E-Mail-Verschlüsselung nach §9 BDSG verpflichtend?

Berlin, 10. Februar 2016

Das Bundesdatenschutzgesetz im Wortlaut:

§9 Technische und organisatorische Maßnahmen

Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Die Anlage  zu § 9 Satz 1 ergänzt:
Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.

Das Datenschutz-WIKI betrieben vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit führt zum §9 BDSG ganz unmissverständlich Verschlüsselung als Maßnahme der „Weitergabekontrolle“ auf. Quelle: Datenschutz-WIKI

Auch die derzeitige Rechtssprechung fordert Verschlüsselung. Ein Beispiel:
Bundesgerichtshof · Beschluss vom 26. Februar 2013 · Az. KVZ 57/12 –
Ein Unternehmer hatte Rechtsbeschwerde eingelegt als die Landeskartellbehörde Brandenburg von ihm verlangte, eine Exceldatei mit sensiblen Unternehmensdaten zur Prüfung an die E-Mail-Adresse des Landeskartellbehörde zu senden. Diese E-Mail-Adresse diente lediglich zum Empfang nichtsignierter und nichtverschlüsselter Nachrichten. Der Beschwerde wurde stattgegeben. Wenn die Behörde den Eingang per E-Mail vorschreibt, muss auch die Infrastruktur zum Empfang verschlüsselter signierter Daten bereitgestellt werden.

Klare Sachlage oder nicht?

Verhältnismäßigkeit der Verschlüsselung

E-Mail-Verschlüsselung nach dem BundesdatenschutzgesetzEin gern genutzter Einwand der Verschlüsselungsverweigerer ist der Schlusssatz des §9 BDSG:
„Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“

Vor wenigen Jahren noch hätte mit der Verhältnismäßigkeit gegen die Verschlüsselung argumentiert werden können. Die ersten Versuche der E-Mail-Verschlüsselung hatten vorausgesetzt, dass Sender und Empfänger sich auf eine Technik einigen und beide die entsprechende Software installieren. Private sowie öffentliche Schlüssel mussten manuell ausgestellt und ausgetauscht werden. Eine spontane verschlüsselte E-Mail-Kommunikation war praktisch unmöglich.

Heutzutage ist für die zertifikatsbasierte Verschlüsselung ein sehr hohes Maß an Automatisierung möglich. Die Schlüsselausstellung, die Zertifizierung und der Austausch der Schlüssel im Unternehmenseinsatz funktionieren mit der richtigen Lösung sogar ohne jedes Zutun der Anwender.

Für den spontanen sicheren E-Mail-Austausch entscheidender ist jedoch die über ein Secure Email Gateway gewonnene Möglichkeit mittels alternativer Verschlüsselungsverfahren jederzeit mit jedermann sicher zu kommunizieren. Wenn die Gegenstelle gar kein Zertifikat besitzt, wird eine E-Mail beispielsweise in eine passwortverschlüsselte PDF um

gewandelt und als Anhang versendet oder die vertrauliche E-Mail wird an einen je Empfänger automatisiert erstellten sicheren Webmailer Account zugestellt.

Die Verhältnismäßigkeit zum angestrebten Schutzzweck ist mit der Implementierung eines modernen Secure Email Gateways im geschäftlichen oder behördlichen Einsatz immer gegeben. Mit nur einer zentralen Installation eines Z1 SecureMail Gateway können alle internen Mitarbeiter datenschutzkonform verschlüsselte E-Mails versenden und empfangen.

Link versenden