Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat eine Orientierungshilfe zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail herausgegeben: https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf

Einsatz von E-Mail-Diensteanbietern

Werden E-Mail-Diensteanbieter eingesetzt, soll gesichert sein, dass diese die Vertraulichkeit und Integrität von Daten gewährleisten können. Die Anbieter müssen hierfür die Anforderungen der TR 03108-1 des BSI erfüllen, die die Anwendung von kryptografischen Algorithmen und die Überprüfung der Authentizität der Gegenseite verlangt.

Weiterhin müssen die Verantwortlichen die Diensteanbieter auf deren Datenschutzkonformität prüfen, insbesondere hinsichtlich der technischen und organisatorischen Maßnahmen.

Risikoabwägung

Die DSK geht davon aus, dass sowohl beim Versand als auch beim Empfang von E-Mails zwischen einem normalen und einem hohen Risiko abgewogen werden kann. Je nachdem um welche Art von personenbezogenen Daten es sich handelt sowie die weiteren Umstände der Übermittlung müssen Verantwortliche dieses Risiko für sich abschätzen.

Normales Risiko

Wer gezielt personenbezogene Daten per E-Mail entgegennimmt, hat ebenfalls sicherheitsrelevante Verpflichtungen zu erfüllen. Ein gezielter Erhalt von personenbezogenen Daten per E-Mail liegt immer dann vor, wenn die Übermittlung mit dem Absender vereinbart wurde oder beispielsweise auf der Homepage eine Aufforderung zur Übermittlung von personenbezogenen Daten vorhanden ist.

Empfänger sind verpflichtet die Voraussetzungen für einen sicheren Empfang über einen verschlüsselten Kanal zu ermöglichen. Es sollten mindestens TLS-Verbindungen möglich sein und ausschließlich die in der BSI TR 02102-2 aufgeführten Algorithmen verwendet werden.

E-Mails sollten mit einer obligatorischen Transportverschlüsselung versendet werden.

Hohes Risiko

E-Mails mit hohem Risiko sollten immer Ende-zu-Ende verschlüsselt werden und durch qualifizierte Transportverschlüsselung gesichert werden. Dabei können S/MIME- oder PGP-Signaturen verwendet werden. Der Austausch der Schlüssel kann jedoch aufwendig sein, weshalb hier bei Problemen ggf. auch auf Download- bzw. Kundenportale umgestiegen werden könnte.

Die Orientierungshilfe klärt im letzten Abschnitt außerdem über die Anforderungen an obligatorische und qualifizierte Transportverschlüsselung sowie die Ende-zu-Ende-Verschlüsselung auf.

Berufsgeheimnisträger

Für Berufsgeheimnisträger stellt die Orientierungshilfe klar, dass das Vorliegen eines Berufsgeheimnisses bereits ein Indiz für ein hohes Risiko darstellt. D. h. Berufsgeheimnisträger sollten bei der Übermittlung von Daten ggf. technische und organisatorische Maßnahmen wie individuelle Adressierung und Verschlüsselungstechniken einsetzen.

Andersherum ist es aber nicht so, dass Berufsgeheimnisträger die datenschutzrechtlichen Vorgaben nicht beachten müssen, wenn übermittelte Daten nicht einem Berufsgeheimnis unterliegen.

Fazit

Die DSK legt mit dieser Orientierungshilfe technische und datenschutzrechtliche Mindestvoraussetzungen vor, die beim E-Mailverkehr zu beachten sind. Da diese Orientierungshilfen von allen Datenschutzbehörden zusammen verabschiedet werden, stellt die die allgemeine Meinung aller Aufsichtsbehörden dar, weshalb sich daran orienteiert werden sollte.

Verantwortliche sollten ihr Risiko bei der E-Mail-Übermittlung prüfen und dementsprechende (Verschlüsselungs-)Maßnahmen treffen.