Leserbriefe

Bei diesem ganzen „Digitalisierungs-“ und „Smart-Wahn“ frage ich mich immer, welche Akten gültig sind, wenn für längere Zeit auf die Information nicht oder nicht mehr zugegriffen werden kann.

Derzeit werden alte Unterlagen auf Mikrofiche oder Film in Bunkern atombombensicher gelagert und sind selbst mit Kerze noch lesbar. Die Papyrusrollen der alten Ägypter und der Römer sind heute noch ohne größeren maschinellen Aufwand lesbar (man muss halt die Schriftzeichen kennen).

Und zukünftig? Immer brauche ich irgendeinen PC, der die elektronischen Formate lesen kann. Strom, um das Gerät zu betreiben, brauche ich auch. Ich frage mich, welcher Sachstand gilt, wenn diese elektronischen Hilfsmittel wegfallen? Zum Beispiel bei Grundstücken oder anderen hochpreisigen Rechtsgeschäften mit langer Laufzeit, eventuell über mehrere Jahrzehnte hinweg.

Ausfallgründe gibt es viele. Angefangen bei einem EMP, größeren Naturkatastrophen, die die vernetzte(n) Lieferkette(n) stören/abbrechen lassen und den Betrieb von IT und Stromerzeugung lahmlegen, und und und … Wie sieht das Notfallkonzept beim Ausfall der eAkte aus?

Thomas Bittl, via E-Mail

Nehmen wir an, man empfiehlt PGP. Wie stellt man sicher, dass der Steuerprüfer neun Jahre nach Erhalt der E-Mail in die E-Mail reinschauen kann? Immerhin drohen Gefängnisstrafen, wenn das nicht klappt. Und schon wird es wieder schwierig.

Aiko Bartz, via E-Mail

Teil des Problems ist, dass bei E-Mails die meisten Mandanten – sei es privat oder weil sie es nach den unternehmensinternen Leitlinien nicht dürfen bzw. sie nicht wissen wie – einwilligen, per „normaler“, also nur mit Transportverschlüsselung (TLS) zu kommunizieren.

Das seit Jahren, selbst wenn man als Rechtsanwalt verschiedene Verschlüsselungslösungen und Online-Akte mit Verschlüsselung anbietet.

Im Beitrag fehlt mir, dass die Behauptung, dass nun generell bei Übermittlung von sensiblen Daten eine Pflicht zur Verschlüsselung besteht, gar nicht belegt ist. Bisher gehe ich davon aus, dass bei Kommunikation mit dem Mandanten dieser einwilligen kann, wie er es haben will, und bei Kommunikation mit gegnerischen Anwälten oder Justiz haben wir Rechtsanwälte untereinander inzwischen das elektronische Anwaltspostfach – „beA“ – und weitere kollegiale Verfahren, diese Probleme der Datensicherheit zu lösen, und bieten verschiedene Verschlüsselungsverfahren an.

Teil 2 des Problems ist es nämlich, dass hier bisher selten fühlbare Sanktionen oder Bußgelder verhängt wurden und (Teil 3) gerichtliche Entscheidung zu dem Fragenkreis „Pflicht zur E-Mail-Verschlüsselung“ Mangelware sind.

Aber die DSGVO ist ja erst seit sieben Monaten in Kraft, da ist das bei der Dauer von Gerichtsverfahren wahrscheinlich nur eine Frage der nächsten 12 bis 18 Monate, bis erste Schadenersatzurteile/Bußgeldbescheide, die anders als bei dem sächsischen Landesbeauftragten dann abschreckende Beträge erlangen, vorliegen. Viele Einzelfragen sind aber leider eben noch nicht gerichtlich geklärt.

StefHa, aus dem iX-Forum

Betreffend den Beitrag „Gleich und doch nicht gleich“ darf ich vorerst der Autorin zu diesem hervorragenden Artikel gratulieren. Mit Freude lese ich immer jene Beiträge, die der DSGVO sowie der Sensibilisierung der Verantwortlichen und der Richtigstellung der vielen DSGVO-Mythen gewidmet sind.

Ergänzend darf ich darauf hinweisen, dass es im österreichischen DSG keine Besonderheit fürs Arbeitsrecht gibt. Ursprünglich war zwar durch das Datenschutz-Anpassungs-Gesetz 2018 im § 11 DSG normiert, dass die Befugnisse der Arbeitnehmerschaft nach dem 3. Hauptstück des ArbVG eine Regelung des Art 88 DSGVO sein sollen. Jedoch wurde diese Bestimmung kurz vor Inkrafttreten noch geändert und durch den neuen § 11 mit der Überschrift „Verwarnung durch die Datenschutzbehörde“ ersetzt. Letztlich hat der österreichische Gesetzgeber also keinen Gebrauch von der Öffnungsklausel in Art. 88 DSGVO gemacht.

Michael Furtlehner, via E-Mail

Ihre Zeitschrift iX lese ich gerne, sie wurde im Laufe der Jahre zu einer wichtigen fachlichen Informationsquelle für mich und ist es nach wie vor.

Im Artikel „Mit der Keule“ findet sich aber eine sachlich unrichtige Aussage. Dort heißt es auf Seite 85: „Auch in der DSGVO und den anderen genannten Datenschutzvorschriften kommt der Begriff ,Verschlüsselung‘ nicht wörtlich vor.“

Dies ist nicht zutreffend und hätte sich durch einen einfachen Blick in den Gesetzestext der DSGVO wohl vermeiden lassen.

Art. 32 Abs. 1 lit.a) DSGVO lautet nämlich wörtlich: „a) die Pseudonymisierung und Verschlüsselung“.

Dr. Christian Dressel, via E-Mail