Die Datenschutzkonferenz hat die überarbeitete Orientierungshilfe zu Maßnahmen zum Schutz personenbezogene Daten bei der Übermittlung per E-Mail per 27.05.2021 überarbeitet und nunmehr veröffentlicht (Stand 16.06.2021).

Zunächst die Erkenntnis, dass nicht jeglicher E-Mail-Versand eine explizite Verschlüsselung neben der in der Regel angewendeten Transportverschlüsselung benötigt. Eine Betrachtung welche zusätzlichen Verschlüsselungsmaßnahmen erforderlich sind richten sich im Sinne des Art. 32 DSGVO nach den Risiken, die für einen Betroffenen bestehen können. Folglich ist entscheidend zum einen welche personenbezogenen Daten per Mail versandt werden sollen und welche Risiken für einen Betroffenen entstehen können, wenn ein unberechtigter Dritter von diesen Datenkenntnis erlangt.

Die DSK verweist zunächst auf berufsrechtliche Regelungen für Rechtsanwälte und Ärzte. Da dieser Personenkreis häufig auch sensiblen Daten im Sinne des Art. 9 DSGVO verarbeiten ist insbesondere bei dem Versand dieser Daten per Mail besondere Obacht zu wahren und mit Blick auf das Risiko für den Betroffenen die personenbezogenen Daten gegebenenfalls besonders zu schützen. Für Rechtsanwälte gilt der neue § 2 Abs. 2 BORA, welcher grundsätzlich eine Kommunikation mittels E-Mail erlaubt, sofern der Mandant in diese Kommunikation zugestimmt hat. Hier heißt es auszugsweise:

„…..Zwischen Rechtsanwalt und Mandant ist die Nutzung eines elektronischen oder sonstigen Kommunikationsweges, der mit Risiken für die Vertraulichkeit dieser Kommunikation verbunden ist, jedenfalls dann erlaubt, wenn der Mandant ihr zustimmt….“

Dabei sind natürlich dennoch die Risiken für die Vertraulichkeit der Daten zu beachten und gegebenenfalls zusätzliche Maßnahmen zu treffen, um den entsprechenden Schutz der personenbezogenen Daten zu gewährleisten. Auch das Bundesjustizministerium hat laut Anwaltsblatt die Norm abgesegnet, aber auch zugleich klargestellt dass diese Regelung nicht unterhalb der Voraussetzung der DSGVO angewandt werden kann. Für Rechtsanwälte bedeutet dies zugleich keine wirkliche Erleichterung hinsichtlich des Datenschutzes, denn wenn diese mit Zustimmung des Mandanten gemäß § 2 BORA E-Mails unverschlüsselt versendet begeht zwar gemäß diesen Regelungen kein Berufsrechtsverstoß, nichtsdestotrotz kann ein Verstoß gegen das Datenschutzrecht dennoch vorliegen.

Im Folgenden werden verschiedene Fallgruppen mit Blick auf das jeweilige Risiko und Möglichkeiten in der Orientierungshilfe aufgezeigt, die den Versand von E-Mails inklusive der dazugehörigen personenbezogenen Daten nach aktuellem Stand der Technik sicher erscheinen lassen. Auch die Nutzung von E-Mail Dienstanbietern wird thematisiert und die Anforderungen an eine solche Dienstleistung und Nutzung dieser Dienstleistung dargestellt.

Festzustellen ist, dass es per se immer eine Einzelfallbetrachtung mit Blick auf das Risiko der Betroffenen darstellt. Dem Verantwortlichen ist anzuraten, gemeinsam mit seinen Datenschutzbeauftragten zu prüfen, welche Schutz notwendig ist bei einer entsprechenden Konstellation der vorliegenden personenbezogenen Daten. Hierfür sollte der Verantwortliche auch mit Blick auf den zeitlichen Aufwand und zugleich der Betrachtung des Kosten Nutzenfaktors eine einheitliche Regelung schaffen, wann und wie welche Daten verschlüsselt werden. Neben der Transportverschlüsselung empfiehlt sich in der Regel eine zusätzliche Verschlüsselung beispielsweise von beigefügten Dateien. Die Schlüssel, um die so verschlüsselten Dateien nutzbar zu machen, sollten auf einem separaten Kommunikationsweg an den Empfänger der E-Mail weitergegeben werden. In der Natur der Sache liegt es, dass eine Übersendung der verschlüsselten Daten inklusive des Schlüssels das Risiko für den Betroffenen bekanntlich wenig schmälert.

So erreichen Sie uns

Adresse
Aachener Straße 75
50931 Köln
©LR Datenschutz GmbH