Das Verwaltungsgericht Mainz hat mit Urteil vom 17.12.2020 zum Aktenzeichen 1 K 778/19.MZ entschieden, dass ein Datenschutz-Bußgeld gegen einen Rechtsanwalt wegen einer E-Mail-Kommunikation rechtswidrig ist.
Der Bescheid vom 14. August 2019 ist allerdings materiell rechtswidrig. D
ie Tatbestandsvoraussetzungen des Art. 58 Abs. 2 lit. b DS-GVO liegen nicht vor, da kein Datenschutzverstoß gegeben ist.
Es liegt kein Verstoß gegen datenschutzrechtliche Vorschriften vor.
Der Versand der E-Mail ohne Nutzung einer sog. Ende-zu-Ende-Verschlüsselung oder sonstiger über eine (obligatorische) Transportverschlüsselung hinausgehenden Sicherungsmaßnahmen stellt hier keinen Verstoß gegen Art. 5 Abs. 1 lit. f, Abs. 2 DS-GVO dar.
Demnach müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Der Verantwortliche (Art. 4 Nr. 7 DS-GVO) ist für die Einhaltung dieser Vorgaben verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
Die Einhaltung dieser Vorgaben setzt insbesondere geeignete technische und organisatorische Maßnahmen zum Schutz vor unbefugter und unrechtmäßiger Verarbeitung und vor unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung voraus (vgl. Heberlein, in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Auflage 2018, Art. 5, Rn. 28). Die technischen und organisatorischen Anforderungen an die Sicherheit der Verarbeitung ergeben sich im Wesentlichen aus Art. 32 Abs. 1 DS-GVO. Demnach treffen der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; wobei die Verschlüsselung ausdrücklich in Art. 32 Abs. 1 Hs. 2 lit. a) DS-GVO genannt wird. Gemäß Art. 32 Abs. 2 DS-GVO sind bei der Beurteilung des angemessenen Schutzniveaus insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
Es ist hier davon auszugehen, dass die streitgegenständliche E-Mail mit einer (obligatorischen) Transportverschlüsselung (SSL/TLS) versendet worden ist. Dies ergibt sich wesentlich aus dem Schreiben des Klägers vom 16. Oktober 2020 einschließlich der beigefügten Anlagen, an deren Richtigkeit die Kammer keinen Anlass hat zu zweifeln; dies ist seitens des Beklagten auch nicht bestritten worden. Eine solche Transportverschlüsselung war in diesem konkreten Fall ausreichend. Es hätten keine darüber hinausgehenden Sicherungsmaßnahmen ergriffen werden müssen (insbesondere keine Ende-zu-Ende-Verschlüsselung), um ein angemessenes Schutzniveau sicherzustellen.
Es wird insoweit allgemein zwischen der Transportverschlüsselung (z.B. TLS) sowie der Ende-zu-Ende Verschlüsselung (z.B. S/MIME oder PGP) unterschieden. Eine Transportverschlüsselung bieten die meisten E-Mail-Anbieter heutzutage standardmäßig an (Wagner, Anwaltliches Berufsrecht und Datenschutz: Einheit, Widerspruch oder Parallelwelten?, BRAK-Mitteilungen 4/2019, 167 [171]) – es lag daher schon deshalb nahe, dass der Kläger jedenfalls eine solche Transportverschlüsselung verwendet hat. Eine E-Mail wird dann bei den an der E-Mail-Kommunikation beteiligten Servern jeweils ent- bzw. verschlüsselt und ist demnach nur auf dem Transport zwischen den Servern durch Verschlüsselung abgesichert (vgl. Wagner, a.a.O. [171 f.]; zur Unterscheidung zwischen „obligatorischer“ und „qualifizierter“ Transportverschlüsselung: Orientierungshilfe des Arbeitskreises „Technische und organisatorische Datenschutzfragen“ der Datenschutzkonferenz, Stand: 13. März 2020, S. 4 f.). Eine Ende-zu-Ende-Verschlüsselung zeichnet sich demgegenüber dadurch aus, dass eine Entschlüsselung des Inhalts nur an den Endpunkten der Kommunikation (Absender und Empfänger) erfolgt (vgl. etwa https://www.heise.de/tipps-tricks/Ende-zu-Ende-Verschluesselung-was-genau-ist-das-4007116.html; dazu auch Schöttle, Anwaltliche Kommunikation per E-Mail – nur verschlüsselt?, BRAK-Mitteilungen 3/2018, 118). Damit können weder die beteiligten E-Mail-Anbieter die E-Mail lesen, noch haben potentielle Angreifer die Möglichkeit, die E-Mails unterwegs zu manipulieren. Infolgedessen erfüllt nur diese Technik grundsätzlich die drei Ziele der Verschlüsselung im Internet: Vertraulichkeit, Authentizität und Integrität (vgl. Bundesamt für Sicherheit in der Informationstechnik, Empfehlungen: E-Mail Verschlüsselung, abrufbar unter: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Verschluesselung/EMail_Verschluesselung/email_verschluesselung_node.html). Dies wäre etwa wohl teilweise auch damit zu erreichen, dass ein passwortgeschütztes Dokument (z.B. PDF) als Anhang gesendet wird, wobei die Meta-Daten der E-Mail (insbesondere Absender, Empfänger und Betreff) weiterhin nur während des Transports geschützt wären (sog. Inhaltsverschlüsselung; vgl. dazu Gasteyer/Säljemar, Vertraulichkeit im Wandel digitaler Kommunikationswege, NJW 2020, 1768 [1771]).
Es bestand bzw. besteht offenbar schon zwischen den einzelnen Datenschutzaufsichtsbehörden bereits Uneinigkeit darüber, welche Art der Verschlüsselung zwingend sein soll. Der Hamburgische Beauftragte für Datenschutz und Datensicherheit teilte dahingehend mit einem veröffentlichten Schreiben vom 8. Januar 2018 (zu § 9 BDSG a.F.) mit (abrufbar unter: https://www.datenschutzbeauftragter-info.de/wp-content/uploads/2018/02/schreiben-der-aufsichtsbehoerde.pdf), dass eine Ende-zu-Ende Verschlüsselung für Berufsgeheimnisträger „zu bevorzugen“ sei. Demgegenüber scheint der Sächsische Datenschutzbeauftragte in seinem 8. Tätigkeitsbericht vom 31. März 2017 (LT-Drs. 6/10550, S. 138; abrufbar unter: https://www.saechsdsb.de/images/stories/sdb_inhalt/noeb/taetigkeitsberichte/8-TB-Endfassung-Version-5.pdf) davon auszugehen, dass eine „PGP-Verschlüsselung“ (= Ende-zu-Ende-Verschlüsselung) bei der Übermittlung „mandantenbezogener bzw. mandantenbeziehbare Äußerungen“ notwendig ist. Nunmehr sieht die Orientierungshilfe des Arbeitskreises „Technische und organisatorische Datenschutzfragen“ der Datenschutzkonferenz (Stand: 13. März 2020, S. 4) für „Verantwortliche, die aufgrund von § 203 StGB zur Geheimhaltung von Kommunikationsinhalten verpflichtet sind,“ vor, dass sie „durch Verschlüsselung sicherstellen [müssen], dass nur Stellen eine Entschlüsselung vornehmen können, an die die Inhalte der Nachrichten offenbart werden dürfen“. Diese Ansicht dürfte letztlich regelmäßig auf eine Verpflichtung zur Ende-zu-Ende-Verschlüsselung oder den Einsatz vergleichbarer Maßnahmen hinauslaufen.
Auch nach Auffassung einzelner Datenschutzbeauftragter ist jedenfalls die Nutzung einer „unverschlüsselten“ E-Mail für Berufsgeheimnisträger generell ein „ungeeignetes“ Medium (so etwa Hamburgischer Beauftragter für Datenschutz und Datensicherheit, Schreiben vom 8. Januar 2018, a.a.O.) und es sei daher „in jedem Fall eine Verschlüsselung des E-Mail-Verkehrs erforderlich“ (so zur alten Rechtslage: 8. Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten, S. 138; abrufbar unter: https://www.saechsdsb.de/images/stories/sdb_inhalt/noeb/taetigkeitsberichte/8-TB-Endfassung-Version-5.pdf).
Demgegenüber wird in der Literatur teilweise vertreten, dass auch aus Art. 32 DS-GVO kein „striktes, unabdingbares Verschlüsselungsgebot“ folge (vgl. Härting, Verschlüsselungspflicht für Anwälte? Intersoft sorgt für Verwirrung, CR-online.de Blog, abrufbar unter: https://www.cr-online.de/blog/2018/02/06/verschluesselungspflicht-fuer-anwaelte-intersoft-sorgt-fuer-verwirrung/; eine Transportverschlüsselung grundsätzlich als ausreichend ansehend: Schöttle, Anwaltliche Kommunikation per E-Mail – nur verschlüsselt?, BRAK-Mitteilungen 3/2018, 118 [121]; Bethke, Technische und rechtliche Besonderheiten der EMail-Kommunikation mit Mandant und FA, DStR 2019, 1228 [1229]). An anderer Stelle wird insoweit eine Verschlüsselung ausdrücklich nur dann für erforderlich gehalten, sofern besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DS-GVO übermittelt werden (vgl. Conrad/Treeger, in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 3. Auflage 2019, § 34, Rn. 158, Ziffer 10).
Insgesamt ist davon auszugehen, dass die DS-GVO im Normtext selbst ausdrücklich keine spezifischen Regelungen für Berufsgeheimnisträger enthält; vielmehr gelten grundsätzlich – vorbehaltlich nationaler Anpassungen nach Art. 90 DS-GVO (siehe dazu § 29 Abs. 3 BDSG) – die allgemeinen Vorschriften (vgl. Schöttle, Anwaltliche Kommunikation per E-Mail – nur verschlüsselt?, BRAK-Mitteilungen 3/2018, 118 [121]; siehe auch Conrad/Treeger, in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutz-recht, 3. Auflage 2019, § 34, Rn. 155). Demnach bestimmen zunächst die Art. 9 und 10 DS-GVO, welche Datenkategorien generell besonderen Schutz genießen (Wagner, Anwaltliches Berufsrecht und Datenschutz: Einheit, Widerspruch oder Parallelwelten?, BRAK-Mitteilungen 4/2019, 167 [171]). Pauschal kann daher (datenschutzrechtlich) zunächst nicht allein deshalb von einer besonderen Schutzbedürftigkeit ausgegangen werden, weil eine mandatsbezogene Kommunikation erfolgt (Wagner, a.a.O. [172]). Dies ergibt sich mittelbar auch aus Art. 10 DS-GVO, der nur Daten zu strafrechtlichen Verurteilungen und Straftaten oder damit zusammenhängenden Sicherungsmaßregeln als besonders schutzwürdig einstuft. Daher ist die (besondere) Schutzbedürftigkeit des Verarbeitungsprozesses ansonsten im Einzelfall zu ermitteln. Nach Maßgabe des ErwGr. 75 Satz 3 DS-GVO sollen – über die in Art. 9 und 10 DS-GVO genannten Kategorien hinaus – auch etwa Daten, die persönliche Aspekte bewerten, insbesondere die Arbeitsleistung, wirtschaftliche Lage, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, als besonders risikoreich einzustufen sein (vgl. auch Martini, in: Paal/Pauly, DS-GVO BDSG, 2. Auflage 2018, Art. 32 DS-GVO, Rn. 51). Gleichzeitig erwähnt ErwGr. 75 Satz 1 DS-GVO unter anderem aber explizit den „Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten“ als einen potentiell zu berücksichtigenden Risikofaktor bei der Datenverarbeitung (vgl. dazu Piltz, in: Gola, Datenschutz-Grundverordnung, 2. Auflage 2018, Art. 24, Rn. 38).
Die von dem Verantwortlichen ggf. zu ergreifenden technischen und organisatorischen Maßnahmen schließen unter anderem die Verschlüsselung personenbezogener Daten ein (vgl. Art. 32 Abs. 1 Hs. 2 lit. a DS-GVO). Dabei enthält Art. 32 Abs. 2 DS-GVO keinen ausdrücklich abschließenden Katalog an Kriterien („insbesondere“), die bei der Bestimmung des angemessenen Schutzniveaus eine Rolle spielen können (so etwa Mantz, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Auflage 2018, Art. 32, Rn. 10; siehe auch Piltz, in: Gola, Datenschutz-Grundverordnung, 2. Auflage 2018, Art. 32, Rn. 39 f. [„verpflichtend zu berücksichtigen“]). Insoweit verbietet sich regelmäßig eine bloß schematische Betrachtungsweise. Vielmehr ist eine objektive Bewertung im jeweiligen Einzelfall hinsichtlich der Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung durchzuführen (vgl. ErwGr. 76 DS-GVO). Zwar sehen weder Art. 32 Abs. 1 DS-GVO noch ErwGr. 76 DS-GVO ausdrücklich ein Rangverhältnis der dort genannten Kriterien vor, allerdings kommt der „Art der Daten für potenziell eintretende Schadensereignisse eine besonders hohe Bedeutung“ zu (vgl. Martini, in: Paal/Pauly, DS-GVO BDSG, 2. Auflage 2018, Art. 24 DS-GVO, Rn. 31 f. unter Verweis auf ErwGr. 75 DS-GVO).
Während die Transportverschlüsselung ohne weiteres als weit verbreiteter Standard anzusehen sein dürfte, trifft den Verantwortlichen bei der Implementierung einer Ende-zu-Ende-Verschlüsselung regelmäßig ein höherer Aufwand (vgl. Schöttle, Anwaltliche Kommunikation per E-Mail – nur verschlüsselt?, BRAK-Mitteilungen 3/2018, 118 [121]). Neben der Nutzung von derartigen E-Mail-Protokollen (z.B. S/MIME oder PGP), die allerdings auch auf Absender- und Empfängerseite entsprechende Software und Kenntnisse erfordern, kommen letztlich auch einseitige Implementierungsmaßnahmen, wie z.B. Übersendung einer passwortgeschützten Datei, in Betracht (vgl. Schöttle, a.a.O.; Bethke, Technische und rechtliche Besonderheiten der EMail-Kommunikation mit Mandant und FA, DStR 2019, 1228 [1229]). Damit dürfte eine kostenschonende Implementierung zwar generell möglich und für den jeweiligen Verantwortlichen nicht von vornherein unzumutbar sein. Allerdings bedeutet dies nicht, dass dies zwingend zu einer entsprechenden Verpflichtung des Verantwortlichen führt. Schließlich können bei der Übersendung einer passwortgeschützten Datei unter Umständen (zivilrechtliche) Zugangsprobleme auftreten; auch fehlt es an einer ohne weiteres gegebenen Möglichkeit der Weiterleitung für den Empfänger (vgl. Gasteyer/Säljemar, Vertraulichkeit im Wandel digitaler Kommunikationswege, NJW 2020, 1768 [1771]).
Aus alledem folgt, dass bei Daten, die unter Art. 9 oder 10 DS-GVO fallen, in jedem Fall besondere Schutzmaßnahmen zu ergreifen sind, da insoweit schon aufgrund der allgemeinen datenschutzrechtlichen Wertung stets von einem hohen Risiko ausgegangen werden muss. Gleiches dürfte für Fälle gelten, wenn etwa ein „Interesse krimineller und ressourcenreicher Dritter“ absehbar ist (vgl. Wagner, Anwaltliches Berufsrecht und Datenschutz: Einheit, Widerspruch oder Parallelwelten?, BRAK-Mitteilungen 4/2019, 167 [172]). Auch wenn die DS-GVO Berufsgeheimnisträger nicht ausdrücklich im Normtext adressiert, kann diese Eigenschaft in der Gesamtabwägung bezüglich des „angemessenen Schutzniveaus“ eine Rolle spielen (vgl. ErwGr. 75 Satz 1 DS-GVO: „Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten“), aber muss für sich genommen noch nicht allein ausschlaggebend sein, um einen höheren Schutzbedarf zu begründen (vgl. allgemein: Piltz, in: Gola, Datenschutz-Grundverordnung, 2. Auflage 2018, Art. 24, Rn. 38). Daher erscheint es allenfalls sachgerecht, bei nicht von Art. 9 und 10 DS-GVO erfassten Daten im Rahmen einer mandatsbezogenen Kommunikation von Rechtsanwälten als Berufsgeheimnisträger in Zweifelsfällen eine widerlegliche Vermutung für einen besonderen Schutzbedarf der übermittelten Informationen zu sehen (vgl. zur Verschwiegenheitspflicht: Träger, in: Weyland, Bundesrechtsanwaltsordnung: BRAO, 10. Auflage 2020, § 43a, Rn. 17). Ein solcher Zweifelsfall liegt hier indes nicht vor.
Generell wird aber die Verwendung einer Transportverschlüsselung datenschutzrechtlich – auch bei Berufsgeheimnisträgern – ausreichend sein, sofern keine Anhaltspunkte für besonders sensible Daten bestehen oder sonstige Umstände hinzutreten. Vielmehr ist die Kommunikation mittels (obligatorisch) transportverschlüsselter E-Mails auch im geschäftlichen Verkehr durchaus als sozialadäquat und wohl derzeit noch als (Mindest-)Stand der Technik einzustufen (vgl. Gasteyer/Säljemar, Vertraulichkeit im Wandel digitaler Kommunikationswege, NJW 2020, 1768 [1771]). Ebenso gehört die etwaige (unbefugte) Kenntnisnahme Dritter von Inhalten der elektronischen Kommunikation – wie auch bei anderen (analogen) Kommunikationsformen – zum allgemeinen Lebensrisiko. Besondere Anhaltspunkte, die einen erhöhten Schutzbedarf begründen und das bei einer hier vorliegenden Form der Transportverschlüsselung bestehende Restrisiko als nicht (mehr) angemessen erscheinen lassen, lagen hier nicht vor. Es handelte sich zunächst weder um Daten, die von Art. 9 und 10 DS-GVO erfasst waren, noch kamen diese den dort genannten Datenkategorien auch nur nahe. Dabei dürfte auch anzunehmen sein, dass die vorgenannten Vorschriften tendenziell eng oder zumindest nicht schematisch auszulegen sind (vgl. dazu VG Mainz, Urteil vom 24. September 2020 – 1 K 584/19.MZ -, juris, Rn. 27 ff.; siehe auch Schulz, in: Gola, Datenschutz-Grundverordnung, 2. Auflage 2018, Art. 9, Rn. 13 ff.). Schließlich war hier zudem keine „Bewertung“ des Verhaltens oder der Leistungsfähigkeit des betroffenen Beschwerdeführers oder sonstiger Personen (vgl. ErwGr. 75 Satz 3 DS-GVO) Gegenstand der E-Mail. Spezielle Indizien für einen naheliegenden Verlust der Vertraulichkeit lagen nicht vor („Eintrittswahrscheinlichkeit“); die sonstigen Umstände, Zwecke und der Umfang der Datenverarbeitung bieten ebenfalls keine Anhaltspunkte für einen in diesem Einzelfall wesentlich erhöhten Schutzbedarf. Allein die Tatsache, dass der Kläger und die Betroffenen (untereinander) in eine (jedenfalls außergerichtliche) rechtliche Auseinandersetzung verwickelt waren, reicht nicht aus.
Hier ist demnach nicht davon auszugehen gewesen, dass es sich – mangels gegenteiliger Anhaltspunkte – jedenfalls um derart schutzbedürftige Datenverarbeitungsvorgänge handelt, bei denen für die tatsächlich erfolgte Art der Versendung im Einzelfall kein angemessenes Schutzniveau gewährleistet war. Allein die pauschale subjektive Einschätzung des Beklagten im Bescheid vom 14. August 2019, dass es sich um „sensible“ Informationen handle, kann hier nicht den seinerseits angenommenen erhöhten Schutzbedarf rechtfertigen. Zwar ist der Kläger hier gemäß Art. 5 Abs. 2 DS-GVO für die Einhaltung der Voraussetzungen des Art. 32 Abs. 1 DS-GVO nachweispflichtig (vgl. zur Beweislast: Pötters, in: Gola, Datenschutz-Grundverordnung, 2. Auflage 2018, Art. 5, Rn. 34; Herbst, in: Kühling/Buchner, DS-GVO BDSG, 2. Auflage 2018, Art. 5, Rn. 80), allerdings entbindet dies die beklagte Aufsichtsbehörde nicht davon, ihre Auffassung – auf Grundlage der (nachgewiesenen) Angaben des Verantwortlichen und sonstiger Ermittlungen – nachvollziehbar darzulegen, warum im Einzelfall das angemessene Schutzniveau durch die entsprechenden Maßnahmen nicht gewahrt war. Es hätte zudem für den Beklagten im Rahmen der Amtsermittlung naheliegen müssen, das entsprechende Schreiben des Klägers schon im Verwaltungsverfahren anzufordern (vgl. dazu allgemein etwa: Veil, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 3. Auflage 2019, Teil II, Kap. 1 D, Rn. 35 ff.).
Insgesamt konnte daher nicht allein deshalb von einem „hohen Risiko“ und infolgedessen von dem Erfordernis einer Ende-zu-Ende-Verschlüsselung oder einer qualifizierten Transportverschlüsselung ausgegangen werden, weil es sich bei dem Kläger um einen Berufsgeheimnisträger handelt (a. A. Orientierungshilfe des Arbeitskreises „Technische und organisatorische Datenschutzfragen“ der Datenschutzkonferenz, Stand: 13. März 2020, S. 4 f.). Dies folgt auch nicht aus ErwGr. 75 Satz 1 DS-GVO, wonach Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – aus einer Verarbeitung personenbezogener Daten hervorgehen können, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann. Dies impliziert letztlich nicht zwingend, bei jeder mandatsbezogenen Kommunikation eines Berufsgeheimnisträgers von einem erhöhten Schutzbedarf mit der Folge einer verpflichtenden Ende-zu-Ende-Verschlüsselung oder qualifizierten Transportverschlüsselung auszugehen. Vielmehr legt dies eine einzelfallbezogene Betrachtung nahe, in der die Eigenschaft als Berufsgeheimnisträger nur einen Aspekt unter vielen darstellen kann. Schließlich orientiert sich Art. 32 Abs. 1 DS-GVO auch generell am „Einzelfallrisiko“ (vgl. Martini, in: Paal/Pauly, DS-GVO BDSG, 2. Auflage 2018, Art. 32, Rn. 46; Römermann/Praß, in: BeckOK BORA, Römermann, 30. Edition, Stand: 1. Juni 2020, § 2, Rn. 44), das hier in einer Gesamtbetrachtung nicht als wesentlich erhöht einzustufen war
Allenfalls könnten sich derartig umfassende (weitergehende) Regelungen zur Nutzung bestimmter Techniken – eine entsprechende Kompetenz des nationalen Gesetzgebers vorausgesetzt (vgl. dazu auch die Öffnungsklausel im Hinblick auf Befugnisse der Aufsichtsbehörden in Art. 90 DS-GVO) – in Bezug auf eine Verschwiegenheit im nationalen berufsrechtlichen Kontext (z.B. BORA) wiederfinden, wobei die Kontrolle ihrer Einhaltung dann wohl nicht dem Beklagten obläge (siehe etwa zur Frage der hinreichenden Sicherheit des besonderen elektronischen Anwaltspostfachs trotz fehlender Ende-zu-Ende-Verschlüsselung: Anwaltsgerichtshof Berlin, Urteil vom 14. November 2019 – I AGH 6/18 -, juris).