Art. 32 DSGVO verlangt vom Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko einer Verarbeitung personenbezogener Daten angemessenes Schutzniveau zu gewährleisten. Damit besteht keine generelle Pflicht zur Verschlüsselung von E-Mails in der Kommunikation mit Kunden auch gegen deren Willen. Ist wegen des Gegenstands der Kommunikation eine Verschlüsselung jedoch erforderlich, z.B. bei der Übermittlung besonderer Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO oder von Berufsgeheimnissen, ist zwischen Transportverschlüsselung und Inhaltsverschlüsselung (Ende-zu-Ende-Verschlüsselung) zu unterscheiden.

I. Ausgangssituation: Kommunikationskanal E-Mail

1. Kommunikationsschritte beim E-Mail-Versand

2. Schutzziele der Verschlüsselung von E-Mails

a) Vertraulichkeit

b) Integrität

c) Verfügbarkeit

3. Verschlüsselung von E-Mails

II. Rechtliche Einordnung: Verschlüsselungspflicht?

1. Datenschutz

a) Pflicht zu geeigneten Schutzmaßnahmen

b) Datenschutz durch Technikgestaltung

c) Voraussetzungen einer Verschlüsselungspflicht

d) Fälle einer Verschlüsselungspflicht

e) Verzicht auf Verschlüsselung

2. Berufsrecht

a) Verschwiegenheitspflicht

b) Schutzmaßnahmen

c) Keine Verschlüsselung bei Einwilligung

d) Keine Verschlüsselung bei Zustimmung

III. Zusammenfassung und Folgen für die Praxis
 

I. Ausgangssituation: Kommunikationskanal E-Mail

„Unverschlüsselte E‑Mails sind wie Postkarten, jeder kann sie lesen!“ – Mit einer solchen Warnung beginnt nahezu jeder Hinweis auf die tatsächliche oder angebliche Pflicht zur Verschlüsselung von E‑Mails in der Kommunikation mit Kunden.

Ohne Verschlüsselung der E‑Mail sei die Vertraulichkeit der übermittelten personenbezogenen Daten nicht gewährleistet. Berufsgeheimnisträger wie Rechtsanwälte, Ärzte, Steuerberater oder Wirtschaftsprüfer könnten außerdem unbefugt Geheimnisse offenbaren und sich damit einer Strafbarkeit gem. § 203 Abs. 1, Abs. 2 StGB aussetzen.

1. Kommunikationsschritte beim E-Mail-Versand

Auf ihrem Weg vom Absender (unterstellt: Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO) zum Empfänger, also zum Kunden (unterstellt: betroffene Person i.S.d. Art. 4 Nr. 1 DSGVO) durchläuft eine E‑Mail – vereinfacht – mehrere Stationen:

Die E‑Mail wird in einer Anwendung (E‑Mail-Client, Browser, App) auf einem Endgerät des Absenders erstellt.
Vom Endgerät wird die E‑Mail zu dem vom Absender genutzten Server für den Versand zum Empfänger transportiert (Postausgangsserver), der sich in einem internen Netzwerk des Absenders (z.B. WAN, LAN) oder im Internet befinden kann.
Vom Postausgangsserver wird die E‑Mail, meist über das Internet, zu dem vom Empfänger für den Empfang der E‑Mail genutzten Server transportiert (Posteingangsserver), der sich wiederum in einem internen Netzwerk des Empfängers oder im Internet befinden kann.
Vom Posteingangsserver ruft der Empfänger die E‑Mail auf einem Endgerät (oder mehreren) mit einer Anwendung (E‑Mail-Client, Browser, App) ab.

Für die E‑Mail-Kommunikation können verschiedene technische Verfahren (z.B. POP, IMAP, Microsoft Exchange) genutzt werden, die sich wiederum bei Absender und Empfänger unterscheiden können. Vom technischen Verfahren, von der Konfiguration der beteiligten Server und Anwendungen auf den Endgeräten sowie vom Nutzungsverhalten von Absender und Empfänger hängt ab, wie oft und wo die E‑Mail vor, während und nach dem Kommunikationsvorgang vorhanden ist.

2. Schutzziele der Verschlüsselung von E-Mails

Klassische Schutzziele der Informations- und Datensicherheit sind die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen bzw. personenbezogenen Daten. 1 Integrität und Vertraulichkeit werden in Art. 5 Abs. 1 lit. f) DSGVO ausdrücklich als Datenschutzgrundsätze aufgeführt.

a) Vertraulichkeit

Die Verschlüsselung einer E‑Mail dient der Wahrung der Vertraulichkeit der mit der E‑Mail übermittelten Inhalte, also dem Schutz der E‑Mail vor einer Offenlegung gegenüber unbefugten Dritten.

Dies gilt insb. auch wegen der mit der E‑Mail übermittelten personenbezogenen Daten i.S.d. Art. 4 Nr. 1 DSGVO. Deren unbefugte Offenlegung wäre eine Verarbeitung i.S.d. Art. 4 Nr. 2 DSGVO 3 und zugleich eine Verletzung (...)