Ist das Versenden von unverschlüsselten e-Mails oder Rechnungen zulässig?

DSGVO Art 32, 82, 83 – Stand der Technik nach der DSGVO – End-to-End-Verschlüsselung von E-Mails – Hinterlegen der Rechnungen auf personalisierter Website sinnvoll – Geldstrafe und Schadenersatzklage

Viele Unternehmen versenden Rechnungen oder andere vertrauliche Informationen an ihre Kunden per E-Mail. Oft werden Dokumente oder PDF-Rechnungen als Anhang verschickt, manchmal signiert, oft jedoch auch unsigniert.

Zu Recht stellen sich datenschutzbewusste Mitarbeiter die Frage, wie dieser Versand per E-Mail aus datenschutzrechtlicher Sicht gesehen werden muss, insbesondere ob es einer verschlüsselten Übertragung bedarf.

Die Datenschutz-Grundverordnung (DSGVO) schreibt keine direkten technischen Maßnahmen zur Vertraulichkeit beim Versand vor. In Art. 32 DSGVO wird normiert, dass bei einer Datenverarbeitung, Maßnahmen zur Gewährleistung der Sicherheit von Verarbeitungen zu treffen sind. Welche Maßnahmen zur Datensicherheit zu treffen sind, umschreibt die DSGVO mit dem Begriff “Stand der Technik”, ohne diesen genauer zu definieren.

Die Verschlüsselung von E-Mails fällt aber jedenfalls unter den Begriff “Stand der Technik” und ist daher geboten, um den Sicherheitsmaßnahmen der DSGVO nicht zuwiderzulaufen. Ebenfalls offen lässt die DSGVO die Frage, welche Stärke der Verschlüsselung verwendet werden muss, um dem “Stand der Technik” zu entsprechen.

Die clientbasierte End-to-End-Verschlüsselung von E-Mails ermöglicht die Verschlüsselung einer E-Mail über den gesamten Übertragungsweg. Da der Einsatz dieser Anwendungsform bei vielen Unternehmen und Behörden noch immer nicht ausreichend stattfindet, fällt die Wahl meist auf eine Server-basierte Verschlüsselung.

Server-basierte Verschlüsselung

Fakt ist, dass alle modernen E-Mail-Server eine Server-Server-Verschlüsselung anbieten (sofern sie aktiviert wurde). Technisch gesehen, handeln Mailserver mit ihrem Gegenüber aus, ob dieser Verschlüsselungen akzeptiert oder nicht. Nur wenn die Gegenseite keine Verschlüsselung akzeptiert, dann wird im Klartext übertragen. Im Verkehr zwischen Benutzer und seinem Mailserver gibt es bei allen Mailprogrammen verschlüsselte und unverschlüsselte Übertragungs-Alternativen.

Weiters bieten praktisch alle Mailserver die verschlüsselte Verbindung vom Mail-Client (etwa Outlook) zum Mailserver an. Verwenden sowohl Absender als auch Empfänger diese Verschlüsselungsoption und ist die Server-Server-Verbindung (inklusive aller Zwischen-Server) verschlüsselt, dann wird jedenfalls den Anforderungen der DSGVO entsprochen.

Fehlt in einem der Schritte die Verschlüsselung, wird die Vertraulichkeit durchbrochen und es kann eine Datenschutzverletzung gemäß DSGVO darstellen. Das hängt von der Art der Daten und der Art der Übertragungswege ab. Die Verantwortung für diese Datenschutzverletzung liegt beim Absender. Er kann diese Verantwortung nur vermeiden, wenn die Betroffenen (das muss nicht unbedingt der Empfänger sein) ausdrücklich einer unsicheren Übertragung ihrer Daten zustimmen.

Empfehlenswert ist darüber hinaus – etwa als Anhang im E-Mail – einen Hinweis an den Benutzer zu geben, er möge seine E-Mails verschlüsselt abrufen. Gesetzlich vorgeschrieben ist der Hinweis jedoch nicht.

Dort wo der empfangende Server nicht für die Verschlüsselung konzipiert ist, sollte …
a) auf eine Dokumenten- bzw. Rechnungszustellung per E-Mail verzichtet werden (hier könnte – sollte ein derartiges E-Mail in falsche Hände kommen – ein Kunde den Vorwurf der mangelnden Sicherheit der Verarbeitung gemäß Art. 32 DSGVO machen) oder
b) der Empfänger darauf hingewiesen werden, dass er einen unsicheren Mailserver benutzt und von ihm die Zustimmung eingeholt werden, dass er trotzdem die Mailzustellung wünscht oder
c) es erfolgt eine End-to-End-Verschlüsselung (dazu muss der Empfänger einen Public Key zur Verfügung stellen).

Mittelfristig ist es ratsam für Unternehmen mit regelmäßigem Dokumentenaustausch, auf Mailzustellung zu verzichten und Dokumente oder Rechnungen auf einer personalisierten Website zu hinterlegen.

Strafrahmen bei Verletzung der Sicherheit

Die Missachtung der Verpflichtung zu Maßnahmen der Sicherheit von Verarbeitungen wird mit bis zu EUR 10 Mio. oder 2 % des letztjährigen weltweiten Jahresumsatzes durch die Aufsichtsbehörde bestraft (Art 83 Abs. 4 DSGVO). Daneben können Betroffene für materiellen und immateriellen Schaden eine Schadenersatzklage beim Zivilgericht einbringen (Art 82 DSGVO).