Immer wieder werden wir zu der Notwendigkeit der Verschlüsselung von E-Mails und deren Anhängen gefragt – gerade, wenn es sich dabei um E-Mails/Anhänge mit vertraulichen Inhalten handelt. Gerade für Ärzte, Anwälte und andere sog. „Berufsgeheimnisträger“ ist die Frage nach einer Verschlüsselungspflicht von E-Mails relevant. Aber auch bei anderen Unternehmen herrscht hier Unsicherheit.
Ein wenig Klarheit schafft das Urteil des Verwaltungsgerichts Mainz (VG Mainz, Urteil vom 17.12.2020 – 1 K 778 /19.MZ), das sich im Ergebnis gegen eine Pflicht zur Verschlüsselung ausspricht.
Hintergrund der Entscheidung
Vorliegend hatte ein Rechtsanwalt diverse mandatsbezogene Unterlagen per E-Mail – ohne entsprechende „Ende-zu-Ende-Verschlüsselung“ – versendet, was der Gegenseite nicht so recht gefiel. Diese machte daraufhin einen DSGVO-Verstoß gemäß Art. 5 abs. 1 lit. f und Abs. 2 DSGVO geltend, und meinte der Rechtsanwalt hätte entgegen Art. 32 Abs. 1 DSGVO kein angemessenes Schutzniveau eingehalten.
Das sah des VG Mainz anders. Es kam zu dem Schluss, dass kein Verstoß gegen datenschutzrechtliche Vorschriften gegeben war. Das VG urteilte, dass der Versand der E-Mail ohne Nutzung einer Ende-zu-Ende-Verschlüsselung oder anderer über eine obligatorische Transportverschlüsselung hinausgehenden Sicherungsmaßnahmen, keinen Verstoß gegen Art. 5 abs. 1 lit. f und Abs. 2 DSGVO darstellte. Dazu ist anzumerken, dass der Versand von E-Mails regelmäßig transportverschlüsselt (per TLS/SSL-Verschlüsselung) erfolgt. Dafür müssen die E-Mail-Server entsprechend konfiguriert werden, was hier der Fall war.
Was bedeutet die Entscheidung für die Praxis?
Die Entscheidung sorgt zumindest für etwas mehr Klarheit bei Unternehmen. So nehmen derzeit zahlreiche Datenschutz-Behörden an, dass insbesondere im anwaltlichen Bereich jeglicher E-Mailverkehr nur per Ende-zu-Ende-Verschlüsselung erfolgen darf. Dem hat das VG Mainz nun eine „Abfuhr“ erteilt. Es stellt dabei auf den jeweiligen Inhalt der Mailkorrespondenz ab. Wenn es sich nicht um besonders schützenswerte Informationen – wie z.B. Gesundheitsdaten bzw. die in Artikel 9 oder 10 DSGVO genannten Daten handelt – ist derzeit keine Ende-zu-Ende-Verschlüsselung notwendig.
Handlungsempfehlung
Wir empfehlen, E-Mailserver unbedingt so einzustellen, dass Mails ausschließlich mit entsprechender Transportverschlüsslung versendet werden. So wird ein Mindestmaß an Datensicherheit gewährleistet – was aber auch keinesfalls unterschritten werden darf.
Wenn Daten im Sinne von Artikel 9 oder 10 DSGVO (Gesundheitsdaten, sexuelle/politische Orientierung, strafrechtliche Verurteilungen etc.) versendet werden, sollten jedoch zwingend zusätzliche Schutzmaßnahmen ergriffen werden. Dazu können z.B. gehören:
- Ende-zu-Ende-Verschlüsselung
- Verschlüsselung der Anhänge und separate Zusendung des Passworts über einen anderen Kommunikationsweg (z.B. per SMS)
- Abruf der Dokumente über speziell gesicherte Unternehmensserver.
Insgesamt dürfte aber derzeit der Versand von E-Mails unter Nutzung einer Transportverschlüsselung in den meisten Fällen ausreichend sein.
Der gänzlich unverschlüsselte Versand von E-Mails, d.h. ohne jegliche Transportverschlüsselung stellt hingegen einen eindeutigen Verstoß gegen die Bestimmungen der DSGVO dar.
Von Marco Koehler, LL.M., 19.02.2021
