Das Thema E-Mail Kommunikation und Versand von E-Mails unter datenschutzrechtlicher Betrachtung ist bislang nicht eindeutig geklärt. Wann E-Mails verschlüsselt werden müssen und wie eine solche Verschlüsselung auszusehen hat, wird weiterhin viel diskutiert.

Es ist ratsam für Unternehmen mindestens die aktuell gängigen Verschlüsselungsmethoden, die die meisten E-Mail-Programme von Hause aus mit sich bringen, zu nutzen. Dabei handelt es sich in der Regel um Transportverschlüsselung. In mehreren Tätigkeitsberichten der Landesdatenschutzbehörden wird festgestellt, dass eine unverschlüsselte Verwsendung von E-Mails nicht datenschutzkonform sei. Dabei wird zumeist nicht klargestellt, welche Verschlüsselungsmethode es nach der Ansciht bedarf.

Die Datenschutzkonferenz hat sich mittels gut strukturierten einer Orientierungshilfe vom 13.03.2020 zu dem Thema zwischenzeitlich geäußert und entsprechend Stellung bezogen. Die Orientierungshilfe differenziert zwischen den aktuell gängigen Verschlüsselungsmethoden. Dabei geht die Orientierungshilfe explizit auf die Transportverschlüsselung von E-Mails ein und spricht Handlungsempfehlungen für deren Konfiguration aus, aber auch in Bezug auf die Inhaltsverschlüsselung gibt die Orientierungshilfe konkrete Hilfestellungen.

Auch wird dankenswerterweise innerhalb dieser Orientierungshilfe zwischen den verschiedenen Risiken differenziert und entsprechende Handlungsempfehlungen, unter der Betrachtung der jeweiligen versandten Informationen und dem damit einhergehenden Risikopotenzial, ausgesprochen.

Gerade bei Berufsgeheimnisträgern wird häufig die Pflicht zur bestmöglichen Verschlüsselung der Kommunikation befürwortet. Insbesondere bei Berufsgeheimnisträgern bei denen die Verarbeitung von sensiblen Daten in der Natur der Sache liegt. Demgegenüber sieht § 2 Abs. 2 BORA wiederum für Rechtsanwälte vor, dass diese mit Zustimmung ihres Mandanten auf eine entsprechende Verschlüsselung verzichten können. Folglich genüge es auch, wenn der Mandant diesen Kommunikationsweg vorschlägt bzw. beginnt und der Rechtsanwalt auf bestehende Risiken hingewiesen hat (konkludente Einwilligung). Allerdings ist diese Regelung umstritten und wird vielfach als nicht europarechtskonform angesehen, da dies über den Regelungsgehalt der DSGVO hinausgeht. Folglich sollte der Rechtsanwalt zumindest sicherstellen, eine ausdrückliche und informative Einwilligung seitens seines Mandanten zu erhalten.

Grundsätzlich ist zu empfehlen das Unternehmen Ihre E-Mail Kommunikation verschlüsselt und da wo es zweckmäßig ist, verschiedene Verschlüsselungsmethoden nebeneinander anzuwenden. Sollte beispielsweise ein Versand eines PDF mit personenbezogenen Daten vorgenommen werden, so empfiehlt es sich dieses PDF gesondert zu verschlüsseln und im Nachgang dem Empfänger das entsprechende Passwort zukommen zu lassen. Die Einschätzung, die sie gemeinsam mit ihrem Datenschutzbeauftragten treffen sollten, sollte immer in Abhängigkeit von den versandten Informationen bzw. personenbezogenen Daten vorgenommen werden.

So erreichen Sie uns

Adresse
Aachener Straße 75
50931 Köln
©LR Datenschutz GmbH