Die Kommunikation von Berufsgeheimnisträgern erfolgt heute zu einem großen Teil per E-Mail. E-Mails enthalten zusätzlich zu den Inhaltsdaten (d.h. dem Text der Mail und etwaigen Anhängen) auch Metadaten wie Absender und Empfänger, das Datum und den Betreff. Regelmäßig handelt es sich bei diesen Informationen um personenbezogene Daten gemäß Art. 4 Nr. 1 Datenschutz-Grundverordnung (DS-GVO). Der folgende Beitrag stellt eine datenschutzrechtliche Beurteilung der aktuellen Rechtslage dar.
BESTEHT EINE (DATENSCHUTZRECHTLICHE) VERSCHLÜSSELUNGSPFLICHT?
Art. 32 DS-GVO führt diesbezüglich aus, dass für die Datenverarbeitung Verantwortliche geeignete technische und organisatorische Maßnahmen zu ergreifen haben, um ein dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenes Schutzniveau zu gewährleisten. Nach Art. 5 Abs. 1 lit. f) DS-GVO müssen Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Dies umfasst u.a. den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen.
WELCHE INTENSITÄT MUSS DIE VERSCHLÜSSELUNG AUFWEISEN?
Man unterscheidet bei der Verschlüsselung von E-Mails grundsätzlich zwei Wege: Die Transport- und die Inhaltsverschlüsselung.
– Transportverschlüsselung: Die E-Mail-Nachrichten werden durch einen verschlüsselten Tunnel geschickt. Jedoch liegen die E-Mails nicht nur bei Absender und Empfänger im Klartext vor, sondern auch auf dazwischenliegenden Knoten. Nachrichten können also mitgelesen werden.
– Inhaltsverschlüsselung: Hierbei wird der E-Mail-Inhalt verschlüsselt. Jedoch bleiben die sogenannten Metadaten (Absender, Betreff der Nachricht, Empfänger usw.) unverschlüsselt und damit lesbar.
Sowohl Ende-zu-Ende-Verschlüsselung als auch Transportverschlüsselung mindern für ihren jeweiligen Anwendungszweck Risiken für die Vertraulichkeit der übertragenen Nachrichten. Der Einsatz von Transportverschlüsselung bietet einen Basis-Schutz und stellt eine Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen dar. In Verarbeitungssituationen mit normalen Risiken wird dabei bereits durch die Transportverschlüsselung eine ausreichende Risikominderung erreicht.[1] TLS („Transport Layer Security“) ist das Standardprotokoll für die Transportverschlüsselung und wird von den namenhaften europäischen Providern standardmäßig angeboten.
Einen deutlich weitergehenden Schutz der Vertraulichkeit der Inhaltsdaten erreichen Sie durch eine Ende-zu-Ende-Verschlüsselung, wofür derzeit die Internet-Standards S/MIME (RFC 5751) und OpenPGP (RFC4880) i.d.R. in Verbindung mit PGP/MIME (RFC 3156) zur Verfügung stehen. Technologien wie S/MIME oder PGP fehlt es nach wie vor am fehlenden Vernetzungseffekt.
Eine Lösung in der Breite kann vermutlich die sog. qualifizierte Transportverschlüsselung darstellen. E-Mails werden nach der vollautomatischen Verifizierung des Empfänger-Servers über eine sichere TLS-Verschlüsselung übertragen. Hierbei wird zunächst die IP-Adresse eines Empfänger-Systems fälschungssicher abgerufen. Anschließend erfolgt eine TLS-Zertifikatsprüfung des Servers und schließlich wird eine verschlüsselte Übertragung nur dann vorgenommen, wenn die vom BSI erlaubten Algorithmen, Chiffren und Schlüssellängen verwendet werden. In vielen Fällen ist die qualifizierte Transportverschlüsselung durch eine Erweiterung des E-Mail-Systems durch ein sog. Add-on möglich.
Grundsätzlich sollten E-Mails mit personenbezogenen Daten, sofern diese nicht pseudonymisiert werden, mindestens mit einer „Transportverschlüsselung“ versendet werden. Es ist jedoch zu berücksichtigen, dass bei einer Transportverschlüsselung die E-Mails auf den E-Mail-Servern im Klartext vorliegen und grundsätzlich einsehbar sind. Bei besonders schützenswerten Daten (z.B. Kontobewegungsdaten, Finanzierungsdaten, Daten zum Gesundheitszustand, Mandantendaten von Rechtsanwälten und Steuerberatern, Beschäftigtendaten) ist eine alleinige Transportverschlüsselung möglicherweise nicht ausreichend. Bei besonders sensiblen Daten sollte daher eine Inhaltsverschlüsselung das Mittel der Wahl darstellen. Sollte dies nicht gewährleistet werden können, sind ggf. alternative Übertragungswege denkbar.[2]
Entsprechende Alternativen können serverseitige Verschlüsselungslösungen, sog. E-Mail-Gateways, darstellen. Bei einem Secure E-Mail-Gateway laufen im Gegensatz zur Ende-zu-Ende-Verschlüsselung sämtliche kryptografischen Vorgänge, etwa das Verschlüsseln und Signieren von Inhalten, über ein dediziertes E-Mail-Gateway. Das Gateway wird an zentraler Stelle des Unternehmensnetzwerks implementiert und wahlweise als Aufsatz für einen bereits vorhandenen E-Mail-Server oder als eigenständiger Server eingesetzt. Weitere Alternativen können der elektronische Austausch über eine gesicherte Verbindung (Web-Portal des Verantwortlichen mit Zugangsbeschränkungen) oder die klassische postalische Zusendung darstellen.
WORAUF MUSS NOCH GEACHTET WERDEN?
Weitere relevante Kriterien sind zum einen Schnittstellen zu weiterer Sicherheitssoftware (bspw. Virenscanner, Firewall) sowie die E-Mail-Archivierung. Um die E-Mails gesetzeskonform identifizieren zu können, sollte das Archivsystem auf die E-Mail-Inhalte im Klartext zugreifen können.
IST EIN VERZICHT AUF DIE E-MAIL-VERSCHLÜSSELUNG MÖGLICH?
Ein Unterschreiten der genannten Sicherheitsanforderungen ist datenschutzrechtlich hinnehmbar, sofern eine freiwillige und informierte Einwilligung der betroffenen Person in eine unverschlüsselte E-Mail-Kommunikation vorliegt. Dies bedeutet unter anderem, dass der Berufsgeheimnisträger eine Verschlüsselung der E-Mail-Kommunikation angeboten haben muss.
Maßstab für die Anforderungen an eine derartige Einwilligung ist Art. 7 DS-GVO. Der Berufsgeheimnisträger hat hiernach nachzuweisen, dass die betroffene Person in Kenntnis aller Risiken durch entsprechende Aufklärung sein Einverständnis erteilt hat, unverschlüsselt zu kommunizieren. Zu Bedenken ist, dass eine solche Einwilligung der betroffenen Person, mit der ein direkter E-Mail-Kontakt besteht, allein nicht ausreichend ist, sofern auch personenbezogene Daten eines Dritten kommuniziert werden.
Von einer informierten Einwilligung ist nicht auszugehen, wenn die betroffene Person, etwa ein Mandant, die unverschlüsselte E-Mail-Kommunikation beginnt. Die Einholung einer pauschalen Einwilligung im Rahmen des der Rechtsbeziehung zugrundeliegenden allgemeinen Vertragswerkes (z.B. Mandatsvereinbarung, Behandlungsvertrag) dürfte problematisch sein, wenn diese mit der entsprechenden Aufklärung zusammen nicht besonders hervorgehoben ist.
FAZIT
In der Konsequenz müssen Verantwortliche i.S.d Art. 4 Nr. 7 DS-GVO – also auch Berufsgeheimnisträger unabhängig von ihrer Organisationsform – daher E-Mail-Kommunikation, die personenbezogene Daten enthält, dem Stand der Technik entsprechend datensicher organisieren, um sich keines Verstoßes gegen die genannten Normen vorwerfen lassen zu müssen.
[1] Orientierungshilfe der Datenschutzkonferenz zu „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail vom 13. Mai 2020.
[2] So die Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen und der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz in entsprechenden Pressemitteilungen.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.
