sicherheit der verarbeitung aufsichtsbehörden datenschutz-folgenabschätzung dsfa office365

Wann ist E-Mail Verschlüsselung notwendig?

Häufig herrscht Unklarheit darüber ob und in welchen Fällen E-Mail Verschlüsselung zum Einsatz kommen muss.

Wie kommt es überhaupt zur Pflicht der E-Mail Verschlüsselung?

Grundsätzlich macht das Bundesdatenschutzgesetz (BDSG) hierzu keine eindeutigen Vorgaben. Im Rahmen der Weitergabekontrolle (Anlage zu § 9 Satz 1) ist bei der Übermittlung von personenbezogenen Daten sicherzustellen, dass diese nicht unbefugt gelesen werden können. Verschlüsselung, als eine mögliche Schutzmaßnahme, wird durch das BDSG ausdrücklich genannt. Auf der anderen Seite sind Maßnahmen nur erforderlich, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht (§ 9 Satz 2). Das bedeutet, wie so oft im Datenschutzrecht, dass eine Abwägung der unterschiedlichen Interessen stattzufinden hat.

Nur bei „sensiblen Daten“

Eine generelle Pflicht zur Verschlüsselung besteht demnach nicht. Werden nur wenige und nicht sonderlich sensible Daten übermittelt, so wird man vermutlich ohne Verschlüsselung auskommen können. Die Bestätigung eines Online Versandhandels über die erfolgte Bestellung dürfte daher im Normalfall unverschlüsselt erfolgen können. Eine Ausnahme können spezielle Versandhändler sein, wie z. B. Online Apotheken (Gesundheitsdaten) oder Erotikhändler (Daten zum Sexualleben), deren E-Mails potenziell besondere Arten personenbezogene Daten nach § 3 Abs. 9 BDSG enthalten, welche durch das BDSG besonders geschützt sind. Ob diese besonders schützenswerten Daten tatsächlich enthalten sind, ist im Einzelfall festzustellen, eine generelle Aussage kann hier nicht getroffen werden.

Auskünfte nach § 34 BDSG

Ein häufiger Fall mit steigender Tendenz dürften Auskünfte auf Anfragen nach § 34 BDSG sein. Diese Auskünfte können sensible Daten enthalten, die nicht unverschlüsselt versandt werden sollten. Dies gilt übrigens auch dann, wenn die Anfrage vom Betroffenen per E-Mail gestellt wurde. Genauso wichtig, wie die Frage nach der Verschlüsselung ist übrigens die Prüfung der Authentizität. Ist der Absender auch tatsächlich derjenige, der er vorgibt, zu sein? Solche Auskünfte sollten ausschließlich verschlüsselt versandt werden – wenn denn die Authentizität des Anfragenden sicher gestellt ist. Ansonsten ist noch nicht einmal ein verschlüsselter Versand möglich. In solchen Fällen sollte der Versand auf dem Postweg per Brief erfolgen.

Fazit

Es zeigt sich, dass das Thema E-Mail Verschlüsselung nicht einfach und schon gar nicht universell gelöst werden kann. Vielmehr wird jedes Unternehmen seine Geschäftsvorfälle und Prozesse analysieren müssen. Danach muss individuell im Unternehmen für jeden Prozess über das Thema Verschlüsselung entschieden werden.

Sprechen sie mich an: Gerne berate ich Sie zum Thema E-Mail Verschlüsselung