E-Mail Verschlüsselung – Was gilt es zu beachten!

Bei datenschutzrechtlichen Audits wird ganz häufig die Frage gestellt, ob und in welchem Umfang und vor allen Dingen wie E-Mails verschlüsselt werden müssen. Daher soll sich der aktuelle Blogbeitrag einmal mit diesem Thema befassen.

In einer E-Mail sind nicht nur die Textinhalte und gegebenenfalls Anlagen enthalten. Eine E-Mail enthält typischerweise auch so genannte Metadaten, wie beispielsweise den Absender, das Datum und den Betreff. Bei den Inhalts- und Metadaten kann es sich somit um personenbezogene Daten handeln, die nur nach Maßgabe der DSGVO verarbeitet werden dürfen.

Ob eine solche E-Mail verschlüsselte werden muss und vor allen Dingen auch in welchem Umfang, lässt sich nicht allgemein beantworten. Für die personenbezogenen Daten, die per E-Mail versendet werden, gibt es keine speziellen Vorgaben oder eine zwingende gesetzliche und/oder rechtliche Verpflichtung, diese in jedem Fall zu verschlüsseln. Ob der Absender einer E-Mail diese verschlüsseln muss hängt somit vom Schutzbedarf der übertragenen Daten ab.

Dabei ist vorrangig Art. 32 DSGVO zu beachten. Diese Vorschrift schreibt vor, dass bei der Verarbeitung personenbezogener Daten ein angemessenes Schutzniveau gewährleistet sein muss. Bei der Bewertung, welches Schutzniveau angemessen ist, spielen gemäß dieser Vorschrift unter anderem der Stand der Technik, die Umstände und der Zweck der Verarbeitung sowie die unterschiedlichen Eintrittswahrscheinlichkeiten und schwere des Risikos für die Rechte und Freiheit natürlicher Personen eine wesentliche Rolle. Werden also beispielsweise nur rein organisatorische E-Mails ausgetauscht und enthalten diese keine sensiblen Daten, kann durchaus auch auf eine Verschlüsselung verzichtet werden. Zwar mag für diesen Fall der Stand der Technik ein anderes Schutzniveau ermöglichen, allerdings dürfte das Risiko für die Rechte und Freiheit natürlicher Personen eher überschaubar sein, sodass jedenfalls harmlose E-Mails unter Umständen auch ohne Verschlüsselung versandt werden können. Wann diese Grenze der Harmlosigkeit aber überschritten ist, lässt sich wiederum nicht abschließend klären und ist sicher auch eine Frage des Einzelfalls.

Bei allen übrigen E-Mails und vor allen Dingen solcher E-Mails, die sensible Daten oder möglicherweise sogar besondere Kategorien personenbezogener Daten enthalten, dürfte eine Verschlüsselung erforderlich sein.

Dabei unterscheidet man zwischen einer Verschlüsselung der Inhalte und des Transportes. Bei einer Transportverschlüsselung mittels TLS würden E-Mails (Meta- als auch Inhaltsdaten) auf dem Weg zum Empfänger verschlüsselt. Problematisch ist dabei aber, dass diese Transportverschlüsselung genau genommen nur zwischen dem Absender und dessen Mailserver, gegebenenfalls weiteren Mailservern und dem Mailserver des Empfängers verschlüsselt wird. In dem Moment, in dem die E-Mail auf einem Mailserver eingeht, liegt diese E-Mail dann unverschlüsselt vor. Ist also ein Mailserver involviert, der nicht vom Absender und Empfänger der Email betrieben wird, hätten Dritte zumindest theoretisch die Möglichkeit die dann unverschlüsselte Email zu lesen. Hinzu kommt, dass die involvierten Mailserver gegebenenfalls ein geringeres Schutzniveau haben, weil darauf beispielsweise veraltete Verschlüsselung Programme betrieben werden.

Damit genügt eine TLS- Verschlüsselung nicht in jedem Fall den Anforderungen der DSGVO. Sollte daher eine durchgehende Verschlüsselung nicht gewährleistet sein, so empfiehlt es sich zu dieser Art der Versendung eine Einwilligung der betroffenen Person einzuholen. Darin sollte klar und verständlich darauf hingewiesen werden, dass der E-Mail-Verkehr unter Umständen ein eingeschränktes Schutzniveau hat.

Werden allerdings besondere Kategorien von personenbezogenen Daten versendet, wie beispielsweise Gesundheitsdaten, wird man aber sicher einen strengeren Maßstab anlegen müssen. Zwar wird auch hier diskutiert, ob man dem mit einer Einwilligung der betroffenen Person begegnen kann. Eine solche Einwilligung ist aber derzeit rechtlich umstritten und deren Einsatz daher mit entsprechenden Risiken verbunden. Zu empfehlen ist daher insbesondere dann, wenn per E-Mail beispielsweise Arztberichte oder ähnliches verschickt werden sollen, dass mindestens diese Anlagen verschlüsselt und durch gesonderte Passwörter gesichert werden, um sie vor dem Zugriff Dritter zu schützen. Passwörter sollten dann idealerweise auf einem anderen Kommunikationsweg versendet werden. Idealerweise sollte allerdings darauf geachtet werden, dass gerade beim Austausch solcher Daten mit dem Empfänger Regelung gefunden werden, die eine durchgehende Verschlüsselung gewährleisten.

Zusammenfassend lässt sich daher festhalten, dass als Mindeststandard die Transportverschlüsselung nach TLS zu sehen ist. Werden keine sensiblen Daten ausgetauscht kann diese Verschlüsselung ein angemessenes Schutzniveau gewährleisten. Spätestens aber, wenn sensible Daten oder besondere Kategorien von Daten per E-Mail versandt werden sollen, sind weitere Schutzmaßnahmen zu ergreifen, um die Anforderungen des Art. 32 DSGVO erfüllen zu können.