+49 (0)241 14 94 66 0 beratung@itsecurity-ist-pflicht.de

Datenschutz ist Pflicht

E-Mail-Verschlüsselung: Was fordert der Datenschutz?

Die Datenschutz-Grundverordnung (DSGVO) nennt Verschlüsselung als Maßnahme für die Sicherheit der Verarbeitung personenbezogener Daten. Müssen deshalb alle E-Mails von nun an verschlüsselt werden?

Werbung übertreibt gern

Wenn Sie eine Computer-Zeitschrift zur Hand nehmen, begegnen Ihnen in der letzten Zeit viele Werbeanzeigen, die aussagen, mit der DSGVO sei nun die Zeit gekommen, dass alle E-Mails komplett verschlüsselt werden müssen, vom Absender bis zum Empfänger (Ende-zu-Ende-Verschlüsselung).

So wichtig eine Verschlüsselung im Internet auch ist: So mancher Anbieter von Verschlüsselungslösungen übertreibt und verkürzt die Forderungen der Datenschutz-Grundverordnung derart, dass man den Eindruck bekommen kann, unverschlüsselte E-Mails zu verschicken, wäre grundsätzlich eine Datenschutzverletzung. Das stimmt so nicht!

Es kommt weiter auf den Schutzbedarf an

Bereits das alte Bundesdatenschutzgesetz nannte die Verschlüsselung als eine der zentralen technisch-organisatorischen Maßnahmen. Verschlüsselung hatte und hat eine wichtige Stellung. Sie trägt dazu bei, das Schutzziel „Vertraulichkeit“ zu erreichen.

Außerdem hilft sie, die Integrität und Echtheit von Daten zu prüfen. Trotzdem gilt: Geeignete technische und organisatorische Maßnahmen sollen ein Schutzniveau gewährleisten, das dem Risiko angemessen ist. Sie sollen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen ausgewählt werden.

Bedeutet das nun, dass E-Mail-Verschlüsselung freiwillig ist? Nein, natürlich nicht. Es kommt auf den genauen Fall an.

Was Aufsichtsbehörden dazu sagen

Die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW schreibt zum Beispiel: Maßnahmen wie „Verschlüsselung“ sind als Beispiele für Standardmaßnahmen zu verstehen. Das heißt: Sofern ihr Einsatz möglich und angemessen ist, sind sie grundsätzlich umzusetzen.

Es kommt also auf die Angemessenheit und damit den Schutzbedarf an. Sollen Daten mit hohem oder sehr hohem Schutzbedarf, wie etwa Gesundheitsdaten, per E-Mail verschickt werden, ist eine Ende-zu-Ende-Verschlüsselung erforderlich. Da die Betreffzeile einer E-Mail nicht durch Ende-zu-Ende-Verschlüsselung geschützt wird, ist sicherzustellen, dass sie keine Daten mit hohem oder sehr hohem Schutzbedarf enthält.

Bei der Übermittlung personenbezogener Daten mit normalem Schutzbedarf besteht die Möglichkeit, dass im Einzelfall der Verzicht auf eine Ende-zu-Ende-Verschlüsselung der Inhaltsdaten statthaft ist. Als Mindeststandard ist bei der Übermittlung personenbezogener Daten mit normalem Schutzbedarf eine Transportverschlüsselung erforderlich, so die Aufsichtsbehörde.

Es zeigt sich: Es kommt auf den Schutzbedarf der personenbezogenen Daten und die Art der Verschlüsselung an. Alle E-Mails zu verschlüsseln, fordert der Datenschutz also nicht.

Ihre Adresse für Datenschutzfragen

Das Expertenteam von Datenschutz ist Pflicht steht Ihnen in alle Fragen rund um das Thema Datenschutz und Informationssicherheit zur Verfügung. Von Mo. – Fr. 08:00 – 18:00 Uhr erreichen Sie uns telefonisch. Per E-Mail nehmen wir Ihre Fragen und Anregungen ebenfalls gerne entgegen.

Telefon: +49 241 149 46 98

Wir freuen uns auf spannende Diskussionen!

„Datenschutz ist Pflicht“ ist eine Marke der Ing.-Büro Dr. Plesnik GmbH | Reutershagweg 2, 52074 Aachen