Die Datenschutzkonferenz formuliert in ihrer Orientierungshilfe von Ende Mai 2020 Anforderungen an eine sichere Übermittlung personenbezogener Daten per E-Mail. Verantwortliche seien zumindest verpflichtet, den verschlüsselten Empfang lediglich zu ermöglichen, denn die Verantwortung für den einzelnen Übermittlungsvorgang liegt beim Sender. Versendet der Verantwortliche personenbezogene E-Mails, seien Verantwortliche verpflichtet mindestens eine Transportverschlüsselung sicherzustellen, ggf. auch eine Ende-zu-Ende-Verschlüsselung (S/MIME; OpenPGP). Auch machen die Behörden verpflichtende Vorgaben für Berufsgruppen, die nach § 203 StGB verpflichtet sind. Beißt sich das nicht mit dem jeweiligen Berufsrecht? Die Behörden verkennen, dass Art. 32 DSGVO eine situationsabhängige Abwägung der Sicherheitsmaßnahmen zulässt. So kann auch eine komplett unverschlüsselte E-Mail-Kommunikation vertretbar sein, besonders wenn der Betroffene selbst die E-Mail-Kommunikation unverschlüsselt eröffnet. Das kann auch mal jemand den Berliner Bezirksämtern und Senatsverwaltungen sagen.
Juli 7, 2020
DSK zur E-Mail-Verschlüsselung
Autor
Lukas Wagner LL.M.