Die DSGVO enthält keine speziellen Vorgaben zu den technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten, die per E-Mail versendet werden. Art. 32 Abs. 1 DSGVO gibt allgemein vor:
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“.
Beispielhaft („unter anderem Folgendes“) benennt Art. 32 Abs. 1 DSGVO in lit. a) auch die Verschlüsselung personenbezogener Daten. Eine unbedingte Pflicht, personenbezogene Daten stets nur verschlüsselt zu übermitteln, enthält die DSGVO aber nicht. In der Praxis ist die Frage, ob und wenn ja wann und in welcher Form Daten verschlüsselt übertragen werden sollten, ein Dauerbrenner.
Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LfDI NRW) hat Ende 2018 ihre Position zu den technischen Anforderungen an technische und organisatorische Maßnahmen beim E-Mail-Versand veröffentlicht.
Nach Ansicht der LfDI NRW ist bei der Übermittlung von E-Mails grundsätzlich zwischen einer Verschlüsselung auf Inhaltsebene und einer Verschlüsselung auf Transportebene zu unterscheiden. Bei der Verschlüsselung auf Inhaltsebene werden Texte einer E-Mail sowie von Anhängen verschlüsselt. Hierbei kommen nach der Behörde in erster Linie die Standards S/MIME und OpenPGP infrage. Metadaten werden von der Inhaltsverschlüsselung jedoch nicht erfasst. Bei der Verschlüsselung auf Transportebene werden sowohl Meta- als auch Inhaltsdaten auf der Verbindung zwischen Mail-Client und Server bzw. zwischen verschiedenen Mail-Servern verschlüsselt.
Danach stellt die LfDI NRW ihre Positionen dar, die „bei der Wahl der technischen und organisatorischen Maßnahmen“ zugrunde zu legen seien.
„Die Kommunikation per E-Mail bedarf mindestens der Transport-Verschlüsselung, wie sie von den namhaften europäischen Providern standardmäßig angeboten wird“.
Die LfDI NRW geht also davon aus, dass ausnahmslos immer mindestens eine Transport-Verschlüsselung umzusetzen ist. Wie oben erwähnt, ergibt sich eine solche zwingende Verschlüsselungspflicht nicht aus der DSGVO. Man könnte daher argumentieren, dass diese Auffassung über die Anforderungen der DSGVO hinausgeht. Eventuell geht die Behörde bei ihrer Beurteilung davon aus, dass die Transportverschlüsslung mittlerweile der in Art. 32 Abs. 1 DSGVO erwähnte „Stand der Technik“ ist. Hierfür könnte der Verweis auf die europäischen Provider sprechen. Dennoch sieht Art. 32 Abs. 1 DSGVO, neben dem Merkmal „Stand der Technik“, noch weitere Kriterien vor, die bei der Frage der umzusetzenden Maßnahmen berücksichtigt werden müssen, so insbesondere die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen. Verantwortliche und Auftragsverarbeiter müssten also nach der DSGVO immer noch die Möglichkeit haben, anhand dieser Merkmale zu beurteilen, ob eine Verschlüsselung der Daten zwingend erforderlich ist. Die Ansicht der Behörde geht auf die einzelnen, in Art. 32 Abs. 1 DSGVO genannten Kriterien leider nicht näher ein und begründet ihre Auffassung nicht. Würde man die Ansicht der LfDI NRW in der Praxis ernst nehmen, würde dies nicht nur für größere Unternehmen, sondern auch für Vereine, Handwerksbetriebe oder kleine Unternehmen bedeuten, dass diese E-Mails nur mit einer Transportverschlüsselung versenden dürfen.
Hinsichtlich der Art der Transportverschlüsselung ist die LfDI NRW der Auffassung, dass diese entsprechend der Technischen Richtlinie „BSI TR-03108 Sicherer E-Mail-Transport“ implementiert werden sollte. Abweichungen können aber möglich sein.
Sollen per E-Mail „besonders schützenswerte Daten“ übermittelt werden, verlangt die LfDI NRW verständlicherweise höhere Anforderungen. Die Behörde versteht unter diesen Daten z.B. „Kontobewegungsdaten, Finanzierungsdaten, Daten zum Gesundheitszustand, Mandantendaten von Rechtsanwälten und Steuerberatern, Beschäftigtendaten“. Eine alleinige Transportverschlüsselung sei dann möglicherweise nicht ausreichend. Die Behörde bezieht sich hierbei anscheinend auch auf die in Art. 9 Abs. 1 DSGVO erwähnten „besonderen Kategorien personenbezogener Daten“.
Interessant an der Aufzählung der LfDI NRW ist aber etwa das Beispiel der „Beschäftigtendaten“. Hierunter könnten dem Grunde nach bereits der Name und Vorname eines Beschäftigten fallen, ohne das weitere schützenswerte Daten betroffen sein müssen. In einem solchen Fall noch umfassendere Maßnahmen als eine Transportverschlüsselung zur fordern, erscheint jedoch dem Gründe nach nicht begründbar. So sieht etwa § 26 Abs. 3 BDSG iVm § 22 Abs. 2 BDSG auch nur bei der Verarbeitung besonderer Kategorien personenbezogener Daten von Beschäftigten die Pflicht vor, „angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen“.
Zuletzt ist noch darauf hinzuweisen, dass die LfDI NRW der Auffassung ist, dass der Betreff der E-Mail keine personenbezogenen Daten enthalten sollte.
Die LfDI NRW informiert darüber, dass die Datenschutzkonferenz derzeit Empfehlungen zur datenschutzkonformen E-Mail-Kommunikation erarbeitet.
Die Transportverschlüsselung (TLS) ist nur wenig mehr als ein Placebo. Mit TLS stelle ich nur sicher, dass meine Postkarte auf dem Weg zum Briefkasten niemand liest. Danach ist sie offen und die Vertraulichkeit hängt von den verschiedenen Mail-Relays ab, die weder ich noch mein Provider kontrollieren kann. Denn die Mail wird nicht direkt von Provider zu Provider, sondern über mehrere Mail-Relays zugestellt. Ob diese auch TLS verwenden und ob diese die Mails lesen, darauf habe ich keinen Einfluss. Einige Relays lesen die Mails z.B. zur SPAM-Erkennung – andere möglicherweise auch aus anderen Gründen.
Die Mail-Relays kann ich nicht kontrollieren, für sie bin ich auch nicht verantwortlich – aber ich muss adäquate Vorsorge treffen. Das tue ich mit TLS aber gar nicht. Einzige Ausnahme: Mein Adressat ist beim gleichen Provider. Dann muss ich mit TLS nur dem Provider vertrauen.
Selbst auf dem ersten Transportabschnitt bringt TLS weniger als man denkt. TLS wird in Firmennetzwerken häufig aufgebrochen um Viren zu erkennen oder sonstige Kontrollen durchzuführen. In problematischen Ländern werden von den dortigen CAs falsche Zertifikate ausgestellt. Damit ist das Versenden von unverschlüsselten E-Mails über TLS ebenfalls sehr unsicher – selbst wenn der Provider in Deutschland ist und man ihm traut.
Zwar bringt man mit TLS ein wenig mehr Vertraulichkeit in die e-Mail-Kommunikation – immerhin sind damit die Mails und Account-Zugangsdaten dann in ungesicherten WLANs oder lokalen Netzen nicht mehr für alle lesbar. Für die Übermittlung fremder personenbezogener Daten ist das inadäquat.
Die Anforderung sollte daher sein:
– Auf Accounts, mit denen irgendwann auch fremde personenbezogene Daten verschickt werden, muss mit TLS zugegriffen werden.
– Werden personenbezogene Daten verschickt, muss E2E verwendet werden. Ausser man ist beim gleichen E-Mail-Provider bzw. hat verwendet Accounts der gleichen Firma.
– Auf Wunsch des Betroffenen kann auch ohne E2E versendet werden. Das gilt aber nur, wenn sämtliche Betroffene das wollen.
– Bei Art. 9 Daten oder unterliegen die Daten besonderem Schutz (z.B. Anwaltsgeheimnis), so muss eine E2E-Verschlüsselung ernsthaft angeboten und nahegelegt werden. Nur wenn die Betroffenen trotzdem auf unverschlüsselten e-Mails bestehen, kann die unverschlüsselte E-Mail per TLS-gesichertem Übertragungsweg übertragen werden.
Vgl. dazu auch den Twitter-Thread https://twitter.com/sas_assion/status/1080510413542998016