Wann ist eine E-Mail-Verschlüsselung wirklich notwendig?

Seit Inkrafttreten der DSGVO im Mai 2018, wird das Thema „E-Mail-Verschlüsselung“ kontrovers diskutiert und es kursieren unterschiedliche Meinungen hierzu. Leider haben sich die Datenschutzbehörden bislang auch noch nicht einstimmig hierzu geäußert. Eine Stellungnahme der Datenschutzkonferenz (DSK; ein Gremium der deutschen Landesdatenschutzbehörden) sei in Arbeit, heißt es von offizieller Seite.

Bisher hat lediglich die Landesdatenschutzbehörde NRW eine knappe Stellungnahme herausgegeben, anhand derer sich zumindest fürs erste Empfehlungen ableiten lassen.

Fest steht, die Datenschutzgrundverordnung sieht keine Pflicht zur pauschalen Verschlüsselung von E-Mails vor. Die Verschlüsselung wird in Art. 32 Abs. 1 DSGVO als eine Möglichkeit zum Schutz personenbezogener Daten genannt.

Es handelt sich hierbei jedoch zum einen um eine Kann-Aussage. Zum anderen legt der besagte Art. 32 DSGVO einen risikobasierten Ansatz zu Grunde, was bedeutet:
Der Verantwortliche (also der E-Mail-Versender) muss das Risiko für die personenbezogenen Daten, die per E-Mail versendet werden sollen, abschätzen und geeignete Datensicherheitsmaßnahmen ergreifen, damit die in der E-Mail enthaltenen personenbezogenen Daten nicht missbräuchlich verwendet werden können.

E-Mails mit personenbezogenen Daten müssen verschlüsselt werden!

So sieht es auch die Landesdatenschutzbehörde NRW. Demnach sollten E-Mails mit sensiblen personenbezogenen Daten unbedingt verschlüsselt werden.

Hierunter fallen zumindest alle in Art. 9 und 10 DSGVO genannten Angaben, also Angaben, aus denen die rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung, die Gewerkschaftszugehörigkeit, genetische oder biometrische Daten, Gesundheitsdaten oder Daten zur sexuellen Orientierung einer Person hervorgeht sowie Informationen zu strafrechtlichen Verurteilungen und Straftaten.

Expertenkonsens besteht darüber, dass auch nicht explizit im Gesetz aufgeführte Informationen und Daten als sensibel einzustufen und somit besonders schutzwürdig sind, also von der E-Mail-Verschlüsselung umfasst sind.

Hierzu zählen bspw. Kontodaten, Gehaltsdaten, Beschäftigtendaten, Mandantendaten im Verhältnis Rechtsanwalt/Steuerberater zum Mandanten usw., also Daten und Informationen, die bei rechtswidriger Verwendung zu einem nicht unerheblichen Schaden beim Betroffenen führen können.

Nicht jede E-Mail mit beispielsweise Informationen zu Beschäftigten oder einer Kontonummer muss zwingend verschlüsselt werden.

Hier kommt es ganz besonders um den Umfang der Daten an. Eine E-Mail mit einer Gehaltsliste aller Mitarbeiter o.Ä. sollte aufgrund der hohen Zahl an personenbezogenen Daten, die zudem aus Sicht der Betroffenen als sensibel einzustufen sind, wohl verschlüsselt werden. Entscheidend ist also der Gesamtumstand im Einzelfall.

Ob im E-Mails zu verschlüsseln sind, kann demnach an unterschiedlichen Kriterien bewertet werden, wie z.B. Art der Daten und Anzahl bzw. Umfang der Daten. Zudem ist zu berücksichtigen, ob es sich um einen einmaligen Versandt personenbezogener Daten dieser Art per E-Mail handelt, oder ob es sich hierbei um einen regelmäßigen Prozess handelt, weshalb auch die Regelmäßigkeit und Anzahl der versendeten E-Mails, ebenso die Zahl der E-Mail-Empfänger eine Rolle spielen kann.

Im Umkehrschluss bedeutet dies, dass E-Mails ohne derartige Inhalte auch unverschlüsselt versendet werden können.

Zwei Stufen der Verschlüsselung

Technisch werden sodann zwei Stufen der Verschlüsselung unterschieden: die Verschlüsselung auf Inhaltsebene (der Inhalt wird Verschlüsselt, z.B. mittels S/MIME- oder OpenPGP-Verfahren) und diejenige auf Transportebene (Verschlüsselung sogenannter Metadaten, wie z.B. Informationen über den verwendeten Provider). Die Landesdatenschutzbehörde NRW fordert mindestens eine Transportverschlüsselung, die jedoch von den meisten gängigen Providern standardmäßig bereits angeboten wird.

Die bevorstehende sogenannte e-Privacy-Verordnung wird das Thema der elektronischen Kommunikation EU weit einheitlich regeln und die Datenschutzgrundverordnung insofern „erweitern“. Es ist davon auszugehen, dass die Anforderungen zur Datensicherheit bei elektronischen Kommunikationswegen künftig verschärft werden, weshalb bei der Wahl der zu ergreifenden Maßnahmen auf Seiten des Verantwortlichen (also den Unternehmen) schon jetzt vorausschauend geplant werden sollte.

Welche Verschlüsselungsmethode ist sinnvoll?

Derzeit sind auf dem Markt etwa eine Handvoll Verschlüsselungsverfahren, bzw. Verschlüsselungssoftwaren verfügbar. Die meisten haben jedoch gemeinsam, dass sowohl Versender als auch Empfänger dieselbe Software, bzw. dasselbe Verschlüsselungsverfahren nutzen müssen, damit die E-Mail auf beiden Stufen (Inhaltsebene und Transporteben) verschlüsselt werden. Es gilt also herauszufinden, welcher Empfänger welches Verschlüsselungsverfahren verwendet und dass dasselbe Verwahren anzuwenden.

Verschlüsselungsverfahren nutzen müssen, damit die E-Mail auf beiden Stufen (Inhaltsebene und Transporteben) verschlüsselt werden.

Es gilt also herauszufinden, welcher Empfänger welches Verschlüsselungsverfahren verwendet und dass dasselbe Verwahren anzuwenden. Oder als Versender entscheidet man sich für eines der Verfahren und setzt seine Empfänger hierüber in Kenntnis. Wichtig bei der Wahl einer geeigneten Verschlüsselungsmethode ist zudem die technische Kompatibilität mit den verwendeten EDV-Geräten (PC, Laptop, Tablet, Smartphone), weshalb hier unbedingt die IT-Abteilung zu Rate gezogen werden sollte.

Gibt es Alternativen zur E-Mail-Verschlüsselung?

Sollen sensible Daten versendet, bzw. mit einem Empfänger geteilt werden, sind in der Praxis einige Alternativen zur oben beschriebenen E-Mail-Verschlüsselung denkbar, die in vielen Fällen nicht nur datenschutzfreundlicher sind, sondern oft auch kostengünstiger, einfacher und intuitiver in der Anwendung und technisch mit weniger Aufwand einzurichten. Die derzeit gängigsten Alternativen sind die Folgenden:

Datenaustausch per externem Datenträger; hierzu eignen sich vor alle USB-Sticks und externe Festplatten.
Datenaustausch über eine Cloud oder geteilte Freigaben (z.B. durch Zurverfügungstellung von Ordnern auf dem Firmenserver); Hierzu kann bspw. ein Clouddienst genutzt werden, in den Dokumente eingestellt (Upload) werden. Der Empfänger erhält dann in der Regel per Link Zugriff (Download) auf die Dokumente. Ähnliches lässt sich in vielen Fällen auch direkt über das eigene Firmennetzwerk von der IT-Abteilung einrichten. Die Vorteile sind u.a., dass dem Empfänger ein zeitlich begrenzter Zugriff gewährt wird und dass seine Rechte – also ob er das eingestellte Dokument nur öffnen und ansehen oder auch herunterladen darf – vom Versender definiert werden können.

Sofern ein Cloud-Dienst verwendet wird, ist jedoch zu prüfen, ob der Diensteanbieter datenschutzkonform aufgestellt ist. Möglich ist auch, dass mit dem Cloud-Dienstleister ein sogenannter Auftragsdatenverarbeitungsvertrag zu schließen ist. Sollten Sie einen solchen Cloud-Dienst verwenden oder künftig verwenden wollen, informieren Sie Ihren Datenschutzbeauftragten im Vorfeld; er wird Ihnen bei der Auswahl und Beurteilung eines geeigneten Diensteiters behilflich sein.

Dokumenten-Passwortschutz; einzelne Dokumente, beispielsweise pdf-Dateien, können mit einem Passwort versehen werden. Das so geschützte Dokument kann dann per E-Mail versendet werden. Natürlich sollte in derselben E-Mail nicht auch das Dokumenten-Passwort genannt werden. Stattdessen könnte der Empfänger in der E-Mail einen Hinweis zum Passwort geben, den der Empfänger (und nur der Empfänger) als solchen versteht. Das Dokumenten-Passwort könnte ansonsten auch am Telefon an den Empfänger übermittelt werden. Wer sich bei der Empfänger-dresse ganz sicher ist, dass sie korrekt ist, könnte in einer nachfolgenden Mail das Passwort übersenden. Letzterer Vorschlag ist von allen genannten jedoch derjenige, der am meisten fehlerbehaftet ist.
Pseudonymisierung und Anonymisierung; nicht selten reicht es bereits aus, die zu überendenden Daten, insbesondere Anhänge, mit verhältnismäßig geringem Aufwand zu anonymisiern oder zu pseudonymisieren. Dies hätte zur Folge, dass Daten einer abgefangene oder fehlgeleitete E-Mail keinen Personenbezug mehr aufweisen und die E-Mail somit nicht verschlüsselt werden braucht. Beispielsweise könnten bei zu versendenden Mitarbeiterlisten, die Namen gegen Personalnummern ausgetauscht werden, bei Kontodaten könnten die Konto- oder Kreditkartennummern um die letzten Ziffern gekürzt werden usw. Wenn Sie sich unsicher sind, wann eine Anonymisierung oder Pseudonymisierung vorliegt, bzw. wie sie im Einzelfall herzustellen sein könnte, sprechen Sie Ihren Datenschutzbeauftragten an, er hilft Ihnen hier weiter.
Einwilligung; denkbar ist auch, dass der Betroffene zur unverschlüsselten Weitergabe einwilligt. Zu beachten sind dann jedoch die besonderen Anforderungen an gültige Einwilligungen. Zudem sollte die erteilte Einwilligung im Streitfall nachweisbar sein. Problematisch an dieser Alternative ist in der Praxis, dass die Einwilligung jederzeit mit sofortiger Wirkung für die Zukunft vom Betroffenen widerrufen werden kann. Im Falle eines Widerrufs müsste dann erneut darüber nachgedacht werden, wie die sichere Übertragung der Daten stattfinden könnte. Bei der Erstellung einer datenschutzkonformen Einwilligungserklärung ist Ihnen Ihr Datenschutzbeauftragter behilflich.

Fazit

Bevor Sie sich also Gedanken machen, wie Sie Ihre E-Mails verschlüsseln, überlegen Sie, ob nicht eine der Alternativen für Sie und für Ihr Unternehmen ausreichend und leichter umzusetzen wäre. Eventuell sparen die Alternativen Zeit und Geld und sind im Einzelfall vielleicht sogar datenschutzfreundlicher.

Markus Weuthen

Berater

Mehr zu Herrn Weuthen