Hat jemand von Ihnen bereits von einer Aufsichtsbehörde den Hinweis bekommen, unverschlüsselte E-Mails von Kunden bzw. Bürgern*innen nicht anzunehmen?
M.W. gibt es solche Ansätze, die ich allerdings nicht für gerechtfertigt halte. Was meinen Sie?
Annehmen ist kein Problem. Wenn jemand seine eigenen personenbezogenen Daten durch ungeschützte E-Mails “veröffentlichen” will, hat er jedes Recht dazu. Ein Problem wird es erst, wenn man auf gleichem Kanal antworten will. Dann müssen alle fremden personenbezogenen Daten verschwinden. Was bei einer namentlichen E-Mail-Adresse schon schwierig sein dürfte.
Es gibt die Variante, dass man von seinen Kommunikationspartnern auch für sensible Daten unverschlüsselte Mails verlangt bzw. gegenüber geeigneteren Methoden forciert. Das wäre kein Datenschutz durch Gestaltung (Art. 25), die technischen und organisatorischen Maßnahmen wären nicht “geeignet” (Art. 32), man hätte den Grundsatz der Vertraulichkeit überstrapaziert (Art. 5).
D., der so was bei häufigerem Anfall oder zu erwartenden Zusendungen kanalisieren würde, indem man geeignete Wege vorgibgt und ggf. ausdrücklich von den unsicheren abrät.
Vielen Dank für Ihre Antworten. Ich sehe das auch so, dass Unternehmen und Behörden unverschlüsselte E-Mails annehmen dürfen und es kein Problem ist, wenn sie zu diesem Zweck ihre E-Mail-Adresse veröffentlichen oder diese auf Schriftstücken steht. Einen Zwang oder Druck zur unverschlüsselten E-Mail darf es allerdings nicht geben, z.B. in der Form, dass das der einzige zur Verfügung gestellte Kommunikationsweg ist.
Zu antworten ist dann auf gesicherten Kanälen.
Ich finde dass man hier einen kleinen Unterschied zwischen verschiedenen Verschlüsselungsarten machen sollte, geht es um eine Ende-zu-Ende Verschlüsselung oder eine Transportverschlüsselung?
Ich finde eine Transportverschlüsselung sollte im E-Mail-Verkehr schon erzwungen werden, das sollte für gewöhnlich nicht viel schwieriger als das Erzwingen/Anbieten von HTTPS anstelle von HTTP bei Internetseiten sein.
Eine Ende-zu-Ende-Verschlüsselung zu erzwingen wäre zwar schön, gut und wichtig, aber aktuell sehe ich das schwierig wegen der Kompablität und der sehr gemischten Software. Es wäre schön wenn zumindest eine sinnvolle Option für Ende-zu-Ende Verschlüsselungen angeboten werden kann, da kann man sich am BfDI (PGP) ein Beispiel nehmen.
Die Datenschutzbehörden haben sich doch bereits durch ihre Orientierungshilfe "Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail" vom 27. Mai 2021 geäußert. Entscheidend ist Art. 32 DSGVO, also abhängig vom konkreten Risiko und nach Maßgabe des Stands der Technik.
"4.1.1. Verpflichtungen bei normalen Risiken
Der Schutz von Vertraulichkeit und Integrität von personenbezogenen Daten bei der Übermittlung von E-Mail-Nachrichten setzt voraus, dass Sender und Empfänger zu-sammenarbeiten. Die Verantwortung für den einzelnen Übermittlungsvorgang liegt bei dem Sender. Wer jedoch gezielt personenbezogene Daten per E-Mail entgegennimmt, ist verpflichtet, die Voraussetzungen für den sicheren Empfang von E-Mail-Nachrichten über einen verschlüsselten Kanal zu schaffen. Das bedeutet, dass der Empfangsserver mindestens den Aufbau von TLS-Verbindungen (direkt per SMTPS oder nach Erhalt eines STARTTLS-Befehls über SMTP) ermöglichen muss und hierbei ausschließlich die in der BSI TR 02102-2 aufgeführten Algorithmen verwenden darf. Um den Aufbau verschlüsselter Verbindungen zu erleichtern, sollte der Verantwortliche für Verschlüsselung und Authentifizierung ein möglichst breites Spektrum an qualifizierten Algorithmen anbieten.
Um die Authentizität und Integrität der empfangenen E-Mail-Nachrichten zu überprüfen, sollten Verantwortliche DKIM-Signaturen prüfen und signierte Nachrichten, bei denen die Prüfung fehlschlägt, markieren oder, bei entsprechender Festlegung des Absenders über einen DMARC-Eintrag im DNS, zurückweisen.
4.1.2. Verpflichtungen bei hohen Risiken
Nimmt ein Verantwortlicher Daten gezielt per E-Mail entgegen, bei denen der Bruch der Vertraulichkeit ein hohes Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen darstellt, dann muss er sowohl qualifizierte Transportverschlüsselung (s. u. Nr. 5.2) als auch den Empfang von Ende zu Ende verschlüsselter Nachrichten ermöglichen.
Nimmt ein Verantwortlicher Daten gezielt per E-Mail entgegen, bei den der Bruch der Integrität ein hohes Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen darstellt, dann muss er bestehende (PGP- oder S/MIME-) Signaturen qualifi-ziert prüfen (s. u. Nr. 5.4).
1 „Gefällt mir“
20211124_TOP_7_Beschluss_Verzicht_auf_TOMs.pdf (datenschutzkonferenz-online.de)
Mit diesem Beschluss der DSK dürfte auch diese Frage im Umkehrschluss beantwortet werden können: Natürlich darf man unverschlüsselte E-Mails annehmen, wenn man sie auf Wunsch sogar versenden darf.