt die Aufforderung der Landeskartellbehörde geradezu naiv.

Der Beschluss des BGH vom 26.02.2013 (Az.: KVZ 57/12) ist im Internet unter folgender Adresse abrufbar: http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&az=KVZ%2057/12&nr=63495

Peer Lambertz
Peer Lambertz ist Rechtsanwalt und Datenschutz-Experte.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln