Zurück zur Übersicht
31.01.2022

E-Mail nur Ende-zu-Ende verschlüsselt?

E-Mail-Kommunikation nur noch Ende-zu-Ende verschlüsselt?

Für die Übermittlung von personenbezogenen Daten mittels elektronischer Kommunikation enthält die DSGVO keine konkreten Vorgaben. Hier muss auf allgemeine Vorgaben hinsichtlich der Sicherheit der Verarbeitung zurückgegriffen werden (Art. 5, 32 DSGVO). Die DSK hat zur Konkretisierung eine entsprechende Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ herausgegeben. Die vorzunehmende Art der Verschlüsselung von personenbezogenen Daten wird anhand einer Risikoabschätzung beurteilt.

Es  erreichte den Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) eine Beschwerde des Kunden eines Thüringer Energieunternehmens. Grund hierfür war eine E-Mail des Unternehmens an seine Kunden, in der ein Schreiben enthalten war, welches unter anderem den Namen, die Anschrift, die Zählernummer des Stromzählers, die Mess- und Marktlokationsnummer der Verbrauchsstelle des Kunden enthielt. Inhaltlich ging es lediglich um die Wiederinbetriebnahme der Verbrauchsstelle. Weitere Einzelheiten sollten mit der Zweigstelle des Unternehmens telefonisch abgeklärt werden. Fraglich war, ob das Unternehmen auf diesem Weg personenbezogene Daten übermitteln durfte.

Im Rahmen des Auskunftsverlangens des TLfDI teilte das verantwortliche Unternehmen mit, dass es seinen Kunden mehrere Kontaktmöglichkeiten anbietet (Telefon, E-Mail, Fax et cetera). Standardmäßig erfolge die Kontaktaufnahme jedoch postalisch oder telefonisch. Die Kommunikation per E-Mail erfolge erst durch eine entsprechende initiale Kontaktaufnahme durch den Kunden. Hier würden jedoch lediglich einfache Fragestellungen oder Sachverhalte ohne die Preisgabe von besonders schützenswerten Daten übermittelt. Eine gesonderte Einwilligung in diesen Kommunikationsweg hole das Unternehmen nicht ein. Selbst wenn durch das Unternehmen eine Einwilligung in die unverschlüsselte Kommunikation per E-Mail eingeholt worden wäre, würden die Verarbeitungstätigkeiten hierdurch nicht rechtmäßig. Insoweit sind immer die zu treffenden technischen und organisatorischen Maßnahmen unter Berücksichtigung des Stands der Technik seitens des Verantwortlichen zu beachten.

Hierfür seien entsprechende Maßnahmen nach Art. 32 DatenschutzGrundverordnung (DSGVO) durch die Verantwortliche zum Schutz der Daten der Kunden getroffen worden. Insbesondere unterstütze deren Mail-Server bei der Versendung an Empfänger und dem Empfang von E-Mails von Absendern außerhalb des Unternehmens das Verschlüsselungsprotokoll TLS (Transport Layer Security). Sofern der Mail-Server des Empfängers beziehungsweise Absenders dieses Protokolls ebenfalls unterstützt, sei eine Transportverschlüsselung gegeben. Darüber hinaus bestehe die Möglichkeit, angehängte Dokumente an einer E-Mail mit einem Passwortschutz zu versehen und so eine Verschlüsselung zu gewährleisten. Zudem sei es in dem Unternehmen möglich, E-Mails über eine Ende-zu-Ende-Verschlüsselung zu sichern.

Hinsichtlich der elektronischen Kommunikation enthält die DSGVO keine konkreten Vorgaben. Hier muss auf Art. 5 Abs. 1 Buchstabe f), Art. 32 Abs. 1 Buchstabe a) und Buchstabe b) DSGVO bezüglich allgemeiner Vorgaben hinsichtlich der Sicherheit der Verarbeitung zurückgegriffen werden. Welche konkreten Maßnahmen die DGVO mit der Verschlüsselung anstrebt, wird in Art. 32 DSGVO nicht deutlich. Insbesondere werden keine Vorgaben zur Art der Verschlüsselung bei einer Datenübermittlung gemacht. Entsprechend der Vorgaben der seit dem 12. Mai 2020 beschlossenen Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ ist seitens des Verantwortlichen eine Risikoeinschätzung bei dem Versand von E-Mails vorzunehmen. Handelt es sich um ein normales Risiko, also werden keine sensiblen Daten wie zum Beispiel Bank- und Abrechnungsdaten, übermittelt, ist eine Transportverschlüsselung dem Stand der Technik ausreichend, wenn diese nach den Standards des Bundesamtes für Sicherheit in der Informationstechnik (hier BSI TR 02102-2) verwendet wird. Der Einsatz von Transportverschlüsselung bietet einen Basis-Schutz und stellt eine Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen dar. In Verarbeitungssituationen mit normalen Risiken wird dabei bereits durch die Transportverschlüsselung eine ausreichende Risikominderung erreicht. Die Transportverschlüsselung reduziert jedoch lediglich die Erfolgswahrscheinlichkeit passiver Abhörmaßnahmen Dritter auf dem Transportweg auf ein geringfügiges Maß. Zudem prüfen die beteiligten Provider in der Regel nach Eingang einer Nachricht diese unmittelbar auf Schadsoftware. Dies bedeutet, dass dort jede Mail für einen kurzen Moment automatisch geprüft wird, bevor sie weitergeleitet oder für den Abruf gespeichert wird. Durch eine Ende-zu-EndeVerschlüsselung ist es hingegen möglich, die Inhalte einer E-MailNachricht durchgreifend gegen unbefugte Kenntnisnahme zu schützen. Dieser Schutz erstreckt sich dabei nicht nur auf den eigentlichen Transportweg, sondern auch auf die Zwischenspeicherung und -verarbeitung auf den an der Übermittlung beteiligten Servern (siehe Beitrag 2.10). Laut den Angaben des Unternehmens wurde eine den Standards des BSI entsprechende Transportverschlüsselung (TLS) beim Versand und Empfang von E-Mails eingesetzt.

Das per E-Mail versandte Schreiben enthielt den Namen und die Anschrift des Kunden sowie pseudonymisierte Daten, welche nur durch den Energielieferanten entschlüsselt werden könnten (Messlokationsnummer und Marktlokation sowie Zählernummer). Weitere Daten, welche ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person begründen könnten, waren in dem Schreiben an den Kunden nicht enthalten. Eine Ende-zu-Ende-Verschlüsselung der E-Mail und des Anhangs war daher aus Sicht des TLfDI nicht erforderlich und die eingesetzte Transportverschlüsselung ausreichend.

Bei dem hier geprüften Unternehmen lagen hinsichtlich der elektronischen Kommunikation ausreichend getroffene Maßnahmen zur Verschlüsselung vor, so dass ein Datenschutzverstoß seitens des TLfDI bei der Übermittlung der personenbezogenen Daten des betreffenden Beschwerdeführers nicht festgestellt werden konnte.

Quelle: LfDI Thüringen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks