< zurück zum Blog

Aktuelle Gerichtsentscheidung: Sicherheit beim E-Mail-Versand

02.03.2021

In einem kürzlich von uns veröffentlichen Blogbeitrag haben wir bereits ausführlich dargestellt, welche Anforderungen an die Sicherheit beim Versenden von E-Mails gestellt werden müssen. Nun hat sich ein Gericht zur Frage der Verschlüsselung von E-Mails positioniert. Diese wichtige Entscheidung möchten wir Ihnen nicht vorenthalten, weil sie für den Datenschutz in Ihrem Unternehmensalltag eine hohe Bedeutung hat.

Zwei Möglichkeiten: Transportverschlüsselung oder Inhaltsverschlüsselung

Wir haben Ihnen erläutert, dass Artikel 32 DSGVO bestimmt, dass bei dem Transport von E-Mails über das Internet ein angemessenes Schutzniveau sichergestellt werden muss. Doch was ist ein angemessenes Schutzniveau? Hier kommt es darauf an, welche personenbezogenen Daten im Rahmen einer E-Mail übermittelt werden sollen. Handelt es sich um eher allgemeine Daten, die kein hohes Risiko für die Rechte und Freiheiten der Betroffen bergen, dann reicht nach Ansicht des Bayerischen Landesamt für Datenschutz eine (opportunistische) Transportverschlüsselung aus. Dies gelingt in der Regel durch eine einfache Einstellung am Mail-Server. Werden jedoch personenbezogene Daten übermittelt, die ein hohes Risiko für den Betroffenen bergen, wie bspw. Gesundheitsdaten, dann ist neben der Transportverschlüsselung auf jeden Fall zusätzlich eine Inhaltsverschlüsselung zu verwenden. Nur so kann sichergestellt werden, dass diese Daten ausreichend geschützt sind.

Den gesamten Blogbeitrag können Sie hier noch einmal nachlesen: https://sidit.de/blog/ist-die-versendung-von-emails-und-faxe-datenschutzrechtlich-uberhaupt-noch-zulassig

Entscheidung des Verwaltungsgerichtes Mainz: Transportverschlüsselung häufig ausreichend

Zur Frage „Transport- oder Inhaltsverschlüsselung?“ gibt es nun mehr Klarheit, denn das Verwaltungsgericht Mainz hat in einem Urteil (vom 17.12.2020 – Az.: 1 K 778/19.MZ) dazu Stellung genommen. Konkret ging es um folgenden Sachverhalt: Der Landesbeauftragte für Datenschutz und die Informationsfreiheit Rheinland-Pfalz rügte einen Rechtsanwalt, der vertrauliche Daten per E-Mail versendet hatte. Der Datenschützer vertrat die Auffassung, dass bei diesem Versand eine Transportverschlüsselung nicht genug gewesen sei, um ein ausreichendes Schutzniveau herzustellen. Vielmehr sei eine Inhaltsverschlüsselung erforderlich gewesen. Dagegen klagte der Rechtsanwalt und das Gericht gab ihm Recht.

Die Richter urteilten, dass auch Berufsgeheimnisträger grundsätzlich dazu verpflichtet seien, für eine ausreichende Absicherung auf dem Transportweg zu sorgen. Die Inhaltsverschlüsselung sei zusätzlich jedenfalls dann erforderlich, wenn besondere Kategorien von personenbezogenen Daten gem. Art. 9 DSGVO versendet würden. Allein der Versand von mandatsbezogenem Inhalt erfordere noch nicht den Versand unter Verschlüsselung des Inhalts der E-Mail. Hierfür müssten die im Einzelfall versendeten Daten den Kategorien aus Art. 9 DSGVO zumindest nahekommen, was vorliegend nicht der Fall gewesen sei. Zudem konstatierte das Gericht, dass es zum allgemeinen Lebensrisiko gehöre, dass Unbefugte von Inhalten der elektronischen Kommunikation Kenntnis erlangen könnten. Dies sei auch bei analogen Kommunikationsformen nicht anders.

Diese doch etwas überraschende Entscheidung des VG Mainz vom Dezember 2020 sollte kritisch betrachtet werden. Die Datenschutzaufsichtsbehörden sind nämlich überwiegend der Ansicht, dass bei Berufsgeheimnisträgern eine Inhaltsverschlüsselung grundsätzlich erforderlich ist. Diese einzelne Entscheidung ist zwar interessant, habt aber keine Bindungswirkung für andere Verwaltungsgerichte. Somit ist es gut möglich, dass ein anderes Gericht eine andere Auffassung vertritt. Rechtssicherheit in dieser Angelegenheit erlangt man erst, wenn sich noch mehr Gerichte dieser Ansicht anschließen oder aber ein Gericht in höherer Instanz diese Auffassung bestätigt.

Weiterführende Links

https://sidit.de/blog/ist-die-versendung-von-emails-und-faxe-datenschutzrechtlich-uberhaupt-noch-zulassig

Zum Aktivieren der eingebetteten Karte bitte auf den Link klicken. Durch das Aktivieren werden Daten an den jeweiligen Anbieter übermittelt. Weitere Informationen können unserer Datenschutzerklärung entnommen werden

Inhalt anzeigen

Ihr direkter Kontakt zu uns

SiDIT GmbH
Langgasse 20
97261 Güntersleben

Bürozeiten:
Montag bis Freitag von 8-16 Uhr.