DSGVO: Müssen nichtprivate E-Mails verschlüsselt werden?

Kommentar schreiben | Kommentare lesen

Eine soziale und demokratische Wahlalternative: SOZIALE UNION › Wir machen Demokratie sozial!

Mit jeder E-Mail werden zumindest die folgenden personenbezogenen Daten übermittelt: Namen und E-Mail-Adressen des Absenders und des Empfängers. Weiterhin sind im Text in der Regel personenbezogene Daten enthalten.

Eine Ausnahme bilden anonyme E-Mails von pseudonymen E-Mail-Konten mit keinerlei personenbezogenem Inhalt. Lebensnah ist davon auszugehen, dass derartige E-Mails nicht zur beruflichen Korrespondenz gehören. Deshalb ist davon auszugehen, dass berufliche E-Mails in der Regel auch personenbezogene Daten enthalten.

Diese personenbezogenen Daten können, außer vom Absender und Adressaten der E-Mail, an jeder der sehr vielen technischen Schnittstellen eingesehen werden, über welche die E-Mail verteilt wird, sofern die E-Mail, wie bisher noch üblich, unverschlüsselt versendet wird. Damit ist diese E-Mail – wie eine Postkarte – von jedem einsehbar, der sie auf dem Wege ihrer Verteilung in den Händen hält.

Es liegt auf der Hand, dass es schon sehr merkwürdig anmutet, wenn Sie in Ihrem Briefkasten eine für jeden einsehbare Postkarte von Ihrem Arzt vorfinden, deren Inhalt in der Auflistung von diversen Daten in Bezug auf Ihre Gesundheit bzw. Krankheit besteht. Sie würden zumindest darauf bestehen, dass Ihr Arzt Ihnen diese Daten in einem fest verschlossenen Umschlag zusendet.

Daraus schlussfolgert, dass nichtprivate E-Mails der Europäischen Datenschutzgrundverordnung (DSGVO) unterfallen und somit deren Vorschriften entsprechen müssen. Siehe dazu weiter unten den Wortlaut des Art. 32 DSGVO.

Diese Tatsache hat zur Folge, dass die in Art. 32 DSGVO genannten Maßnahmen zum Schutz personenbezogener Daten eine Verschlüsselung aller nichtprivaten E-Mails zwingend erfordern.

Art. 32 DSGVO – Sicherheit der Verarbeitung

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

(3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

(4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

Schreibe einen Kommentar

Bei Angabe einer korrekten E-Mail-Adresse wird über Antworten auf den Kommentar benachrichtigt.

Das sind die Regeln: Es ist so einfach, sich in einem Projekt Respekt zu erarbeiten. Leiste einfach was. Erwarte nichts als Gegenleistung. Problem: Jede Minute, die Du über Dich oder Deine Leistungen redest, machen 10 Minuten tatsächliche Leistung kaputt. Niemand schuldet Dir freie Arbeit – und niemand schuldet Dir Support für seine freie Arbeit – und Dich mitmachen zu lassen, schuldet Dir auch niemand. Wer herkommt und Forderungen stellt, der hat sich sofort 100 Minuspunkte erarbeitet. Daraufhin kriegt der erst Recht keine Hilfe mehr und wird in dem Gefühl bestärkt, in einer feindlichen Umgebung zu sein. Eine selbsterfüllende Prophezeiung. Es ist eigentlich alles so einfach – und so berechenbar. Niemand verhält sich hier irrational. Idioten wird es immer geben. Sei einfach keiner von ihnen. Ganz einfach!
– frei nach Felix von Leitner