Die deutsche Datenschutzkonferenz (DSK) hat eine Orientierungshilfe zu Massnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E‑Mail veröffentlicht (datiert auf dem 13. März 2020). Sie erläutert Schutzmassnahmen i.S.v. Art. 5(1)(f), 25 und 32 DSGVO, die Verantwortliche, aber auch Auftragsverarbeiter und “öffentliche E‑Mail-Dienstanbieter” beim Versand von E‑Mails auf dem Transportweg zu erfüllen haben.
Die Hinweise stehen unter dem Vorbehalt abweichender Anforderungen je nach Risiken des Einzelfalls und betreffen nur die Transportverschlüsselung, nicht den Schutz ruhender Daten. In diesem Umfang verstehen sie sich aber als verpflichtend.
Zusammenfassend ist die DSK der Auffassung, dass
- Transportverschlüsselung einen Mindeststandard darstellt. Wer E‑Mails gezielt empfängt (erhebt, d.h. z.B. über eine Aufforderung auf einer Website oder im Rahmen einer Vereinbarung), muss daher die Voraussetzung für eine Transportverschlüsselung schaffen (mindestens muss der Aufbau von TLS-Verbindungen entsprechend der Technischen Richtlinie TR-02102 – 2 “Kryptographische Verfahren: Verwendung von Transport Layer Security (TLS)” des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) ermöglicht werden):
Der Einsatz von Transportverschlüsselung bietet einen Basis-Schutz und stellt eine Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen dar. In Verarbeitungssituationen mit normalen Risiken wird dabei bereits durch die Transportverschlüsselung eine ausreichende Risikominderung erreicht.
- Verantwortliche, die gezielt E‑Mails empfangen, “sollten” zudem DKIM-Signaturen prüfen, d.h. eine bestimmte digitale Signatur, die in E‑Mails enthalten sein kann; anhand eines öffentlichen Schlüssels der Absenderdomäne kann geprüft werden, ob die E‑Mail tatsächlich von einer bestimmten Domain stammt.
- Bei besonderen Risiken gelten bestimmte, höhere Anforderungen.
- Bem Versand von E‑Mails sollten sich Verantwortliche an der TR 03108 – 1 (“Sicherer E‑Mail-Transport”) orientieren und müssen eine obligatorische Transportverschlüsselung sicherstellen. Bei hohen Risiken müssen Verantwortliche “regelmäßig” eine Ende-zu-Ende-Verschlüsselung und eine qualifizierte Transportverschlüsselung vornehmen.
- Wer einem Berufsgeheimnis nach § 203 StGB untersteht, muss sicherstellen, dass nur berechtigte Stellen die Nachrichten entschlüsseln können.
- Öffentliche E‑Mail-Diensteanbieter müssen die Anforderungen der Technischen Richtlinie TR 03108 – 1 des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) einhalten.
Die Orientierungshilfe enthält zu den einzelnen Punkte und Verfahren weitergehende Hinweise.