Wird diese Nachricht nicht richtig dargestellt, klicken Sie bitte hier.

Heuking Kühn Lüer Wojtek

Update Datenschutz
IP, Media & Technology

Nr. 79 | 25.06.2020


Verschlüsselungspflicht bei E-Mail-Kommunikation?!
Dr. Philip Kempermann, LL.M.


Der richtige Maßstab für die Einhaltung der datenschutzrechtlich erforderlichen technischen und organisatorischen Datensicherheits-Maßnahmen nach Art. 32 DSGVO im Rahmen der elektronischen Kommunikation, insbesondere bei E-Mail, ist für viele Unternehmen eine große Herausforderung. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat zu dem Thema eine Orientierungshilfe veröffentlicht. Es handelt sich dabei um einen Mehrheitsbeschluss gegen die Stimme Bayerns. Die Orientierungshilfe konkretisiert die technischen und organisatorischen Schutzmaßnahmen, die datenschutzrechtlich Verantwortliche bei Kommunikation via E-Mail nach Auffassung der DSK ergreifen müssen.

Pflicht zur Implementierung von Schutzmaßnahmen

Die DSK sieht es als Pflicht des Verantwortlichen und jeden Auftragsverarbeiters an, die Risiken für den Schutz personenbezogener Daten, die durch den Versand und Empfang von E-Mails entstehen, zu minimieren. Die Pflicht zur Implementierung von angemessenen technischen und organisatorischen Schutzmaßnahmen ergibt sich aus Art. 5 Abs. 1 lit. f, Art. 25 und Art. 32 Abs. DSGVO. Art. 32 DSGVO bestimmt als insoweit zentrale Norm für, dass Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen müssen. Bei der Bestimmung der geeigneten Maßnahmen handelt es sich um eine Abwägungsentscheidung des Verantwortlichen, bei der insbesondere das Risiko für den Schutz der personenbezogenen Daten berücksichtigt werden muss.

Methoden der Verschlüsselung bei E-Mail-Kommunikation

Nach dem derzeitigen Stand der Technik gibt es laut DSK zwei geeignete technische Schutzmechanismen bei der Kommunikation per E-Mail: die (qualifizierte) Transportverschlüsselung und Ende-zu-Ende-Verschlüsselung. Ohne Verschlüsselung können eine E-Mail und alle enthaltenen Daten von jedem eingesehen werden, der den Datenverkehr abgreift. Bei der Transportverschlüsselung (auch Punkt-zu-Punkt-Verschlüsselung genannt) wird die Übertragung einer E-Mail verschlüsselt. Eine E-Mail wird – vereinfacht dargestellt – vom Rechner des Absenders über die Server der E-Mail-Anbieter des Absenders und des Empfängers zum Rechner des Empfängers gesendet. Auf dem jeweiligen Übertragungsweg sind die Inhalte verschlüsselt. Die Transportverschlüsselung erfolgt automatisch, d. h. ohne dass Sender und Empfänger gesonderte Maßnahmen treffen müssen, wenn sie auf den jeweiligen Servern aktiviert ist. Bei der Ende-zu-Ende-Verschlüsselung wird eine E-Mail bereits auf dem System des Senders verschlüsselt, in dieser Form übermittelt und erst beim Empfänger entschlüsselt. Sie gewährleistet ein höheres Schutzniveau, erfordert allerdings zusätzliche Maßnahmen. Beispielsweise müssen Sender und Empfänger vorher Schlüssel austauschen, um die Nachrichten lesen zu können.

Grundsätzlich notwendige Maßnahmen

Nach Auffassung der DSK gelten beim Versand und beim Empfang von E-Mails folgende Grundsätze:
  • Der Versand von E-Mails muss grundsätzlich mindestens transportverschlüsselt erfolgen (siehe zu den technischen Details Ziffer 5.1 der Orientierungshilfe).
  • Sollen sensible Daten verschickt werden, müssen ergänzende Maßnahmen wie eine Ende-zu-Ende-Verschlüsselung (siehe Ziffer 5.3) und eine qualifizierte Transportverschlüsselung getroffen werden. Sensible Daten sind solche, die besonders schützenswert sind. Das können besondere personenbezogene Daten sein, aber Daten wie Kontoinformationen.
Ob eine Einwilligung in den unverschlüsselten Versand möglich ist, ist umstritten (siehe unten).
Die Voraussetzungen für eine qualifizierte Transportverschlüsselung sind in Ziffer 5.2 der Orientierungshilfe ausgeführt und bestehen im Wesentlichen aus der Einhaltung technischer Normen und Kryptographiegrundsätze.

Schutzmaßnahmen auch beim Empfang?

Die Pflicht zur Implementierung von Schutzmaßnahmen liegt eigentlich beim Absender einer E-Mail, da der Empfänger zunächst nicht der datenschutzrechtlich Verantwortliche für die versandten personenbezogenen Daten ist. Die DSK meint aber dennoch, dass ein Empfänger Schutzmaßnahmen treffen müsse, etwa wenn er den Absender zum Versand von personenbezogenen Daten auffordert. Beim Empfang von E-Mails soll demnach bei normalen Risiken eine Transportverschlüsselung gewährleistet werden. Bei hohen Risiken fordert die DSK die Ermöglichung sowohl einer qualifizierten Transportverschlüsselung als auch des Empfangs von Ende-zu-Ende verschlüsselter Nachrichten. Ein Beispiel für hohe Risiken können Gesundheitsdaten sein, die eine Krankenversicherung als Verantwortliche von ihren Kunden per Mail erhalten will.

Höhere Anforderungen für Berufsgeheimnisträger

Im Falle von Berufsgeheimnisträgern stellt die DSK weitere Anforderungen auf. Zu den Berufsgeheimnisträgern gehören alle in § 203 Abs. 1 Strafgesetzbuch (StGB) genannten Berufsgruppen, insbesondere Ärzte, Apotheker, Anwälte und Steuerberater. Nach Auffassung der DSK sind diese Verantwortlichen im Falle eines hohen Risiko dazu verpflichtet, über die bereits ausgeführten Anforderungen beim Versand und Empfang von E-Mails hinaus durch Verschlüsselung sicherzustellen, dass nur die Personen eine Entschlüsselung vornehmen können, an die die Inhalte der Nachrichten offenbart werden dürfen. Das bedeutet, dass zum Beispiel bei der Entscheidung über geeignete Maßnahmen für die Sicherheit der in der Mitteilung enthaltenen personenbezogenen Daten auch mitberücksichtigt werden muss, ob möglicherweise Dritte eine Zugriffsmöglichkeit auf das Postfach des Empfängers haben. Das kann zum Beispiel sein, wenn Vertretungszugriffe eingerichtet sind.

Sonstige webbasierte Kommunikationsmittel

Die DSK ist der Auffassung, dass eine Übermittlung per E-Mail nicht stattfinden darf, wenn die erforderlichen Schutzmaßnahmen nicht getroffen werden können. Dann müssen andere Kommunikationswege genutzt werden. Das können neben „analoger“ Kommunikation auch andere webbasierte Formen sein, wie z. B. ein Webportal oder Cloud-Lösungen. Wenn der Verantwortliche eine solche Möglichkeit anbietet, muss er ebenfalls für angemessene technische und organisatorische Sicherheitsmaßnahmen sorgen (z. B. verschlüsselte Verbindungen, ggf. vorherige Verschlüsselung der Inhalte).

Einwilligung in unverschlüsselte Kommunikation

In diesem Zusammenhang stellt sich die Frage, ob eine Einwilligung des Betroffenen dazu führen kann, dass der Verantwortliche weniger oder keine Sicherheitsmaßnahmen ergreifen muss. Die Orientierungshilfe der DSK macht zu dieser umstrittenen Frage keine Ausführungen. Gegen eine solche Verzichtsmöglichkeit wird allgemein angeführt, dass Art. 32 DSGVO dies nicht ausdrücklich vorsieht. Das ist aber eine zu enge Sichtweise. Wenn der Betroffene mit seiner Einwilligung eine Rechtsgrundlage für die Verarbeitung schaffen kann (Art. 6 lit. a DSGVO), dann kann er erst recht die Modalitäten der Verarbeitung, wie z. B. die angemessenen Schutzmaßnahmen, bestimmen. Dabei müssen allerdings die strengen Anforderungen an die Einwilligung aus Art. 4 Nr. 11, Art. 6, Art. 7 DSGVO beachtet werden. Insbesondere kann die Einwilligung immer nur vom Betroffenen selbst erklärt werden. Beispielsweise kann ein Arbeitgeber dies nicht für seine Angestellten tun. Eine Einwilligung scheidet deswegen immer dann aus, wenn es um personenbezogene Daten von Personen geht, die nicht an der direkten E-Mail-Kommunikation beteiligt sind.

Zusammenfassung und Handlungsempfehlungen

Verantwortliche, die E-Mail- und sonstige elektronische Kommunikation nutzen, müssen als ersten Schritt die Risiken in den jeweiligen Verarbeitungssituationen bestimmen (siehe dazu auch das Kurzpapier Nr. 18 der DSK). Anschließend können im zweiten Schritt die erforderlichen technischen und organisatorischen Schutzmaßnahmen bestimmt und implementiert werden. Es ist praktisch nicht möglich, eine derartige Bewertung für jeden einzelnen Kommunikationsvorgang vorzunehmen. Daher sollte wie folgt vorgegangen werden:
  • Zunächst ist jedes Kommunikationsmedium einzeln zu betrachten, da sich aus den technischen Gegebenheiten unterschiedliche Risiken und unterschiedliche Schutzmaßnahmen ergeben.
  • Anschließend müssen verschiedene Fallgruppen von Daten, die über das jeweilige Medium verschickt werden, gebildet werden. Es ist nicht davon auszugehen, dass bei jeglicher Kommunikation über ein bestimmtes Medium stets gleich sensible Daten verschickt werden. Beispielweise kann eine E-Mail einen Terminvorschlag für ein Beratungsgespräch enthalten oder umfangreiche Gesundheitsdaten. Je sensibler und umfassender die Daten sind, desto strenger müssen die Sicherheitsanforderungen sein. Dieser Bewertungsprozess sollte umfassend dokumentiert werden. Daraus ergibt sich ein flexibles Instrumentarium an Sicherheitsmaßnamen, das je nach konkreter Risikobewertung ein angemessenes Schutzniveau erlaubt.
  • In einem dritten Schritt müssen alle Mitarbeiter, die E-Mail-Kommunikation und ähnliche Medien nutzen, anhand eines Leitfadens in die Lage versetzt werden, die zu ergreifenden Schutzmaßnahmen je Medium und Fallgruppe von Kommunikation bzw. übermittelten personenbezogenen Daten zu bestimmen. Beispielsweise kann die Anweisung formuliert werden, im Fall von Gesundheitsdaten eine Ende-zu-Ende-Verschlüsselung vorzunehmen. Die Transportverschlüsselung sollte als genereller Mindestschutz festgeschrieben werden. Die Einhaltung des Leitfadens muss vom Verantwortlichen regelmäßig kontrolliert werden.
  • In einem vierten Schritt müssen Kunden und andere Kommunikations-Partner informiert werden, damit diese sich auf die technischen Gegebenheiten einstellen und ggf. ihrerseits technische Vorkehrungen treffen können. Alternativ dazu können in manchen Fällen Einwilligungen bezüglich geringerer Schutzmaßnahmen eingeholt werden

Autor


Dr. Philip Kempermann, LL.M., ist Rechtsanwalt und Partner bei Heuking Kühn Lüer Wojtek und Mitglied der Praxisgruppe IP, Media & Technology.

Kontakt
T +49 211 600 55-168
F +49 211 600 55-160
E datenschutz@heuking.de

Besuchen Sie auch unsere Themenseite zum Datenschutzrecht:
Microsite Datenschutz
Task-Force-Datenschutz
Heuking Kühn Lüer Wojtek
Dr. Christian Appelbaum
Heuking Kühn Lüer Wojtek
Dr. Ubbo Aßmus
Heuking Kühn Lüer Wojtek
Dr. Felix Drefs
Heuking Kühn Lüer Wojtek
Alexa Finke, LL.M.
Heuking Kühn Lüer Wojtek
Regina Glaser, LL.M.
Heuking Kühn Lüer Wojtek
Torsten Groß, LL.M.
Heuking Kühn Lüer Wojtek
Maike Katharina Hinz
Heuking Kühn Lüer Wojtek
Britta Hinzpeter, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Thomas Jansen
Heuking Kühn Lüer Wojtek
Dr. Philip Kempermann, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Lutz Martin Keppeler
Heuking Kühn Lüer Wojtek
Dr. Markus Klinger
Heuking Kühn Lüer Wojtek
Michael Kuska, LL.M., LL.M.
Heuking Kühn Lüer Wojtek
Astrid Luedtke
Heuking Kühn Lüer Wojtek
Marcel Maybaum
Heuking Kühn Lüer Wojtek
Antje Münch, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Søren Pietzcker, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Wolfgang G. Renner, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Dirk Stolz
Heuking Kühn Lüer Wojtek
Dr. Frederik Wiemer
Heuking Kühn Lüer Wojtek
Dr. Florian Winzer
Heuking Kühn Lüer Wojtek
Dr. Hans Markus Wulf







Ich möchte den Newsletter
> abbestellen

> bestellen









Heuking Kühn Lüer Wojtek
© 2020 Heuking Kühn Lüer Wojtek

PartGmbB von Rechtsanwälten und Steuerberatern*
Georg-Glock-Str. 4, 40474 Düsseldorf

* Datenschutzinformationen / Registerangaben / Liste der Partner: www.heuking.de

Informationen darüber, wie Heuking Kühn Lüer Wojtek mit Ihren personenbezogenen Daten umgeht,
zu welchen Zwecken Ihre Daten verarbeitet werden, die Rechtsgrundlagen der Verarbeitung und
welche Rechte Sie haben, können Sie unter www.heuking.de nachlesen.

datenschutz@heuking.de