Rechtskonformer E-Mailversand - ohne Einsatz von Verschlüsselungsverfahren
Der Einsatz von Verschlüsselungsverfahren wird vielfach als notwendige Maßnahme beim E-Mailversand betrachtet. Bei der Verarbeitung personenbezogener Daten ist (unter anderem) ein angemessenes Schutzniveau zu wahren, das dem Stand der Technik und dem Risiko für die Rechte und Freiheiten der betroffenen Person, entspricht.
Artikel 32 der Datenschutzgrundverordnung nennt als mögliche Sicherungsmaßnahme den Einsatz von Verschlüsselungsmaßnahmen.
Sind E-Mails, die durch die Verwendung der E-Mailadresse stets personenbezogene Daten, teilweise aber auch nach Ihrem Inhalt personenbezogene Daten Dritter, verarbeiten damit immer zu verschlüsseln? Und wenn ja, wie?
Artikel 32 DSGVO nennt mögliche Sicherungsmaßnahmen, die unter Berücksichtigung
• des Stands der Technik,
• der Implementierungskosten,
• der Art, des Umfangs, der Umstände und der
Zwecke der Verarbeitung sowie
• der unterschiedlichen Eintrittswahrscheinlichkeit
und
• Schwere des Risikos für die Rechte und Freiheiten
natürlicher Personen zu treffen sind.
Bereits der Begriff "Stand der Technik" ist nicht definiert.
Das Gesetz nennt als Beispiel Verschlüsselungsverfahren – allerdings gibt es bei der Funktionsweise zwei grundsätzliche Geschmacksrichtungen: eine Verschlüsselung auf Inhaltsebene, also bezüglich des Textes der E-Mail, ohne jedoch die Metadaten wie Absender- und Empfängeradresse ebenfalls zu verschlüsseln, und eine Verschlüsselung auf Transportebene, bei der sowohl Meta- wie auch Inhaltsdaten auf dem Transport zwischen Mail-Clients und Servern verschlüsselt werden – aber nur auf dem Transportweg. Bei den jeweils beteiligten Mailservern endet die Verschlüsselung dann und die Daten liegen dort unverschlüsselt vor.
Der Einsatz einer Transportverschlüsselung (beispielsweise TLS, Transport Layer Security) wird von den gängigen E-Mailprovidern standardmäßig angeboten, schützen jedoch nicht vor einem unbefugten Zugriff auf den Servern der Provider.
Teilweise werden daher Ende-zu-Ende-Verschlüsselungsverfahren wie PGB („Pretty Good Privacy“) oder S/MIME (Secure /Multipurpose Internet Mail Extensions) wärmstens empfohlen. Ob dies dem Stand der Technik entspricht, ist jedoch äußerst zweifelhaft.
Zum einen waren beide Verfahren bereits Objekte erfolgreicher Hacker-Angriffe. Gegen den Einsatz derartiger Inhaltsverschlüsselung spricht im Fall des mit am weitesten verbreiteten Standards PGB, der unter anderem in einer quelloffenen Variante - GnuPG - weit verbreitet ist, dass sie sinnvoll nur mit sogenannten öffentlichen Schlüsselservern einsetzbar sind. Dabei handelt es sich um untereinander vernetzte Server, auf denen die öffentlichen Schlüssel von Nutzern hinterlegt werden, um dort für potentielle Kommunikationspartner abrufbereit gehalten zu werden.
Möchte jemand verschlüsselt mit dem Inhaber eines solchen Zertifikat kommunizieren, muss er sich zunächst dessen öffentlichen Schlüssel besorgen. Es ist praktisch kaum umsetzbar, vor allem aber auch widersinnig, wenn Kommunikationspartner gezwungen wären, sich vor der Aufnahme verschlüsselter Kommunikation den entsprechenden öffentlichen Schlüssel zunächst auf drittem Weg, etwa per unverschlüsselter E-Mail zu besorgen. Öffentliche Schlüsselserver sind daher nicht technisch, sehr wohl aber praktisch unabdingbar für einen sinnvollen Einsatz der Technik.
Damit stellt sich allerdings ein nach Lage der Dinge nicht lösbares Problem: die bei einem solchen Schlüsselserver zu hinterlegenden Zertifikate können von diesem aus prinzipiellen Gründen nicht gelöscht werden. Sie können lediglich widerrufen werden, wozu der Schlüsselinhaber ein sogenanntes Revocation-Zertifikat vorhalten muss.
Wird das Zertifikat widerrufen, wird der entsprechende Schlüssel, der stets gemeinsam mit der E-Mail-Adresse und dem vollen Namen des Schlüsselinhabers vorliegt, nicht etwa gelöscht. Es wird vielmehr vermerkt, dass der Schlüssel zurückgezogen worden sei. Analog verhält es sich beim Ablauf eines auf Zeit ausgestellten Zertifikats.
Die Verknüpfung des natürlichen Namens mit der (Unternehmens-) E-Mail-Adresse ist damit bis in etwa 1,75 Milliarden Jahren jederzeit und weltweit für jedermann öffentlich zugreifbar, wenn die Erde durch die sich aufblähende Sonne verdampft werden wird.
Diese Löschungsfrist dürfte die Vorgaben der DSGVO strapazieren.
Selbst wenn man sich auf den Standpunkt stellen wollte, dass der öffentliche Schlüssel, entgegen seines Sinns gedanklich in irgend einer Form geheim gehalten werde, kann nie ausgeschlossen werden, dass der Schlüssel von Dritten – nochmals: seinem Sinn entsprechend – auf einem öffentlichen Schlüsselserver hochgeladen würde. Diese durchaus reale Gefahr ist mit den Anforderungen des Art. 32 DSGVO nicht vereinbar, der technische Schutzmaßnahmen für personenbezogene Daten wie hier die E-Mail-Adresse und den Namen des Mitarbeiters vorsieht.
Aber letztlich kann auch diese Frage dahinstehen:
Nach falscher, insbesondere bei vielen Gerichten aber verbreiteter und wohl herrschender Auffassung sind Arbeitnehmer, die scheuen Rehe, wegen des Über-/Unterordnungsverhältnisses gegenüber ihrem Arbeitgeber überhaupt nicht zu datenschutzrechtlichen Einwilligungen fähig. Selbst wenn die Nicht-Verwendung öffentlicher Schlüsselserver daher als Alternative in Frage käme: die für dieses Vorgehen erforderliche Einwilligung des Mitarbeiters könnte wohl nicht wirksam eingeholt werden. Wie gesagt: diese Auffassung ist Humbug. Solange das Bundesarbeitsgericht aber kein klärendes Wort spricht, wird man sich dem fügen müssen.
Sollten Sie noch Fragen haben, sprechen Sie uns an!
Ihnen hat dieser Beitrag gefallen und Sie möchten auch in Zukunft mit interessanten Themen durch uns versorgt werden?
Dann melden Sie sich hier zu unserem kostenfreien Newsletter an:
* Datenschutz- und Datenverwendungshinweis
Mit der Übersendung Ihrer Nachricht willigen Sie ein, dass wir Sie auch künftig per Mail über Nützliches aus dem Bereich des Marketingrechts informieren. Und zwar nur dann, wenn es auch einen praktischen Nutzen für Sie hat - versprochen. Sie können Ihre Einwilligung jederzeit formlos - unter anderem durch eine Mail an hello@franz.de - widerrufen. Aber warten Sie doch einfach mal ab - es wird interessant... Und: natürlich geben wir Ihre Daten nicht an Dritte weiter. Beachten Sie bitte unsere Datenschutzerklärung.