Verschlüsselungspflicht für E-Mails nach DS-GVO
1 CommentArt. 32 DS-GVO
Kaum ein Thema wird in der Anwaltschaft derzeit so intensiv diskutiert wie die Frage, ob man als Anwalt mit dem Inkrafttreten der Datenschutz-Grundverordnung am 25.05.2018 mit Mandanten noch unverschlüsselt per E-Mail kommunizieren darf, ohne ein empfindliches Bußgeld zu riskieren. Von kompetenter Seite in der eigenen Verwandtschaft wurde der Autor dieses Beitrags darauf hingewiesen, dass dies schon nach geltendem Recht bislang unzulässig war, aber halt nicht bestraft wurde. Und ab dem 25.05.2018 begründe Art. 32 der DS-GVO eine entsprechende Verpflichtung zur Verschlüsselung von E-Mails. Einen potentiellen Neumandanten, der per E-Mail ein Mandat anträgt, müsse man demnach umgehend auf den Postweg oder den Weg der verschlüsselten Kommunikation verweisen.
Härting sieht das anders und behauptet: “Aus Art. 32 DSGVO [lässt sich] kein striktes, unabdingbares Verschlüsselungsgebot ableiten.”
Transportverschlüsselung und Inhaltsverschlüsselung
Meines Erachtens muss man zwischen einer Transportverschlüsselung und der Inhaltsverschlüsselung differenzieren. Eine Transport-Verschlüsselung hat zur Folge, dass eine E-Mail auf dem Weg vom PC des Absenders zum Empfänger nicht von Dritten mitgelesen werden kann. Allerdings liegt die Mail dann auf dem Server des Absenders und des Empfängers selbst in unverschlüsselter Form vor.
Eine Inhalts-Verschlüsselung ist heutzutage durch den Einsatz von S/MIME oder OpenPGP mit geringem Aufwand möglich. Die Verschlüsselung erfolgt vor dem Absenden, die Entschlüsselung auf dem PC des Empfängers. Eine derart End-to-End verschlüsselte E-Mail kann ohne Kenntnis des Schlüssels niemand lesen.
Nach Ansicht des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen ist eine Transportverschlüsselung auf jeden Fall erforderlich:
Bezüglich der sicheren Implementierung der Transportebene hat das Bundesamt für Sicherheit in der Informationstechnologie die Technische Richtlinie „BSI TR-03108-1: Secure E-Mail Transport“ herausgegeben.
Unter datenschutzrechtlichen Gesichtspunkten ist diese Richtlinie als Stand der Technik zu betrachten, so dass ihre Umsetzung eine notwendige Voraussetzung für die datenschutzkonforme E-Mail-Kommunikation ist.
Diese Art der Verschlüsselung ist am einfachsten umsetzbar. Die meisten E-Mail-Provider setzen sie nämlich bereits ein.
Zur Beantwortung der Frage, ob auch eine Inhaltsverschlüsselung von E-Mails erforderlich ist, differenziert der LDI:
Bei der Entscheidung, ob eine Ende-zu-Ende-Verschlüsselung erforderlich ist, sind der Schutzbedarf der übertragenen Daten sowie die Angemessenheit der Maßnahme zu berücksichtigen. Sollen Daten mit hohem oder sehr hohem Schutzbedarf, insbesondere die in Art. 9 Abs. 1 DS-GVO genannten besonderen Kategorien personenbezogener Daten übermittelt werden, ist eine Ende-zu-Ende-Verschlüsselung erforderlich. Da Metadaten einer E-Mail nicht durch Ende-zu-Ende-Verschlüsselung geschützt werden, ist sicherzustellen, dass sie keine Daten mit hohem oder sehr hohem Schutzbedarf enthalten. Insbesondere ist der Betreff neutral zu wählen, beispielsweise „Unser Gespräch am 01.02.“ statt „Ihre Blutwerte“.
Bei der Übermittlung personenbezogener Daten mit normalem Schutzbedarf besteht die Möglichkeit, dass im Einzelfall der Verzicht auf eine Ende-zu-Ende-Verschlüsselung der Inhaltsdaten statthaft ist.
Ein ausdrücklicher Wunsch des Empfängers nach Ende-zu-Ende-Verschlüsselung sollte jedoch in jedem Fall berücksichtigt werden.
Als Mindeststandard ist auch bei der Übermittlung personenbezogener Daten mit normalem Schutzbedarf eine Transportverschlüsselung erforderlich. Dazu ist beim Aufbau einer eigenen E-Mail-Infrastruktur die o.g. BSI-Richtlinie einzuhalten bzw. die Einhaltung der Richtlinie bei der Auswahl des E-Mail-Providers als obligatorisches Kriterium zu berücksichtigen.
In Abhängigkeit von der Art und dem Umfang der per E-Mail versandten Daten kann im Einzelfall die vorherige Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO erforderlich sein.
Hoher Schutzbedarf
Im Ergebnis dürfte für Anwälte deshalb eine Kommunikation mit Mandanten per unverschlüsselter E-Mail nur noch in Ausnahmefällen zulässig sein. Denn der hohe Schutzbedarf wird wie folgt definiert:
Personenbezogene Daten fallen dann unter die Kategorie des hohen Schutzbedarfs, wenn deren Verarbeitung eine erhebliche Beeinträchtigung des informationellen Selbstbestimmungsrechts insofern zu erwarten ist, als dass der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt werden kann oder die Daten aufgrund ihrer besonderen Sensibilität bzw. ihres Verwendungszusammenhangs einen höheren Schutzbedarf als Stufe 1 erfordern.
Der Landesbeauftragte für Datenschutz und Informationsfreiheit des Saarlandes subsumiert darunter ausdrücklich “Daten, die einem Berufs-, Geschäfts-, Fernmelde- oder Mandantengeheimnis unterliegen.”
Verschlüsselungspflicht
Die unverschlüsselte Übersendung von Schriftsätzen und Rechnungen dürfte also weitgehend unzulässig sein. Es muss daher jedem Kollegen geraten werden, seinen Mandanten zumindest die Möglichkeit einer inhaltsverschlüsselten Kommunikation anzubieten. Ein Einverständnis des Mandanten, von der nach Art. 32 DS-GVO gebotenen Verschlüsselung abzusehen, mag den Anwalt zwar von Haftungsansprüchen des Mandanten im Innenverhältnis freistellen – vor einem Bußgeld der Aufsichtsbehörde schützt dieses Einverständnis jedoch nicht. Denn die Rechte und Pflichten aus Art. 32 DS-GVO sind nicht disponibel.
Bis sich die ersten Verwaltungsgerichte mit Klagen gegen entsprechende Bußgeldbescheide oder Weisungen der Aufsichtsbehörden beschäftigen müssen und die ersten Entscheidungen dazu vorliegen, dürfte aber noch etwas Zeit vergehen.