Der Großteil der geschäftlichen Kommunikation erfolgt inzwischen per E-Mail. Häufig werden dabei auch personenbezogene Daten übertragen. Die Anforderungen an die Datensicherheit und den Datenschutz werden hierbei regelmäßig nur sehr ungenügend beachtet. Insgesamt besteht in diesem Zusammenhang noch kein ausreichendes Problembewusstsein.
Der Versand einer ungeschützten E-Mail lässt sich mit dem Versand einer Postkarte vergleichen. Grundsätzlich können Informationen, die unverschlüsselt über das Internet gesendet werden, eingesehen, verändert oder verfälscht werden.
Die DSGVO fordert in Art. 32 geeignete technische und organisatorische Maßnahmen, die der Verantwortliche unter Berücksichtigung u. a. des Stands der Technik und der Implementierungskosten zu treffen hat. Demzufolge muss sichergestellt sein, dass personenbezogene Daten bei der elektronischen Übertragung entsprechend ihrem Schutzbedarf angemessen geschützt sind. Da Verschlüsselungstechniken inzwischen Stand der Technik sind, sind entsprechende Schutzmaßnahmen somit unabdingbar.
Es gibt eine Vielzahl von verschiedenen Verschlüsselungstechniken. Im Wesentlichen kann zwischen einer Transportverschlüsselung und einer Inhaltsverschlüsselung (auch Ende-zu-Ende-Verschlüsselung) unterschieden werden. Die Inhaltsverschlüsselung bietet grundsätzlich einen deutlich höheren Schutz, da auch die Daten selbst und nicht nur der Transportweg verschlüsselt werden. Sie ist allerdings auch mit einem höheren Aufwand verbunden.
Nach Art. 32 DSGVO sind die zu treffenden Maßnahmen auch von der Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen natürlichen Personen abhängig zu machen. Die Verschlüsselungstechnik kann daher vom Schutzbedarf der zu versendenden personenbezogenen Daten abhängig gemacht werden.
Die DSK (Datenschutzkonferenz, Gremium aller Datenschutzaufsichtsbehörden) hat mit Stand vom 16. Juni 2021 eine Orientierungshilfe zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail veröffentlicht. Darin wird aufgezeigt, welche Anforderungen an die Verfahren zum Versand und zur Entgegennahme von E-Mail-Nachrichten durch Verantwortliche, ihre Auftragsverarbeiter und öffentliche E-Mail-Dienstanbieter auf dem Transportweg zu erfüllen sind.
Die DSK vertritt folgende Positionen:
- Die Kommunikation per E-Mail bedarf mindestens der Transportverschlüsselung.
- Die obligatorische Transportverschlüsselung sollte entsprechend der technischen Richtlinie BSI TR 03108-1 gestaltet sein.
- Bei besonders schützenswerten Daten (z. B. Kontobewegungsdaten, Finanzierungsdaten, Daten zum Gesundheitszustand, Mandantendaten von Rechtsanwälten und Steuerberatern, Beschäftigtendaten), bei denen der Bruch der Vertraulichkeit ein hohes Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen darstellt, ist regelmäßig eine Ende-zu-Ende-Verschlüsselung und eine qualifizierte Transportverschlüsselung vorzunehmen.
Im Ergebnis wird bei der Vielzahl der Verarbeitungssituationen von Wohnungsunternehmen aufgrund niedriger Risiken bereits durch die Transportverschlüsselung eine ausreichende Risikominderung erreicht und die datenschutzrechtlichen Vorgaben werden eingehalten.
Was tun, wenn Verschlüsselung fehlt?
Sofern keine Technik zur Verschlüsselung zur Verfügung steht, sollten Schreiben mit personenbezogenen Daten auf dem Postweg versendet werden oder das Dokument als Anhang zumindest mit einem Passwortschutz versehen werden. Das Passwort sollte auf einem anderen Kommunikationsweg, beispielsweise telefonisch, übertragen werden.