Die Datenschutz-Grundverordnung (DS-GVO) nennt Verschlüsselung als Maßnahme zum Schutz personenbezogener Daten. Die Verschlüsselung wird explizit im Art. 32 DS-GVO als Schutzmaßnahme erwähnt (Sicherheit der Verarbeitung). Das bedeutet, wird Verschlüsselung eingesetzt, ist ein wichtiger Teil der DS-GVO umgesetzt.
Es wird gern übertrieben
Wenn man ein Computer-Magazin liest, begegnen einem viele Werbeanzeigen, die den Eindruck erwecken, dass alle E-Mails komplett und auf Basis der DS-GVO verschlüsselt werden müssen, vom Absender bis zum Empfänger (Ende-zu-Ende-Verschlüsselung). So wichtig eine Verschlüsselung auch ist: So mancher Anbieter von Verschlüsselungslösungen übertreibt und verkürzt die Forderungen der DS-GVO derart, dass man den Eindruck bekommen kann, unverschlüsselte E-Mails zu verschicken, wäre grundsätzlich eine Datenschutzverletzung. Das stimmt aber so nicht.
Es kommt darauf an – auf den Schutzbedarf
Bereits das BDSG a.F. nannte die Verschlüsselung als eine der zentralen technischen und organisatorischen Maßnahmen zum Schutz von personenbezogenen Daten. Die Verschlüsselung hatte und hat eine wichtige Stellung. Sie trägt dazu bei, das Schutzziel „Vertraulichkeit“ zu gewährleisten. Des Weiteren unterstützt sie dabei, die Integrität und Echtheit von Daten zu prüfen. Trotzdem es gilt: Geeignete technische und organisatorische Maßnahmen sollen ein Schutzniveau gewährleisten, das dem Risiko angemessen ist. Sie sollen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen ausgewählt werden.
Bei der Übermittlung von E-Mails ist grundsätzlich zwischen einer Verschlüsselung auf Inhaltsebene und einer Verschlüsselung auf Transportebene zu unterscheiden. Für die Verschlüsselung des Textes einer E-Mail sowie von Anhängen kommen in erster Linie die Standards S/MIME und OpenPGP infrage. Hinsichtlich der sicheren Implementierung der Transportebene hat das Bundesamt für Sicherheit in der Informationstechnologie die Technische Richtlinie „BSI TR-03108-1: Secure E-Mail Transport“ herausgegeben. Unter datenschutzrechtlichen Gesichtspunkten ist diese Richtlinie als Stand der Technik zu betrachten, so dass ihre Umsetzung eine notwendige Voraussetzung für die datenschutzkonforme Kommunikation per E-Mail ist.
Aus Sicht der Aufsichtsbehörden
Die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen (LDI) sagt zum Beispiel: Maßnahmen wie „Verschlüsselung“ sind als Beispiele für Standardmaßnahmen zu verstehen. Das heißt: Sofern ihr Einsatz möglich und angemessen ist, sind sie grundsätzlich umzusetzen. Es kommt, wie sooft, auf die Angemessenheit und den Schutzbedarf an. Sollen Daten mit hohem oder sehr hohem Schutzbedarf, wie etwa Gesundheits- und Sozialdaten, per E-Mail verschickt werden, ist eine Ende-zu-Ende-Verschlüsselung erforderlich.
Mitteilung des LDI: https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Technische-Anforderungen-an-technische-und-organisatorische-Massnahmen-beim-E-Mail-Versand/Technische-Anforderungen-an-technische-und-organisatorische-Massnahmen-beim-E-Mail-Versand.html
Bei der Übermittlung personenbezogener Daten mit normalem Schutzbedarf besteht die Möglichkeit, dass im Einzelfall der Verzicht auf eine Ende-zu-Ende-Verschlüsselung der Inhaltsdaten statthaft ist. Als Mindeststandard ist bei der Übermittlung personenbezogener Daten mit normalem Schutzbedarf eine Transportverschlüsselung erforderlich. Ein ausdrücklicher Wunsch des Empfängers nach Ende-zu-Ende-Verschlüsselung sollte in jedem Fall berücksichtigt werden.
Fazit
Es kommt darauf an – es kommt auf den Schutzbedarf der personenbezogenen Daten und die Art der Verschlüsselung an. Alle E-Mails zu verschlüsseln, fordert der Datenschutz nicht.
Datenschutz ist kein Produkt. Datenschutz ist ein Prozess.
Wenn Sie Fragen haben, kontaktieren Sie uns:
per E-Mail consulting@AdOrgaSolutions.de oder
Büro München +49 89 411 726 – 35 / Büro Wien +43 1 253 017- 8177.
29. Oktober 2018