Auch das geschriebene Wort ist durch das Gesetz in einem gewissen Umfang geschützt. Bei Arbeitnehmern wird hier ein besonderes Augenmerk auf die Unterscheidung zwischen privater und geschäftlicher Nutzung gelegt werden müssen.
Der Schutz des Briefgeheimnisses in § 202 StGB ist nicht auf E-Mails und Faxe anwendbar, weil die bei beiden Medien verwendeten Daten nicht als "verschlossenes" und "verkörpertes Schriftstück" im Sinne des Gesetzes angesehen werden können.
Anders hingegen der Schutz gegen das Ausspähen von Daten und der Schutz gegen Veränderung von Daten in §§ 202a, 303a StGB: Hier wird der Schutz des klassischen Briefgeheimnisses zumindest teilweise auf Daten ausgedehnt. Der unbefugte Zugriff auf oder die Veränderung von elektronisch gespeicherten oder übermittelten Daten wird, wenn sie gegen unberechtigten Zugang gesichert sind, mit Geldstrafe oder Freiheitsstrafe von bis zu 3 Jahren bestraft.
Der Versender einer E-Mail, die diesen Schutz genießen soll, muss also besondere Vorkehrungen gegen einen unbefugten Zugriff getroffen haben, damit § 202a StGB greift.
Für die Praxis stellt sich nun die Frage, wann eine E-Mail gegen unbefugten Zugriff so geschützt ist, dass bei einem Durchbrechen dieser Sicherung § 202a StGB greift.
Anforderungen an E-Mails
Diese Anforderungen müssen Ihre Mails erfüllen, damit sie gegen unbefugtes Ausspähen geschützt sind:
- Die E-Mail – kann nicht unbefugt verändert werden (Integrität)
- Die E-Mail – kann von keinem unbefugten Dritten gelesen werden (Vertraulichkeit)
- Die E-Mail – wird wirklich vom Sender an den Empfänger verschickt (Authentizität)
Um diese Kriterien zu erfüllen, wird derzeit ausschließlich eine Verschlüsselung des E-Mailverkehrs anerkannt. Selbst diese erfüllt nicht genau die Kriterien, die im Gesetz gefordert werden. Anerkannt wird sie deshalb, weil sonst ein Schutz der Daten während der Übermittlung nach dem heutigen Stand der Technik über § 202a StGB gar nicht möglich wäre. Die Forderung nach der Verschlüsselung der E-Mail-Kommunikation wird durch die DSGVO unterstrichen. Nach Art. 32 DSGVO muss der Arbeitgeber geeignete "technische und organisatorische Maßnahmen" treffen. Diese Maßnahmen schließen die Verschlüsselung personenbezogener Daten explizit ein.
Mindestanforderungen an die Verschlüsselung
Eine Verschlüsselung sollte folgende Mindestanforderungen erfüllen:
- Verschlüsselung mit 3.000 Bit oder mehr
- RSA- oder Elgamal-Algorythmus
- Asynchrone "Public Key"-Verschlüsselung, wobei das BSI aufgrund mangelnder Sicherheit der Verschlüsselungstechnik aufgrund von Quantentechnologie die Verwendung einer Post-Quanten-Kryptologie empfiehlt.
- Kostenfreie OpenSource-Lösung: GnuPG für Windows
Nicht ausreichend sind
- ein Lese- und Nutzungsverbots-Text am Ende der E-Mail
- eine elektronische Signatur bzw. Zertifizierung
Der bloße Ausspruch eines Lese- und Nutzungs-Verbots, wie man ihn häufig am Ende von E-Mails liest und auch eine elektronische Unterschrift (Zertifizierung), reichen nicht aus, um den Schutz des § 202a StGB zu erlangen, da dieser Hinweis lediglich sicherstellt, dass der Inhalt der E-Mail nur vom Empfänger genutzt werden darf. Er bewirkt damit nur in Verbindung mit einer Verschlüsselung den Schutz durch § 202a StGB.
Unabhängig von einer Kenntnisnahme durch unbefugte Dritte darf jede dienstliche E-Mail auch inhaltlich vom Arbeitgeber eingesehen und kontrolliert werden. So wie die dienstliche Post in Papierform, unterliegen auch dienstliche E-Mails dem Organisationsrecht des Arbeitgebers. Dass es hierbei immer wieder zu Konflikten bei der privaten Nutzung dieses Mediums kommt, ist voraussehbar und bedarf deshalb gewisser Regeln.