Geschrieben am 07.12.2018 von:
E-Mails haben die Kommunikation per Post weitgehend verdrängt und ersetzt. Es stellt sich daher aufgrund der bekannten Sicherheitslücken beim E-Mail-Versand die Frage, ob bei der Versendung von sensiblen Dokumenten oder den Nachrichten erhöhte Anforderungen umgesetzt werden müssen. Immer wieder in diesem Zusammenhang diskutiert wird die Pflicht von Berufsgeheimnisträgern wie Ärzten, Anwälten oder Steuerberatern, E-Mails generell zu verschlüsseln.
Sicherheit der Verarbeitung nach Art. 32 DS-GVO
Hintergrund dieser Frage ist zum einen, dass unverschlüsselter E-Mail-Versand allgemein als nicht mehr dem Stand der Technik im Sinne von Art. 32 Abs. 1 DS-GVO entsprechend angesehen wird. Zum anderen steht in Bezug auf Berufsgeheimnisträger wie Steuerberater, Rechtsanwälte oder Ärzte ein Verstoß gegen § 203 StGB im Raum, welcher gleichzeitig berufsrechtliche Konsequenzen nach sich ziehen kann.
Anlass zu dieser Frage gaben unter anderem entsprechende Stellungnahmen der Landesdatenschutzbeauftragten von Hamburg und Sachsen. Diese stammen noch aus der Zeit der Geltung des BDSG (alt):
- Tätigkeitsbericht des sächsischen Landesdatenschutzbeauftragten
- Anfrage an den hamburgischen Landesdatenschutzbeauftragten zur Verschlüsselungspflicht bei der Rechtsanwaltschaft
Nach diesen Stellungnahmen ist anzunehmen, dass unverschlüsselter E-Mail-Verkehr bei Berufsgeheimnisträgern wohl nicht mehr als dem Stand der Technik entsprechend angesehen wird. Mit Wirksamwerden der DS-GVO muss man dieser Ansicht wohl noch mehr Gewicht einräumen, da die Verschlüsselung sogar als konkrete Maßnahme in Art. 32 Abs. 1 a) DS-GVO genannt ist – und zwar vor den allgemeinen Anforderungen an z.B. die Vertraulichkeit und Integrität. Der Gesetzgeber hat der Verschlüsselung also einen Sonderstatus eingeräumt.
Müssen alle E-Mails verschlüsselt werden?
Die Frage ist, ob tatsächlich die gesamte Kommunikation zu verschlüsseln ist, oder ob sich diese Pflicht nur auf E-Mails bezieht, bei denen das Berufsgeheimnis zu beachten ist. Letzteres ist wohl der Fall. Zwar ist die Verschlüsselung von E-Mails noch nicht derart in der Gesellschaft angelangt, dass sie als üblich anzusehen wäre. Dennoch gibt es einige Lösungen, die gerade Berufsgeheimnisträgern den verschlüsselten Versand ermöglichen. Eine Umsetzung ist also wirtschaftlich und auch organisatorisch durchaus zumutbar.
Zu beachten ist, dass jede derzeit verfügbare Technologie der Mitwirkung beider Seiten bedarf. Problematisch wird es dann, wenn die erforderliche Mitwirkungshandlung verweigert wird oder wenn der E-Mail-Empfänger auf eine Verschlüsselung verzichten will. In solchen Fällen ist noch nicht geklärt, wer z.B. für einen Datenverlust haftet und ob der Betroffene trotz Verzicht Schadensersatz verlangen kann.