Eine Übermittlung von Sozialdaten per unverschlüsselter E-Mail via Internet ist schnell, unkomplizert, günstig, aber auch unsicher. Es kann nicht ausgeschlossen werden, dass Unbefugte Kenntnis von den Inhalten unverschlüsselter E-Mails erhalten bzw. nehmen. Sozialleistungsträger dürfen daher Sozialdaten grundsätzlich nicht per unverschlüsselter E-Mail via Internet übermitteln, auch dann nicht, wenn der Betroffene sich mit diesem unsicheren Kommunikationsweg einverstanden erklärt, oder diesen sogar wünscht bzw. fordert.
Gemäß § 35 Abs. 1 Satz 1 Sozialgesetzbuch I (SGB I) hat jeder Anspruch darauf, dass die ihn betreffenden Sozialdaten von den Leistungsträgern nicht unbefugt erhoben, verarbeitet (übermittelt) oder genutzt werden (Sozialgeheimnis). Eine Erhebung, Verarbeitung (Übermittlung) und Nutzung von Sozialdaten ist nur unter den Voraussetzungen des II. Kapitels des Sozialgesetzbuches X (SGB X) zulässig.
Gemäß § 78a Satz 1 SGB X müssen Sozialleistungsträger, die selbst oder im Auftrag Sozialdaten erheben, verarbeiten (übermitteln) oder nutzen, die technischen und organisatorischen Maßnahmen einschließlich der Dienstanweisungen treffen, die erforderlich sind, um die Ausführungen der Vorschriften des SGB, insbesondere die in der Anlage zu § 78a SGB X genannten Anforderungen, zu gewährleisten.
Entsprechend der Nummer 4 der Anlage zu § 78a SGB X sind u.a. Maßnahmen zu treffen, die je nach Art der zu schützenden Sozialdaten geeignet sind, zu gewährleisten, dass Sozialdaten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung von Sozialdaten durch Einrichtungen von Datenübertragungen vorgesehen ist (Weitergabekontrolle).
Eine Übermittlung von Sozialdaten per unverschlüsselter E-Mail via Internet erfüllt diese Anforderungen nicht. Es kann nicht ausgeschlossen werden, dass Unbefugte Kenntnis von den Inhalten unverschlüsselter E-Mails nehmen bzw. diese Inhalte kopieren, verändern oder löschen.
Die Verantwortung für die Zulässigkeit der Übermittlung von Sozialdaten trägt die übermittelnde Stelle (§ 67d Abs. 2 Satz 1 SGB X). Der Gesetzgeber hat nicht vorgesehen, dass sich ein Sozialleistungsträger dieser gesetzlichen Verpflichtung bzw. der in § 78a SGB X und der in der Anlage zu § 78a SGB X vorgesehenen Verpflichtung zur Weitergabekontrolle dadurch entziehen kann, dass er die Betroffenen allgemein auf die Risiken der Nutzung unsicherer Kommunikationswege hinweist bzw. sich deren Einwilligung in die Nutzung unsicheren Kommunikationswege versichert. Antragsteller bzw. Hilfesuchende sind in vielfältiger Weise auf die Gewährung der im SGB und der in den zugeordneten Vorschriften definierten Sozialleistungen angewiesen. Gerade im Hinblick auf dieses besondere Abhängigkeitsverhältnis sind die Anforderungen an das Sozialdatenschutzrecht konsequent zu beachten. Eine Einwilligung i.S.v. § 67b Abs. 2 SGB X kann nicht jede Datenverarbeitung legitimieren. Zudem gilt es auch im Hinblick auf die EU-Datenschutzgrundverordnung (DSGVO) zu bedenken, dass im Sozialleistungsbereich besondere Anforderungen an die Freiwilligkeit einer Einwilligung zu stellen sind.
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) vertritt daher die Einschätzung, dass ein Sozialleistungsträger im Rahmen seiner Verantwortung nicht befugt ist, Sozialdaten - egal in welchem Umfang respektive Kontext - auf einem unsicheren Kommunikationsweg, zu denen auch eine unverschlüsselte E-Mail via Internet gehört, zu übermitteln. Die Übermittlung von Sozialdaten erfolgt auch dann nicht befugt, wenn der Betroffene vorab in allgemeiner Form auf die Risiken einer unsicheren Übermittlung hingewiesen wird bzw. sich mit diesem unsicheren Kommunikationsweg einverstanden erklärt.