Für den Versand von E-Mails hat die Datenschutzkonferenz, ein Zusammenschluss der Datenschutzaufsichtsbehörden der Bundesländer, eine Orientierungshilfe herausgegeben.
Demnach sind Verantwortliche und Auftragsverarbeiter gesetzlich gehalten, die Risiken, die sich aus ihren Verarbeitungen personenbezogener Daten ergeben, hinreichend zu mindern.
Den zurzeit stärksten Schutz der Vertraulichkeit der Daten bietet eine Ende-zu-Ende-Verschlüsselung. Sie schützt nicht nur den Transportweg, sondern auch ruhende Daten. Der Einsatz von Transportverschlüsselung bietet einen Basis-Schutz und stellt eine Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen dar.
Verantwortliche, die öffentliche E-Mail-Diensteanbieter in Anspruch nehmen, müssen sich von der Einhaltung der Anforderungen der DSGVO überzeugen. Auch, dass die Anbieter hinreichende Garantien für die Einhaltung und insbesondere der genannten Technischen Richtlinie bieten. Dies schließt auch die sichere Anbindung eigener Systeme und Endgeräte an die Diensteanbieter ein.
Darüber hinaus müssen die Verantwortlichen die Risiken sorgfältig einschätzen, die mit dem Bruch der Vertraulichkeit und Integrität von E-Mail-Nachrichten verbunden sind, die sie versenden oder gezielt empfangen. In Abhängigkeit von diesen Risiken können sich die im Folgenden dargestellten zusätzlichen Anforderungen ergeben, deren Erfüllung sie durch Weisung an den Diensteanbieter (z.B. durch Vornahme geeigneter Konfigurationseinstellungen, soweit solche von dem Diensteanbieter angeboten werden) durchsetzen müssen.
Verantwortliche, die E-Mail-Nachrichten versenden, bei denen ein Bruch der Vertraulichkeit von personenbezogenen Daten im Inhalt der Nachricht ein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen darstellt, müssen regelmäßig eine Ende-zu-Ende-Verschlüsselung und eine qualifizierte Transportverschlüsselung vornehmen. Inwieweit entweder auf die Ende-zu-Ende-Verschlüsselung oder die Erfüllung einzelner Anforderungen an diese oder an die qualifizierte Transportverschlüsselung verzichtet werden kann, hängt von den bestehenden Risiken, der konkreten Ausgestaltung des Übertragungsweges und ggf. getroffenen kompensierenden Maßnahmen ab.
Verzicht durch Zustimmung?
Es ist durchaus nicht unumstritten, ob Empfänger und Sender von E-Mails einen Verzicht auf die Schutzmaßnahmen vereinbaren können. Allerdings dürfte das schon zulässig sein, solange jedenfalls in den E-Mails dann auch nur Daten von diesem Empfänger und diesem Sender enthalten sind.
Vorsicht bei Daten Dritter!
Eine Verzichtsvereinbarung aber hilft natürlich nicht, wenn sich in den E-Mails personenbezogene Daten Dritter befinden. Denn dann müsste auch diese Betroffenen zustimmen.
Besondere Brisanz gewinnt das Thema bei der Übermittlung von Mitarbeiterlisten für Veranstaltungen oder des Sicherheitskonzepts. Denn oftmals werden damit auch bspw. private Handynummern übermittelt. Abgesehen davon, dass ein Sicherheitskonzept auch kritische Informationen enthält, das grundsätzlich nicht in die Hände von Unbefugten gelangen sollte.
D.h.: Prüfen Sie die Anforderungen für Ihr Unternehmen und erfassen Sie diese Prüfung (sowie getroffene Maßnahmen und Abwägungen) in Ihrem Datenschutzkonzept, konkret u.a. in Ihrem Verzeichnis der Verarbeitungsvorgänge (das jedes Unternehmen braucht).