Verantwortliche und Auftragsverarbeiter sind gesetzlich gehalten, die Risiken, die sich aus ihren Verarbeitungen personenbezogener Daten ergeben, hinreichend zu mindern. Das betrifft auch Risiken, die durch die Übermittlung personenbezogener Daten per E-Mail entstehen. Der gesetzlich gebotene Schutz personenbezogener Daten im Zuge der Übermittlung von E-Mail-Nachrichten erstreckt sich sowohl auf die personenbezogenen Inhalte als auch die Umstände der Kommunikation, soweit sich aus Letzteren Informationen über natürliche Personen ableiten lassen.

Sowohl Transportverschlüsselung als auch Ende-zu-Ende-Verschlüsselung mindern für ihren jeweiligen Anwendungszweck Risiken für die Vertraulichkeit und Integrität der übertragenen personenbezogenen Daten. Der Einsatz von Transportverschlüsselung bietet lediglich einen Basis-Schutz und stellt eine Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen dar. Der durchgreifendste Schutz der Inhaltsdaten wird hingegen durch Ende-zu-Ende-Verschlüsselung erreicht. Verantwortliche müssen beide Verfahren in der Abwägung der notwendigen Maßnahmen berücksichtigen.

In einer von der Datenschutzkonferenz mehrheitlich verabschiedeten Orientierungshilfe werden die Anforderungen an die Verfahren zum Versand und zur Entgegennahme von E-Mail-Nachrichten erläutert. 

Obligatorische Transportverschlüsselung

Verantwortliche, die E-Mail-Nachrichten mit personenbezogenen Daten versenden, bei denen ein Bruch der Vertraulichkeit ein normales Risiko für die Rechte und Freiheiten von natürlichen Personen darstellt, sollten sich an der TR 03108-1 orientieren und müssen eine obligatorische Transportverschlüsselung sicherstellen

Da Transportverschlüsselungen vom E-Mail-Dienst der Empfänger*innen beim Eingang der Nachricht sofort wieder aufgelöst werden und die E-Mail dann im Klartext vorliegt, ist für die Empfänger*innen nicht sofort erkennbar, dass eine Verschlüsselung stattgefunden hat. Dadurch kann dort der Eindruck entstehen, dass beim Versand der E-Mail gar keine Sicherheitsmaßnahmen getroffen wurden. Von etablierten E-Mail-Programmen werden in der Regel Warnhinweise angezeigt, wenn ein Sicherheitsmangel erkannt wurde – zum Beispiel, wenn eine Transportverschlüsselung der Nachricht nicht erfolgt ist. Je nach Konfiguration des verwendeten E-Mail-Dienstes wird bereits der Versand von Nachrichten unterbunden, falls kein gesicherter Kommunikationskanal zwischen den Diensten aufgebaut werden kann.

Ende zu-Ende-Verschlüsselung

Verantwortliche, die E-Mail-Nachrichten versenden, bei denen ein Bruch der Vertraulichkeit von personenbezogenen Daten im Inhalt der Nachricht ein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen darstellt, müssen regelmäßig eine Ende-zu-Ende-Verschlüsselung und eine qualifizierte Transportverschlüsselung vornehmen.

Die Datenschutzkonferenz empfiehlt den Verantwortlichen, ihren Auftragsverarbeitern und öffentlichen E-Mail-Diensteanbietern, die in der Orientierungshilfe genannten Anforderungen umzusetzen, um den Schutz personenbezogener Daten bei der Übermittlung per E-Mail zu gewährleisten.

Die Orientierungshilfe ist hier abrufbar.