LDI gibt Hinweise zu den Anforderungen an die E-Mail-Verschlüsselung
Die Nutzung von E-Mail-Diensten ist bereits deshalb als Verarbeitung im Sinne des Art. 4 Nr. 2 DS-GVO zu qualifizieren, weil in der Regel sowohl die Metadaten als auch die Inhaltsdaten einer E-Mail Informationen zu bestimmten oder bestimmbaren natürlichen Personen enthalten. Vor diesem Hintergrund haben Unternehmen bei der Einrichtung von E-Mail-Diensten nach Art. 5 Abs. 1 lit. f. DS-GVO u. a. die Grundsätze der Integrität und Vertraulichkeit zu beachten und hierzu die erforderlichen technischen und organisatorischen Maßnahmen zu treffen (Art. 32 DS-GVO).
Nach Auffassung des LDI sind in Nordrhein-Westfalen bei der Auswahl der technischen und organisatorischen Maßnahmen folgende Aspekte zu berücksichtigen:
- „Die Kommunikation per E-Mail bedarf mindestens der Transport-Verschlüsselung, wie sie von den namhaften europäischen Providern standardmäßig angeboten wird.
- Die Transportverschlüsselung sollte entsprechend der Technischen Richtlinie „BSI TR-03108 Sicherer E-Mail-Transport“ implementiert sein. In Abhängigkeit vom Schutzbedarf der versendeten Daten und dem Risiko können Abweichungen von der Richtlinie statthaft sein.
- Es ist zu berücksichtigen, dass bei einer Transportverschlüsselung die E-Mails auf den E-Mail-Servern im Klartext vorliegen und grundsätzlich einsehbar sind. Bei besonders schützenswerten Daten (z.B. Kontobewegungsdaten, Finanzierungsdaten, Daten zum Gesundheitszustand, Mandantendaten von Rechtsanwälten und Steuerberatern, Beschäftigtendaten) ist eine alleinige Transportverschlüsselung möglicherweise nicht ausreichend. Zusätzliche technische und organisatorische Maßnahmen, wie z. B. eine Ende-zu-Ende-Verschlüsselung können geboten sein. Sollte dies nicht gewährleistet werden können, sind ggf. alternative Übertragungswege denkbar: Hierzu zählen der elektronische Austausch über eine gesicherte Verbindung (Web-Portal des Verantwortlichen mit Zugangsbeschränkungen) oder die klassische postalische Zusendung.Der Betreff der E-Mail sollte keine personenbezogenen Daten enthalten.“
Quelle: LDI
