DSK: Min­dest­schutz von Per­so­nen­da­ten beim Emp­fang und Ver­sand von E‑Mails

Die deut­sche Daten­schutz­kon­fe­renz (DSK) hat eine Ori­en­tie­rungs­hil­fe zu Mass­nah­men zum Schutz per­so­nen­be­zo­ge­ner Daten bei der Über­mitt­lung per E‑Mail ver­öf­fent­licht (datiert auf dem 13. März 2020). Sie erläu­tert Schutz­mass­nah­men i.S.v. Art. 5(1)(f), 25 und 32 DSGVO, die Ver­ant­wort­li­che, aber auch Auf­trags­ver­ar­bei­ter und “öffent­li­che E‑Mail-Dienst­an­bie­ter” beim Ver­sand von E‑Mails auf dem Trans­port­weg zu erfül­len haben.

Die Hin­wei­se ste­hen unter dem Vor­be­halt abwei­chen­der Anfor­de­run­gen je nach Risi­ken des Ein­zel­falls und betref­fen nur die Trans­port­ver­schlüs­se­lung, nicht den Schutz ruhen­der Daten. In die­sem Umfang ver­ste­hen sie sich aber als ver­pflich­tend.

Zusam­men­fas­send ist die DSK der Auf­fas­sung, dass

  • Trans­port­ver­schlüs­se­lung einen Min­dest­stan­dard dar­stellt. Wer E‑Mails gezielt emp­fängt (erhebt, d.h. z.B. über eine Auf­for­de­rung auf einer Web­site oder im Rah­men einer Ver­ein­ba­rung), muss daher die Vor­aus­set­zung für eine Trans­port­ver­schlüs­se­lung schaf­fen (min­de­stens muss der Auf­bau von TLS-Ver­bin­dun­gen ent­spre­chend der Tech­ni­schen Richt­li­nie TR-02102 – 2 “Kryp­to­gra­phi­sche Ver­fah­ren: Ver­wen­dung von Trans­port Lay­er Secu­ri­ty (TLS)” des deut­schen Bun­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) ermög­licht wer­den):

    Der Ein­satz von Trans­port­ver­schlüs­se­lung bie­tet einen Basis-Schutz und stellt eine Min­dest­maß­nah­me zur Erfül­lung der gesetz­li­chen Anfor­de­run­gen dar. In Ver­ar­bei­tungs­si­tua­tio­nen mit nor­ma­len Risi­ken wird dabei bereits durch die Trans­port­ver­schlüs­se­lung eine aus­rei­chen­de Risi­ko­min­de­rung erreicht.

  • Ver­ant­wort­li­che, die gezielt E‑Mails emp­fan­gen, “soll­ten” zudem DKIM-Signa­tu­ren prü­fen, d.h. eine bestimm­te digi­ta­le Signa­tur, die in E‑Mails ent­hal­ten sein kann; anhand eines öffent­li­chen Schlüs­sels der Absen­der­do­mä­ne kann geprüft wer­den, ob die E‑Mail tat­säch­lich von einer bestimm­ten Domain stammt.
  • Bei beson­de­ren Risi­ken gel­ten bestimm­te, höhe­re Anfor­de­run­gen.
  • Bem Ver­sand von E‑Mails soll­ten sich Ver­ant­wort­li­che an der TR 03108 – 1 (“Siche­rer E‑Mail-Trans­port”) ori­en­tie­ren und müs­sen eine obli­ga­to­ri­sche Trans­port­ver­schlüs­se­lung sicher­stel­len. Bei hohen Risi­ken müs­sen Ver­ant­wort­li­che “regel­mä­ßig” eine Ende-zu-Ende-Ver­schlüs­se­lung und eine qua­li­fi­zier­te Trans­port­ver­schlüs­se­lung vor­neh­men.
  • Wer einem Berufs­ge­heim­nis nach § 203 StGB unter­steht, muss sicher­stel­len, dass nur berech­tig­te Stel­len die Nach­rich­ten ent­schlüs­seln kön­nen.
  • Öffent­li­che E‑Mail-Dien­ste­an­bie­ter müs­sen die Anfor­de­run­gen der Tech­ni­schen Richt­li­nie TR 03108 – 1 des deut­schen Bun­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) ein­hal­ten.

Die Ori­en­tie­rungs­hil­fe ent­hält zu den ein­zel­nen Punk­te und Ver­fah­ren wei­ter­ge­hen­de Hin­wei­se.