8.3 Unverschlüsselter EMailVersand
Die sichere Verarbeitung personenbezogener Daten
ist eine Grundvoraussetzung. Selbst mögliche Einwilligungen betroffener Personen zum unverschlüsselten
E-Mail-Versand können Verantwortliche daher nicht
von ihrer Pflicht entbinden, geeignete technische und
organisatorische Maßnahmen zum Schutz personenbezogener Daten vor unbefugter Offenbarung zu treffen.
Der Umgang mit Daten muss sowohl in der analogen
Welt als auch der digitalen Welt sicher gestaltet werden. Meine Prüfungspraxis und die Beschwerden von
Bürgerinnen und Bürgern zeigen mir aber, dass der
Datenschutz leidet, weil hier unterschiedliche Standards
verwendet werden. So versenden verschiedene öffentliche Stellen und Unternehmen per unverschlüsselter
E-Mail auch sensible Daten der Bürgerinnen und Bürger.
Besonders kritisch ist dies zu bewerten, wenn diese
Praxis gemäß Art. 9 DSGVO besonders zu schützende Gesundheitsdaten betrifft. Die fehlende Vertraulichkeit einer unverschlüsselten E-Mail-Kommunikation ist allseits
bekannt. Unverschlüsselte E-Mails entsprechen im Hinblick auf den Schutz der Vertraulichkeit in der analogen
Welt einem Versand per Postkarte. Wer Informationen
also beim Postversand nicht per Postkarte, sondern nur
in einem verschlossenen Umschlag verschickt, sollte sie
beim elektronischen Versand auch in einer verschlüsselten E-Mail versenden.
Verschlüsselung als „geeignete technische Maßnahme“!
Gem. Art. 5 Abs. 1 lit. f DSGVO sind personenbezogene Daten so zu verarbeiten, dass eine angemessene
Sicherheit dieser Daten gewährleistet ist. Das umfasst den Schutz vor unbefugter oder unrechtmäßiger
Verarbeitung, unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung sowie unbeabsichtigter Schädigung
durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Welche
technischen und organisatorischen Maßnahmen im Einzelnen getroffen werden müssen, hängt dabei vom
Risiko für die Rechte und Freiheiten der von der Datenverarbeitung betroffenen Personen ab. Je sensib
ler die Daten (als besonders sensibel gelten die in Art. 9 DSGVO genannten besonderen Kategorien von
personenbezogenen Daten, wie etwa Gesundheitsdaten), desto höher sind die Anforderungen an die zu
treffenden Schutzmaßnahmen.
Zwar muss nicht zwangsläufig jede Übermittlung personenbezogener Daten auf elektronischem Wege per
EndezuEnde verschlüsselter EMail erfolgen. Dieses Verfahren ist eine mögliche bei Datenübermittlun
gen sogar wesentliche Maßnahme, um ein angemessenes Schutzniveau zu gewährleisten. Eine andere
Möglichkeit ist beispielsweise der EMailVersand von Dokumenten in passwortgeschützten Archiven.
Dabei ist aber darauf zu achten, dass die verwendete Verschlüsselungstechnik ausreichend sicher ist und
entsprechend sichere Passwörter verwendet werden. Das zum Entschlüsseln notwendige Passwort muss
zudem auf sichere Art und Weise übermittelt werden. Das setzt in der Regel einen separaten Kommu
nikationsweg voraus. Eine unverschlüsselte EMail und erst recht der Text der EMail selbst, an die das
verschlüsselte Archiv angehängt ist, gewährleisten keinerlei Sicherheit. Im geeigneten Kontext kann
auch mittels lückenloser Verschlüsselung des Transportweges ein angemessenes Schutzniveau erreicht
werden. Ein OnlineAbruf von schützenswerten Daten über eine verschlüsselte Verbindung ermöglicht für
Absender und Empfänger ein bekanntes und praktikables Verfahren. Die notwendigen Zugangsmerkmale
(Login, Passwort) sind, wie bereits zuvor beschrieben, über einen anderen und sicheren Kommunikations
weg zu übermitteln. In vielen Fällen ist die Sicherheit von EMails besonders gering, da sie vielfach nicht
einmal mit einer Transportverschlüsselung über das Internet versandt werden. Dies wäre technisch um
setzbar, wurde jedoch von einigen Providern in den letzten Jahren nicht verfolgt. Innerhalb der deutschen
Netzlandschaft besteht daher ein Nachholbedarf.
Da das Schutzniveau auch nach der Schwere des Risikos für die Rechte und Freiheiten der betroffenen
Personen zu bestimmen ist, sind in Ausnahmefällen sogar Fallkonstellationen denkbar, in denen eine
unverschlüsselte Kommunikation per EMail zulässig ist. Das gilt beispielsweise für elektronische Be
nachrichtigungen durch eine unverschlüsselte EMail über die Bereitstellung von sensiblen Daten in einer
geschützten Umgebung (z. B. über Login und Passwort zu einem bestehenden Account).
Tätigkeitsbericht zum Datenschutz für 2019
63