Warum ist die Verschlüsselung von E-Mails und Datenträgern so wichtig? Stellen Sie sich doch einmal vor, Sie schicken Ihrer Tante zu Weihnachten eine Postkarte, in der Sie nicht nur ein frohes Fest wünschen, sondern auch von Ihren vielen Sorgen im zurückliegenden Corona-Jahr berichten. Die Belastung, die Sie ertrugen, als Sie Kindererziehung und Home-Office unter einen Hut brachten und der schon wieder ausgefallene Winterurlaub.
Alles, was Sie auf diese Postkarte schreiben, kann von Unbefugten mitgelesen werden, weil die Karte ja keinen Briefumschlag hat. Beispielsweise jeder neugierige Postbote erfährt von Ihren Sorgen, die Sie eigentlich ausschließlich Ihrer Tante erzählen wollten. Wenn Sie also Diskretion wünschen, würden Sie wohl eher zu einem Brief statt einer Postkarte greifen. Außer: Es ist Ihnen einfach egal, ob Ihre Sorgen auch unbeteiligten Dritten bekannt werden.
Eine unverschlüsselte E-Mail ist so unsicher wie eine Postkarte
Beim Versand von E-Mails ist es genauso. Wenn Sie E-Mails versenden, die nicht verschlüsselt sind, sind diese prinzipiell von Jedermann lesbar – genau wie bei der Postkarte. In diesem Blogbeitrag erfahren Sie mehr dazu. Im Unterschied zur privaten Weihnachtskarte an die Tante, bei der ja Sie selbst als Absender entscheiden können, ob Sie eine unsichere Postkarte schicken wollen oder doch einen verschlossenen Brief wählen, ist Ihr Unternehmen beim Versand von E-Mails an Kunden, Mitarbeiter oder Geschäftspartner ein datenschutzrechtlicher Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO und muss deshalb einen sicheren und diskreten Versand von E-Mails garantieren. Hierfür ist es erforderlich, dass Ihr Unternehmen die E-Mails ausschließlich inkl. Verschlüsselung versendet. Gleiches gilt übrigens, wenn Ihr Unternehmen personenbezogene Daten auf Datenträgern wie USB-Sticks oder Externen Festplatten an Andere weitergibt. Hier muss stets darauf geachtet werden, dass eine ausreichende Verschlüsselung der Datenträger vorliegt.
Der Betroffene kann in seltenen Einzelfällen auf Verschlüsselung verzichten
Außer: Es ist dem betroffenen Kunden oder Geschäftspartner egal, dass Sie seine Daten in einer unverschlüsselten E-Mail versenden. Ist das so? Kann der Betroffene ausdrücklich wünschen, dass Mindeststandards von Maßnahmen zum Schutz seiner Daten in technischer Hinsicht nicht eingesetzt werden?
Zu dieser spannenden Frage hat sich Ende November die Datenschutzkonferenz geäußert und gesagt, dass es in zu dokumentierenden Einzelfällen möglich sei, dass der Verantwortliche auf ausdrücklichen, eigeninitiativen Wunsch einer informierten betroffenen Person auf bestimmte vorzuhaltende TOM verzichten kann, sofern das Selbstbestimmungsrecht beachtet wird. Hierunter ließe sich also auch jene Verschlüsselung von E-Mails fassen.
Mit einer ganz ähnlichen Frage, nämlich ob der Betroffene in schlechte TOMs einwilligen kann, haben wir uns kürzlich in folgendem Blogartikel befasst.
Damals vertrat der Hamburgische Datenschutzbeauftragte die Auffassung, dass eine Einwilligung in schlechte TOMs möglich sei. Dies sieht die Datenschutzkonferenz in Ihrer Stellungnahme vom 24.11.21 anders, da die TOM eben objektive Rechtspflichten darstellten, die Verantwortliche zu garantieren habe.
Fazit: Versenden Sie Ihre E-Mails ausschließlich verschlüsselt
Versenden Sie Ihre E-Mails stets in verschlüsselter Form. Verschlüsseln Sie Ihre Datenträger. Der jeweilige Grad der Verschlüsselung hängt entscheidend vom erforderlichen Schutzniveau ab. Nur in begründeten Einzelfällen können Sie ausnahmsweise auf diese Verschlüsselung verzichten. Hierfür bestehen jedoch hohe Hürden. Lesen Sie mehr in folgendem Blogbeitrag.
Wenn Sie einen fachlich sehr kompetenten externen Datenschutzbeauftragten suchen, sind Sie bei uns richtig. Schreiben Sie uns unter: info@sidit.de
Kein Kommentar