25.06.2020Fachbeitrag

Update Datenschutz Nr. 79

Verschlüsselungspflicht bei E-Mail-Kommunikation?!

Der richtige Maßstab für die Einhaltung der datenschutzrechtlich erforderlichen technischen und organisatorischen Datensicherheits-Maßnahmen nach Art. 32 DSGVO im Rahmen der elektronischen Kommunikation, insbesondere bei E-Mail, ist für viele Unternehmen eine große Herausforderung. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat zu dem Thema eine Orientierungshilfe veröffentlicht. Es handelt sich dabei um einen Mehrheitsbeschluss gegen die Stimme Bayerns. Die Orientierungshilfe konkretisiert die technischen und organisatorischen Schutzmaßnahmen, die datenschutzrechtlich Verantwortliche bei Kommunikation via E-Mail nach Auffassung der DSK ergreifen müssen.

Pflicht zur Implementierung von Schutzmaßnahmen

Die DSK sieht es als Pflicht des Verantwortlichen und jeden Auftragsverarbeiters an, die Risiken für den Schutz personenbezogener Daten, die durch den Versand und Empfang von E-Mails entstehen, zu minimieren. Die Pflicht zur Implementierung von angemessenen technischen und organisatorischen Schutzmaßnahmen ergibt sich aus Art. 5 Abs. 1 lit. f, Art. 25 und Art. 32 Abs. DSGVO. Art. 32 DSGVO bestimmt als insoweit zentrale Norm für, dass Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen müssen. Bei der Bestimmung der geeigneten Maßnahmen handelt es sich um eine Abwägungsentscheidung des Verantwortlichen, bei der insbesondere das Risiko für den Schutz der personenbezogenen Daten berücksichtigt werden muss.

Methoden der Verschlüsselung bei E-Mail-Kommunikation

Nach dem derzeitigen Stand der Technik gibt es laut DSK zwei geeignete technische Schutzmechanismen bei der Kommunikation per E-Mail: die (qualifizierte) Transportverschlüsselung und Ende-zu-Ende-Verschlüsselung. Ohne Verschlüsselung können eine E-Mail und alle enthaltenen Daten von jedem eingesehen werden, der den Datenverkehr abgreift. Bei der Transportverschlüsselung (auch Punkt-zu-Punkt-Verschlüsselung genannt) wird die Übertragung einer E-Mail verschlüsselt. Eine E-Mail wird – vereinfacht dargestellt – vom Rechner des Absenders über die Server der E-Mail-Anbieter des Absenders und des Empfängers zum Rechner des Empfängers gesendet. Auf dem jeweiligen Übertragungsweg sind die Inhalte verschlüsselt. Die Transportverschlüsselung erfolgt automatisch, d. h. ohne dass Sender und Empfänger gesonderte Maßnahmen treffen müssen, wenn sie auf den jeweiligen Servern aktiviert ist. Bei der Ende-zu-Ende-Verschlüsselung wird eine E-Mail bereits auf dem System des Senders verschlüsselt, in dieser Form übermittelt und erst beim Empfänger entschlüsselt. Sie gewährleistet ein höheres Schutzniveau, erfordert allerdings zusätzliche Maßnahmen. Beispielsweise müssen Sender und Empfänger vorher Schlüssel austauschen, um die Nachrichten lesen zu können.

Grundsätzlich notwendige Maßnahmen

Nach Auffassung der DSK gelten beim Versand und beim Empfang von E-Mails folgende Grundsätze:

  • Der Versand von E-Mails muss grundsätzlich mindestens transportverschlüsselt erfolgen (siehe zu den technischen Details Ziffer 5.1 der Orientierungshilfe).
  • Sollen sensible Daten verschickt werden, müssen ergänzende Maßnahmen wie eine Ende-zu-Ende-Verschlüsselung (siehe Ziffer 5.3) und eine qualifizierte Transportverschlüsselung getroffen werden. Sensible Daten sind solche, die besonders schützenswert sind. Das können besondere personenbezogene Daten sein, aber Daten wie Kontoinformationen.

Ob eine Einwilligung in den unverschlüsselten Versand möglich ist, ist umstritten (siehe unten).
Die Voraussetzungen für eine qualifizierte Transportverschlüsselung sind in Ziffer 5.2 der Orientierungshilfe ausgeführt und bestehen im Wesentlichen aus der Einhaltung technischer Normen und Kryptographiegrundsätze.

Schutzmaßnahmen auch beim Empfang?

Die Pflicht zur Implementierung von Schutzmaßnahmen liegt eigentlich beim Absender einer E-Mail, da der Empfänger zunächst nicht der datenschutzrechtlich Verantwortliche für die versandten personenbezogenen Daten ist. Die DSK meint aber dennoch, dass ein Empfänger Schutzmaßnahmen treffen müsse, etwa wenn er den Absender zum Versand von personenbezogenen Daten auffordert. Beim Empfang von E-Mails soll demnach bei normalen Risiken eine Transportverschlüsselung gewährleistet werden. Bei hohen Risiken fordert die DSK die Ermöglichung sowohl einer qualifizierten Transportverschlüsselung als auch des Empfangs von Ende-zu-Ende verschlüsselter Nachrichten. Ein Beispiel für hohe Risiken können Gesundheitsdaten sein, die eine Krankenversicherung als Verantwortliche von ihren Kunden per Mail erhalten will.

Höhere Anforderungen für Berufsgeheimnisträger

Im Falle von Berufsgeheimnisträgern stellt die DSK weitere Anforderungen auf. Zu den Berufsgeheimnisträgern gehören alle in § 203 Abs. 1 Strafgesetzbuch (StGB) genannten Berufsgruppen, insbesondere Ärzte, Apotheker, Anwälte und Steuerberater. Nach Auffassung der DSK sind diese Verantwortlichen im Falle eines hohen Risiko dazu verpflichtet, über die bereits ausgeführten Anforderungen beim Versand und Empfang von E-Mails hinaus durch Verschlüsselung sicherzustellen, dass nur die Personen eine Entschlüsselung vornehmen können, an die die Inhalte der Nachrichten offenbart werden dürfen. Das bedeutet, dass zum Beispiel bei der Entscheidung über geeignete Maßnahmen für die Sicherheit der in der Mitteilung enthaltenen personenbezogenen Daten auch mitberücksichtigt werden muss, ob möglicherweise Dritte eine Zugriffsmöglichkeit auf das Postfach des Empfängers haben. Das kann zum Beispiel sein, wenn Vertretungszugriffe eingerichtet sind.

Sonstige webbasierte Kommunikationsmittel

Die DSK ist der Auffassung, dass eine Übermittlung per E-Mail nicht stattfinden darf, wenn die erforderlichen Schutzmaßnahmen nicht getroffen werden können. Dann müssen andere Kommunikationswege genutzt werden. Das können neben „analoger“ Kommunikation auch andere webbasierte Formen sein, wie z. B. ein Webportal oder Cloud-Lösungen. Wenn der Verantwortliche eine solche Möglichkeit anbietet, muss er ebenfalls für angemessene technische und organisatorische Sicherheitsmaßnahmen sorgen (z. B. verschlüsselte Verbindungen, ggf. vorherige Verschlüsselung der Inhalte).

Einwilligung in unverschlüsselte Kommunikation

In diesem Zusammenhang stellt sich die Frage, ob eine Einwilligung des Betroffenen dazu führen kann, dass der Verantwortliche weniger oder keine Sicherheitsmaßnahmen ergreifen muss. Die Orientierungshilfe der DSK macht zu dieser umstrittenen Frage keine Ausführungen. Gegen eine solche Verzichtsmöglichkeit wird allgemein angeführt, dass Art. 32 DSGVO dies nicht ausdrücklich vorsieht. Das ist aber eine zu enge Sichtweise. Wenn der Betroffene mit seiner Einwilligung eine Rechtsgrundlage für die Verarbeitung schaffen kann (Art. 6 lit. a DSGVO), dann kann er erst recht die Modalitäten der Verarbeitung, wie z. B. die angemessenen Schutzmaßnahmen, bestimmen. Dabei müssen allerdings die strengen Anforderungen an die Einwilligung aus Art. 4 Nr. 11, Art. 6, Art. 7 DSGVO beachtet werden. Insbesondere kann die Einwilligung immer nur vom Betroffenen selbst erklärt werden. Beispielsweise kann ein Arbeitgeber dies nicht für seine Angestellten tun. Eine Einwilligung scheidet deswegen immer dann aus, wenn es um personenbezogene Daten von Personen geht, die nicht an der direkten E-Mail-Kommunikation beteiligt sind.

Zusammenfassung und Handlungsempfehlungen

Verantwortliche, die E-Mail- und sonstige elektronische Kommunikation nutzen, müssen als ersten Schritt die Risiken in den jeweiligen Verarbeitungssituationen bestimmen (siehe dazu auch das Kurzpapier Nr. 18 der DSK). Anschließend können im zweiten Schritt die erforderlichen technischen und organisatorischen Schutzmaßnahmen bestimmt und implementiert werden. Es ist praktisch nicht möglich, eine derartige Bewertung für jeden einzelnen Kommunikationsvorgang vorzunehmen. Daher sollte wie folgt vorgegangen werden:

  • Zunächst ist jedes Kommunikationsmedium einzeln zu betrachten, da sich aus den technischen Gegebenheiten unterschiedliche Risiken und unterschiedliche Schutzmaßnahmen ergeben.
  • Anschließend müssen verschiedene Fallgruppen von Daten, die über das jeweilige Medium verschickt werden, gebildet werden. Es ist nicht davon auszugehen, dass bei jeglicher Kommunikation über ein bestimmtes Medium stets gleich sensible Daten verschickt werden. Beispielweise kann eine E-Mail einen Terminvorschlag für ein Beratungsgespräch enthalten oder umfangreiche Gesundheitsdaten. Je sensibler und umfassender die Daten sind, desto strenger müssen die Sicherheitsanforderungen sein. Dieser Bewertungsprozess sollte umfassend dokumentiert werden. Daraus ergibt sich ein flexibles Instrumentarium an Sicherheitsmaßnamen, das je nach konkreter Risikobewertung ein angemessenes Schutzniveau erlaubt.
  • In einem dritten Schritt müssen alle Mitarbeiter, die E-Mail-Kommunikation und ähnliche Medien nutzen, anhand eines Leitfadens in die Lage versetzt werden, die zu ergreifenden Schutzmaßnahmen je Medium und Fallgruppe von Kommunikation bzw. übermittelten personenbezogenen Daten zu bestimmen. Beispielsweise kann die Anweisung formuliert werden, im Fall von Gesundheitsdaten eine Ende-zu-Ende-Verschlüsselung vorzunehmen. Die Transportverschlüsselung sollte als genereller Mindestschutz festgeschrieben werden. Die Einhaltung des Leitfadens muss vom Verantwortlichen regelmäßig kontrolliert werden.
  • In einem vierten Schritt müssen Kunden und andere Kommunikations-Partner informiert werden, damit diese sich auf die technischen Gegebenheiten einstellen und ggf. ihrerseits technische Vorkehrungen treffen können. Alternativ dazu können in manchen Fällen Einwilligungen bezüglich geringerer Schutzmaßnahmen eingeholt werden
Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.