DSK-Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“

Die Datenschutzkonferenz des Bundes und der Länder (DSK) hat eine neue Version (Stand: 16. Juni 2021) ihrer gemeinsamen Orientierungshilfe zum E-Mail-Versand veröffentlicht.

Verantwortliche und Auftragsverarbeiter sind gesetzlich gehalten, die Risiken, die sich aus ihren Verarbeitungen personenbezogener Daten ergeben, hinreichend zu mindern. Das betrifft auch Risiken, die durch die Übermittlung personenbezogener Daten per E-Mail entstehen. Der gesetzlich gebotene Schutz personenbezogener Daten im Zuge der Übermittlung von E-Mail-Nachrichten erstreckt sich sowohl auf die personenbezogenen Inhalte als auch die Umstände der Kommunikation, soweit sich aus Letzteren Informationen über natürliche Personen ableiten lassen.

Sowohl Transportverschlüsselung als auch Ende-zu-Ende-Verschlüsselung mindern für ihren jeweiligen Anwendungszweck Risiken für die Vertraulichkeit und Integrität der übertragenen personenbezogenen Daten.

Bereits am 13. März 2020 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder mehrheitlich eine  Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ verabschiedet, in der die Anforderungen an die Verfahren zum Versand und zur Entgegennahme von E-Mail-Nachrichten erläutert werden.  

Diese Orientierungshilfe wurde nunmehr aktualisiert und zeigt auf, welche Anforderungen an die Verfahren zum Versand und zur Entgegennahme von E-Mail-Nachrichten durch Verantwortliche, ihre Auftragsverarbeiter und öffentliche E-Mail-Diensteanbieter auf dem Transportweg zu erfüllen sind. Diese Anforderungen richten sich nach den Vorgaben der Art. 5 Abs. 1 Buchstabe f, 25 und 32 Abs. 1 DSGVO. Die Orientierungshilfe nimmt den Stand der Technik zum Veröffentlichungszeitpunkt als Ausgangspunkt für die Konkretisierung der Anforderungen. Sie geht von typischen Verarbeitungssituationen aus und bestimmt hierbei ausgehend vom Stand der Technik, den typischen Implementierungskosten und deren Verhältnis zu den Risiken einer Übermittlung personenbezogener Daten per E-Mail Anforderungen an die Maßnahmen, die Verantwortliche und Auftragsverarbeiter zur ausreichenden Minderung der Risiken zu treffen haben. Die Verantwortlichen und Auftragsverarbeiter sind verpflichtet, die Besonderheiten ihrer Verarbeitungen, darunter insbesondere den Umfang, die Umstände und die Zwecke der vorgesehenen Übermittlungsvorgänge zu berücksichtigen, die ggf. in abweichenden Anforderungen resultieren können. Dabei ist zu berücksichtigen, dass die Orientierungshilfe ausschließlich Risiken betrachtet, die sich auf dem Transportweg ergeben. Risiken, denen ruhende Daten wie bereits empfangene E-Mails ausgesetzt sind oder die durch eine Weiterverarbeitung wie z. B. automatische Weiterleitungen entstehen, werden in dieser Orientierungshilfe nicht betrachtet und können weitere Maßnahmen oder eine andere Gewichtung der im Folgenden aufgeführten Maßnahmen notwendig machen. Können die Anforderungen an eine sichere Übermittlung per E-Mail nicht erfüllt werden, so muss ein anderer Kommunikationskanal gewählt werden.

Fundstelle: Die gesamte Orientierungshilfe kann beispielsweise unter https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf heruntergeladen werden.