Datenschutzkonferenz (DSK): Orientierungshilfe zur E-Mail-Sicherheit

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) hat aktuell ihre Orientierungshilfe für die Ausgestaltung der IT-Sicherheit von E-Mails veröffentlicht. Bayern stimmte gegen diese Positionierung.

Konkret geht es um die „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“.

Im Vergleich zu den Äußerungen zur Zeit unseres „Forum Digitalisierungsrecht und Industrie 4.0“ in 2019 zum Thema „E-Mails im Zeitalter der DSGVO - rechtskonform im Unternehmen“ lässt die neue Orientierungshilfe weniger grundlegende Bedenken hinsichtlich des Mediums „E-Mail“ erkennen. Es werden vielmehr verschiedene technische Sicherungsmaßnahmen verlangt, die entweder bereits etabliert sind oder ohnehin zunehmend eingesetzt werden. Die Frage, wie die in bestimmten Situationen geforderte Ende-zu-Ende-Verschlüsselung in der Praxis ausgestaltet werden kann, bleibt jedoch unbeantwortet. Hier stellt sich insbesondere das Problem, dass sowohl der Absender als auch der Empfänger ein bestimmtes System unterstützen müssen; hieran scheitert es in der Praxis gegenwärtig häufig.

Bemerkenswert ist, dass auch in der Orientierungshilfe bestimmte Punkte nicht adressiert werden, z. B. die Frage, ob mit einem E-Mail-Anbieter stets eine Auftragsverarbeitung abzuschließen ist und wie datenschutzrechtlich der Aspekt zu bewerten ist, dass E-Mails auf dem Transportweg über eine Vielzahl von fremden Servern geleitet werden.