Die Datenschutzkonferenz des Bundes und der Länder (DSK) hat eine gemeinsame Orientierungshilfe zum E-Mail-Versand veröffentlicht. Sie kann hier heruntergeladen werden (Stand 16. Juni 2021).
Die vorliegende Orientierungshilfe zeigt auf, welche Anforderungen an die Verfahren zum Versand und zur Entgegennahme von E-Mail-Nachrichten durch Verantwortliche, ihre Auftragsverarbeiter und öffentliche E-Mail-Diensteanbieter auf dem Transportweg zu erfüllen sind. Diese Anforderungen richten sich nach den Vorgaben des Art. 5 Abs. 1 lit. f, 25 und 32 Abs. 1 DSGVO. Die Orientierungshilfe nimmt den Stand der Technik zum Veröffentlichungszeitpunkt als Ausgangspunkt für die Konkretisierung der Anforderungen.
VERTRAULICHKEIT UND INTEGRITÄT VON PERSONENBEZOGENEN DATEN
Der Schutz personenbezogener Daten beim Versand von E-Mails erstreckt sich sowohl auf die personenbezogenen Inhalte der Nachrichten als auch auf die Umstände der Kommunikation, wenn sich daraus Informationen über natürliche Personen ableiten lassen.
Transportverschlüsselung und Ende-zu-Ende-Verschlüsselung mindern Risiken für die Vertraulichkeit und Integrität der übertragenen personenbezogenen Daten. Der Einsatz von Transportverschlüsselung bietet lediglich einen Basis-Schutz und ist eine Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen. Der durchgreifende Schutz der Inhaltsdaten wird hingegen durch Ende-zu-Ende-Verschlüsselung erreicht. Verantwortliche müssen beide Verfahren in der Abwägung der notwendigen Maßnahmen berücksichtigen.
Bestimmte Personen, wie Rechtsanwältinnen und Rechtsanwälte sowie Ärztinnen und Ärzte haben als Berufsgeheimnisträger besondere Pflichten zur Geheimhaltung ihnen anvertrauter Daten. Sie müssen neben dem Datenschutzrecht zusätzliche Strafvorschriften, z. B. § 203 StGB, und Berufsrecht beachten. Für den Vollzug dieser Vorschriften sind nicht die Datenschutzaufsichtsbehörden, sondern Strafverfolgungsbehörden, andere Behörden oder Kammern für bestimmte Berufsgruppen zuständig.
INANSPRUCHNAHME VON E-MAIL-ANBIETERN
Verantwortliche, die öffentliche E-Mail-Diensteanbieter in Anspruch nehmen, müssen sich davon überzeugen, dass die Anbieter hinreichende Garantien für die Einhaltung der Anforderungen der DS-GVO und insbesondere der genannten Technischen Richtlinie bieten. Dies schließt auch die sichere Anbindung eigener Systeme und Endgeräte an die Diensteanbieter ein. Darüber hinaus müssen die Verantwortlichen die Risiken sorgfältig einschätzen, die mit dem Bruch der Vertraulichkeit und Integrität von E-Mail-Nachrichten verbunden sind, die sie versenden oder gezielt empfangen.
ANFORDERUNGEN AN DIE VERSCHLÜSSELUNGSVERFAHREN
Obligatorische Transportverschlüsselung
Verantwortliche, die E-Mail-Nachrichten mit personenbezogenen Daten versenden, bei denen ein Bruch der Vertraulichkeit ein normales Risiko für die Rechte und Freiheiten von natürlichen Personen darstellt, sollten sich an der TR 03108-1 orientieren und müssen eine obligatorische Transportverschlüsselung sicherstellen.
Ende zu-Ende-Verschlüsselung:
Verantwortliche, die E-Mail-Nachrichten versenden, bei denen ein Bruch der Vertraulichkeit von personenbezogenen Daten im Inhalt der Nachricht ein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen darstellt, müssen regelmäßig eine Ende-zu-Ende-Verschlüsselung und eine qualifizierte Transportverschlüsselung vornehmen.