“Aus den vagen gesetz­li­chen For­mu­lie­rung einen Frei­brief zu lesen, um auf die Ver­schlüs­se­lung von E‑Mails zu ver­zich­ten wäre indes fatal und soll­te jedem Ver­ant­wort­li­chen die erheb­li­che Höhen der Geld­bu­ßen des Arti­kel 83 DSGVO in Erin­ne­rung rufen.” – Mat­thi­as Herkert

Nach Erhe­bun­gen des Digi­tal­ver­ban­des Bit­kom gehen in Deutsch­land durch­schnitt­lich 21 E‑Mails pro Tag im beruf­li­chen Post­fach jedes Beschäf­tig­ten ein. Die digi­ta­le Kom­mu­ni­ka­ti­on über E‑Mail hat damit nach wie vor einen hohen, in vie­len Bran­chen einen domi­nie­ren­den Anteil an der betrieb­li­chen Kor­re­spon­denz. Da in prak­tisch allen Fäl­len auch per­so­nen­be­zo­ge­ne Daten durch die E‑Mail über­mit­telt wer­den, lohnt sich ein kri­ti­scher Blick auf die gesetz­li­chen Rah­men­be­din­gun­gen und auf die Ver­sand­pra­xis im eige­nen Unternehmen.

Ver­schlüs­se­lung von E‑Mails dient der Sicher­heit der Verarbeitung

Ziel jeder Ver­schlüs­se­lung einer E‑Mail-Korrespondenz ist es, den Inhalt der digi­ta­len Kor­re­spon­denz für unbe­fug­te Drit­te unzu­gäng­lich vom Sen­der an den Emp­fän­ger zu über­mit­teln und so die Ver­trau­lich­keit, Authen­ti­zi­tät und Inte­gri­tät der Kom­mu­ni­ka­ti­on zu gewährleisten.

Die Ver­schlüs­se­lung ist damit Teil der in Arti­kel 32 DSGVO gefor­der­ten »Sicher­heit der Ver­ar­bei­tung« und soll, abhän­gig vom jeweils indi­vi­du­el­len Risi­ko der E‑Mail-Korrespondenz für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen, ein ange­mes­se­nes Schutz­ni­veau der per­so­nen­be­zo­ge­nen Daten gewährleisten.

Ist eine Ver­schlüs­se­lung von E‑Mails gesetz­lich vorgeschrieben

Eine kon­kre­te Pflicht zur Ver­schlüs­se­lung der E‑Mail-Korrespondenz ist  weder in der Daten­schutz­grund­ver­ord­nung noch im Bun­des­da­ten­schutz­ge­setz ent­hal­ten. Bei­de Daten­schutz­ge­set­ze beschrie­ben viel­mehr die Ver­schlüs­se­lung digi­ta­ler Kor­re­spon­denz als eine mög­li­che Maß­nah­me, um eine siche­re Daten­ver­ar­bei­tung zu erreichen.

So führt § 64 Abs. 2 BDSG an, ein dem jewei­li­gen Risi­ko ange­mes­se­nes Schutz­ni­veau »kön­ne unter ande­rem« durch die Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten erreicht wer­den. Arti­kel 32 Abs. 1 DSGVO bleibt genau­so vage und stellt fest, die Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten kön­ne »gege­be­nen­falls unter ande­rem« zu einem ange­mes­se­nen Daten­schutz­ni­veau führen.

Aus die­ser For­mu­lie­rung nun einen Frei­brief zu lesen, um auf die Ver­schlüs­se­lung von E‑Mails grund­sätz­lich zu ver­zich­ten wäre indes fatal und soll­te jedem Ver­ant­wort­li­chen noch­mals die erheb­li­che Höhen der Geld­bu­ßen des Arti­kel 83 DSGVO in Erin­ne­rung rufen.

Denn die Errei­chung der gesetz­lich Sicher­heits­stan­dards zum Schutz per­so­nen­be­zo­ge­ner Daten wird in der Pra­xis ohne eine ent­spre­chen­de Ver­schlüs­se­lung digi­ta­ler Kor­re­spon­denz meinst kaum erreich­bar sein bezie­hungs­wei­se ent­sprä­che wohl regel­mä­ßig nicht mehr dem gefor­der­ten Stand der Technik.

So sind die ver­ant­wort­li­chen Stel­len in den Unter­neh­men und Ein­rich­tun­gen auf­ge­ru­fen, den Umfang der eige­nen Ver­schlüs­se­lungs­tech­ni­ken und ins­be­son­de­re auch die Art der tech­ni­schen Ver­schlüs­se­lung an einer risi­ko­ba­sier­ten Betrach­tung der eige­nen digi­ta­len Kor­re­spon­denz auszurichten.

Risi­ko­ba­sier­te Ansät­ze bei der Gestal­tung der E‑Mail-Verschlüsselung

Um zu ent­schei­den, ob und wie (z.B. Inhalts­ver­schlüs­se­lung oder Trans­port­ver­schlüs­se­lung, Schlüs­sel­län­gen von 128 Bit oder 256 Bit) die betrieb­li­che E‑Mail-Korrespondenz zu ver­schlüs­selt ist, muss der indi­vi­du­el­le »Schutz­be­darf« der betrof­fe­nen per­so­nen­be­zo­ge­nen Daten bekannt sein.

Wäh­rend der Fall bei »beson­de­rer Kate­go­rien per­so­nen­be­zo­ge­ner Daten« i.S.d. Arti­kel 9 Abs. 1 DSGVO wie etwa Gesund­heits­da­ten noch klar ist, ist die Abwä­gung der Ange­mes­sen­heit der Schutz­maß­na­hem in ande­ren Fäl­len schwe­rer. So kann die Über­le­gung, ob eine rei­ne Ter­min­be­stä­ti­gung mit der Anga­be von Datum, Uhr­zeit und Ort des Tref­fens ver­schlüs­selt ver­sandt wer­den muss, bei einer Schrei­ne­rei anders aus­fal­len als bei einem auf Schei­dungs­recht spe­zia­li­sier­ten Rechts­an­walt. Auch wird die Art der Ver­schlüs­se­lung stark vom jewei­li­gen Geschäfts­mo­dell abhän­gen. Wenn etwa beim Ver­sand einer Waren­rech­nung an einen betrieb­li­chen Kun­den eine Trans­port­ver­schlüs­se­lung (Punkt-zu-Punkt-Verschlüsselung) aus­rei­chen sein mag, wird beim Ver­sand der Lohn­ab­rech­nung per E‑Mail an einen Arbeit­neh­mer sicher­lich eine Inhalts­ver­schlüs­se­lung (Ende-zu-Ende-Verschlüsselung) erfor­der­lich sein.

Fazit

Auch wenn weder die DSGVO noch das BDSG einen unab­ding­ba­ren Zwang zur Ver­schlüs­se­lung von E‑Mails vor­se­hen, wer­den Risi­ko­ab­wä­gun­gen und Schutz­be­darfs­ana­ly­sen in der Pra­xis in den meis­ten Fäl­len den Ein­satz kryp­to­gra­phi­scher Anwen­dun­gen in der E‑Mail-Korrespondenz erfor­der­lich machen, um das gesetz­lich gefor­der­te »ange­mes­se­ne Schutz­ni­veau« zu erreichen.

Die Umset­zung einer risi­ko­ad­äqua­ten E‑Mail-Verschlüsselung ist dabei inzwi­schen tech­nisch oft unkom­pli­zier­ter als erwar­tet und ermög­licht den Umstieg auf eine ver­schlüs­sel­te Kom­mu­ni­ka­ti­on auch für klei­ne­re Unternehmen.