Technische Anforderungen an technische und organisatorische Maßnahmen beim E-Mail-Versand

Laptop

Wie ist die Datenschutz-Grundverordnung (DS-GVO) in Bezug auf den unverschlüsselten Versand von E-Mails zu interpretieren?

E-Mails enthalten zusätzlich zu den Inhaltsdaten (d.h. dem Text der Mail und etwaigen Anhängen) auch Metadaten wie Absender und Empfänger, das Datum und den Betreff.

Sowohl Inhalts- als auch Metadaten können personenbezogene Daten beinhalten. Daher sind bei der datenschutzrechtlichen Beurteilung beide Datenarten zu berücksichtigen.

Nach Art. 32 DS-GVO sind geeignete und angemessene Maßnahmen zu treffen, um die Sicherheit der Verarbeitung personenbezogener Daten und damit auch deren Vertraulichkeit sicherzustellen. Das Bundesdatenschutzgesetz (BDSG) und das Datenschutzgesetz Nordrhein-Westfalen in der jeweils bis zum 24.05.2018 gültigen Fassung stellen vergleichbare Anforderungen. Die in Art. 32 Abs. 1 lit. a) genannten Maßnahmen „Pseudonymisierung“ und „Verschlüsselung“ sind als Beispiele für Standardmaßnahmen zu verstehen, d.h. sofern ihr Einsatz möglich und angemessen ist, sind sie grundsätzlich umzusetzen.

Bei der Übermittlung von E-Mails ist grundsätzlich zwischen einer Verschlüsselung auf Inhaltsebene und einer Verschlüsselung auf Transportebene zu unterscheiden.

Inhaltsebene
Für die Verschlüsselung des Textes einer E-Mail sowie von Anhängen kommen in erster Linie die Standards S/MIME und OpenPGP infrage. Beide Standards unterstützen darüber hinaus digitale Signaturen, um Manipulationen auf dem Übertragungsweg entdecken zu können.

Mit S/MIME und OpenPGP ist eine Ende-zu-Ende-Verschlüsselung möglich, d.h. die Nachricht wird auf dem System des Absenders verschlüsselt und auf dem System des Empfängers entschlüsselt und liegt auf dem Übertragungsweg niemals im Klartext vor.

Die Metadaten werden von der Inhaltsverschlüsselung jedoch nicht erfasst, sie liegen auf den an der Übertragung beteiligten Servern im Klartext vor.

Transportebene
Bei einer Verschlüsselung auf Transportebene werden sowohl Meta- als auch Inhaltsdaten auf der Verbindung zwischen Mail-Client und Server bzw. zwischen verschiedenen Mail-Servern verschlüsselt. Dadurch ist sichergestellt, dass die E-Mail während des Transports über unsichere Netze wie dem Internet von Dritten nicht mitgelesen werden kann. Auf den beteiligten Mail-Servern liegt die E-Mail jedoch im Klartext vor.

Bezüglich der sicheren Implementierung der Transportebene hat das Bundesamt für Sicherheit in der Informationstechnologie die Technische Richtlinie „BSI TR-03108-1: Secure E-Mail Transport“ herausgegeben.

Unter datenschutzrechtlichen Gesichtspunkten ist diese Richtlinie als Stand der Technik zu betrachten, so dass ihre Umsetzung eine notwendige Voraussetzung für die datenschutzkonforme E-Mail-Kommunikation ist.

Fazit
Eine umfassende Absicherung der E-Mail-Kommunikation setzt den Einsatz von sowohl Transport- als auch Inhaltsverschlüsselung voraus.

Bei der Entscheidung, ob eine Ende-zu-Ende-Verschlüsselung erforderlich ist, sind der Schutzbedarf der übertragenen Daten sowie die Angemessenheit der Maßnahme zu berücksichtigen. Sollen Daten mit hohem oder sehr hohem Schutzbedarf, insbesondere die in Art. 9 Abs. 1 DS-GVO genannten besonderen Kategorien personenbezogener Daten übermittelt werden, ist eine Ende-zu-Ende-Verschlüsselung erforderlich. Da Metadaten einer E-Mail nicht durch Ende-zu-Ende-Verschlüsselung geschützt werden, ist sicherzustellen, dass sie keine Daten mit hohem oder sehr hohem Schutzbedarf enthalten. Insbesondere ist der Betreff neutral zu wählen, beispielsweise „Unser Gespräch am 01.02.“ statt „Ihre Blutwerte“.

Bei der Übermittlung personenbezogener Daten mit normalem Schutzbedarf besteht die Möglichkeit, dass im Einzelfall der Verzicht auf eine Ende-zu-Ende-Verschlüsselung der Inhaltsdaten statthaft ist.
Ein ausdrücklicher Wunsch des Empfängers nach Ende-zu-Ende-Verschlüsselung sollte jedoch in jedem Fall berücksichtigt werden.
Als Mindeststandard ist auch bei der Übermittlung personenbezogener Daten mit normalem Schutzbedarf eine Transportverschlüsselung erforderlich. Dazu ist beim Aufbau einer eigenen E-Mail-Infrastruktur die o.g. BSI-Richtlinie einzuhalten bzw. die Einhaltung der Richtlinie bei der Auswahl des E-Mail-Providers als obligatorisches Kriterium zu berücksichtigen.

In Abhängigkeit von der Art und dem Umfang der per E-Mail versandten Daten kann im Einzelfall die vorherige Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO erforderlich sein.

zurück zur Übersicht