Ver­ant­wort­li­che und Auf­trags­ver­ar­bei­ter sind gesetz­lich gehal­ten, die Risi­ken, die sich aus ihren Ver­ar­bei­tun­gen per­so­nen­be­zo­ge­ner Daten erge­ben, hin­rei­chend zu min­dern. Das betrifft auch Risi­ken, die durch die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten per E‑Mail ent­ste­hen. Der gesetz­lich gebo­te­ne Schutz per­so­nen­be­zo­ge­ner Daten im Zuge der Über­mitt­lung von E‑Mail-Nach­rich­ten erstreckt sich sowohl auf die per­so­nen­be­zo­ge­nen Inhal­te als auch die Umstän­de der Kom­mu­ni­ka­ti­on, soweit sich aus Letz­te­ren Infor­ma­tio­nen über natür­li­che Per­so­nen ablei­ten las­sen.

Sowohl Trans­port­ver­schlüs­se­lung als auch Ende-zu-Ende-Ver­schlüs­se­lung min­dern für ihren jewei­li­gen Anwen­dungs­zweck Risi­ken für die Ver­trau­lich­keit und Inte­gri­tät der über­tra­ge­nen per­so­nen­be­zo­ge­nen Daten. Der Ein­satz von Trans­port­ver­schlüs­se­lung bie­tet ledig­lich einen Basis-Schutz und stellt eine Min­dest­maß­nah­me zur Erfül­lung der gesetz­li­chen Anfor­de­run­gen dar. Der durch­grei­fend­ste Schutz der Inhalts­da­ten wird hin­ge­gen durch Ende-zu-Ende-Ver­schlüs­se­lung erreicht. Ver­ant­wort­li­che müs­sen bei­de Ver­fah­ren in der Abwä­gung der not­wen­di­gen Maß­nah­men berück­sich­ti­gen.

In einer von der Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der mehr­heit­lich ver­ab­schie­de­ten Ori­en­tie­rungs­hil­fe wer­den die Anfor­de­run­gen an die Ver­fah­ren zum Ver­sand und zur Ent­ge­gen­nah­me von E‑Mail-Nach­rich­ten erläu­tert. Dazu gehö­ren

  • Obli­ga­to­ri­sche Trans­port­ver­schlüs­se­lung
    Ver­ant­wort­li­che, die E‑Mail-Nach­rich­ten mit per­so­nen­be­zo­ge­nen Daten ver­sen­den, bei denen ein Bruch der Ver­trau­lich­keit ein nor­ma­les Risi­ko für die Rech­te und Frei­hei­ten von natür­li­chen Per­so­nen dar­stellt, soll­ten sich an der TR 03108 – 1 ori­en­tie­ren und müs­sen eine obli­ga­to­ri­sche Trans­port­ver­schlüs­se­lung sicher­stel­len
  • Ende zu-Ende-Ver­schlüs­se­lung:
    Ver­ant­wort­li­che, die E‑Mail-Nach­rich­ten ver­sen­den, bei denen ein Bruch der Ver­trau­lich­keit von per­so­nen­be­zo­ge­nen Daten im Inhalt der Nach­richt ein hohes Risi­ko für die Rech­te und Frei­hei­ten von natür­li­chen Per­so­nen dar­stellt, müs­sen regel­mä­ßig eine Ende-zu-Ende-Ver­schlüs­se­lung und eine qua­li­fi­zier­te Trans­port­ver­schlüs­se­lung vor­neh­men.

Die Daten­schutz­kon­fe­renz emp­fiehlt den Ver­ant­wort­li­chen, ihren Auf­trags­ver­ar­bei­ter­nund öffent­li­chen E‑Mail-Dien­ste­an­bie­tern, die in der Ori­en­tie­rungs­hil­fe genann­ten Anfor­de­run­gen umzu­set­zen, um den Schutz per­so­nen­be­zo­ge­ner Daten bei der Über­mitt­lung per E‑Mail zu gewähr­lei­sten.

Die Web­sei­te der Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der kann hier abge­ru­fen wer­den.