Die oft gehörte Behauptung, dass TLS (Transport Layer Security) ausreicht, um datenschutzkonform per E-Mail zu kommunizieren, entspringt in der Regel dem Wunsch nach einer unkomplizierten Methode, verschlüsselt mit anderen Kommunikationspartnern über E-Mails zu interagieren. Leider handelt es sich dabei um eine trügerische Annahme.
Um diese Einschätzung aus rechtlicher Sicht zu analysieren, empfiehlt sich ein genaueres Studium von Artikel 32 der Datenschutz-Grundverordnung (DSGVO) „Sicherheit der Verarbeitung“ und der Erwägungsgrund 83 der DSGVO.
Artikel 32 der DSGVO legt fest, dass die Verantwortlichen für die Verarbeitung personenbezogener Daten sicherstellen müssen, dass diese Daten vor unbefugtem Zugriff geschützt sind. Hierfür müssen angemessene technische und organisatorische Maßnahmen ergriffen werden, darunter auch die Pseudonymisierung und die Verschlüsselung der Daten. Die Verschlüsselung soll sicherstellen, dass personenbezogene Daten für unbefugte Personen unzugänglich sind (siehe Artikel 34 Absatz 3 Buchstabe a DSGVO). In jedem Fall sollte individuell bewertet werden, ob TLS in allen Fällen die angemessene Technologie ist.
Allgemeine Aussagen sind aus juristischer Sicht selten zielführend. Daher lautet die übliche Antwort eines Anwalts: „Es hängt von den Umständen ab…“.
Im Streitfall ist eine Einzelfallbewertung der spezifischen Situation erforderlich. Die Prüfung kann ergeben, dass überhaupt keine Verschlüsselung erforderlich war, dass TLS-Verschlüsselung ausreichend war oder dass zusätzlich zur reinen Leitungsverschlüsselung eine inhaltliche Ende-zu-Ende-Verschlüsselung zwingend erforderlich gewesen wäre.
Aussagen wie „TLS reicht aus, um datenschutzkonform zu kommunizieren“ sollten mit Vorsicht betrachtet werden.
Um den Datenschutzvorschriften zu entsprechen, bleibt der Verantwortliche (gemäß Artikel 4 Nummer 7 EUDSGVO) nach wie vor in der Verantwortung. Das Risiko liegt nicht nur bei ihm, sondern er trägt auch – möglicherweise persönlich – die Konsequenzen. Mögliche Sanktionen können Regressansprüche gegen das Management oder Sonderbeauftragte für Compliance, Datenschutz und Informationssicherheit umfassen. Zivilrechtlich kann Schadensersatz verlangt werden, einschließlich Vermögensschäden ohne Haftungsobergrenze. Öffentlich-rechtliche Sanktionen können Geldstrafen, Haftstrafen oder Verwaltungsstrafen umfassen. Ordnungsmaßnahmen können sogar zur Stilllegung des Betriebs führen.
Angesichts dieser potenziellen Risiken ist es von entscheidender Bedeutung, in der Praxis alle möglichen Schritte zu unternehmen, um die Risiken zu minimieren und die Sicherheit von E-Mails zu maximieren. Neben der weit verbreiteten TLS-Verschlüsselung stehen verschiedene andere Verschlüsselungsmethoden zur Verfügung, um vertrauliche E-Mails zu schützen. Dazu gehören Technologien wie S/MIME und PGP, die eine End-zu-End-Verschlüsselung bieten und sicherstellen, dass nur der befugte Empfänger den Inhalt entschlüsseln kann. Die Nutzung von Spontanverschlüsselung ist ebenfalls eine praktikable Option, um bestimmte E-Mails oder Nachrichten nach Bedarf zu verschlüsseln und so eine zusätzliche Sicherheitsebene zu schaffen. All diese Technologien wurden entwickelt, um unabhängig von der darunterliegenden Infrastruktur zu funktionieren und so die Vertraulichkeit und Integrität der E-Mail-Kommunikation unter keinen Umständen zu gefährden.
Im Idealfall sollten diese Technologien kombiniert werden, um sicherzustellen, dass die Vertraulichkeit und Integrität der E-Mail-Kommunikation niemals eine Ursache für Verstöße gegen die DSGVO darstellen.