Datenschutzbeauftragter und Sachverständiger für Datenschutz

Daten sollen und müssen geschützt werden – nicht nur in Form von persönlichen Informationen über eine Person, sondern gerade auch in Form jeglicher Kommunikation. Im digitalen Zeitalter ist hiervon besonders die E-Mail betroffen, die in vielen Bereichen Briefe und Faxe schon längst abgelöst hat. Vor allem im geschäftlichen Miteinander ist heutzutage ein effizientes Arbeiten ohne E-Mail fast nicht mehr denkbar: Ein Grund mehr, auch hier die hohen Anforderungen eines funktionierenden Datenschutzgesetzes umzusetzen.

Was umfasst der Datenschutz bei E-Mails?

Vereinfacht gesagt betrifft der Datenschutz auch im E-Mail-Verkehr sowohl die in der E-Mail enthaltenen Informationen in Form von Text oder Anhängen als auch die Adressen der Absender und Empfänger, das Datum und den Betreff der Nachricht. Alle genannten Elemente enthalten sogenannte personenbezogene Daten, die direkt in den Geltungsbereich der DSGVO fallen: Datenschutzrechtliche Überlegungen sind damit sowohl auf inhaltlicher als auch auf technischer Ebene einschlägig.

Wichtig zu wissen: Die Weitergabe, Einsicht oder Verarbeitung von personenbezogenen Informationen ist nach der Datenschutzgrundverordnung nur unter engen Voraussetzungen zulässig – hierbei spielt der Umstand, dass es sich um elektronische Kommunikation handelt, keine Rolle.

Sowohl privat als auch beruflich sollten Sie streng darauf achten, die datenschutzrechtlichen Vorgaben einzuhalten: Das ist zum Beispiel bei der Weiterleitung von E-Mails von Belang – auch diese stellt eine Weitergabe von personenbezogenen Daten dar, wenn bei der Weiterleitung der ursprüngliche Absender der E-Mail ebenfalls mitaufgeführt wird oder Anhänge weitergereicht werden.

Müssen E-Mails verschlüsselt werden?

Sowohl der Inhalt einer E-Mail als auch die dazu gehörenden Metadaten (zum Beispiel Datum, Absender, Betreff o. ä.) müssen bei einer datenschutzrechtlichen Beurteilung Berücksichtigung finden. Dazu sieht Art. 32 der DSGVO vor, dass geeignete technische und organisatorische Maßnahmen zu treffen sind, die die Sicherheit und die Vertraulichkeit der personenbezogenen Daten sicherstellen[1]. Beispielhaft werden hierzu durch den Gesetzgeber zwei Maßnahmen als Standardmaßnahmen aufgeführt:

  • Pseudonymisierung
  • Verschlüsselung.

Die herrschende Meinung schließt aus dem Gesetzeswortlaut, dass die genannten Maßnahmen so zu verstehen sind, dass sie grundsätzlich angewendet werden sollen, sofern ihr Einsatz möglich ist und dem Zweck der Norm entspricht.

Metadaten sind – sofern möglich – neutral zu halten: Das betrifft in erster Linie die Betreffzeile in E-Mails. Hier sollten sich Absender angewöhnen, wenig aussagekräftige Formulierungen zu benutzen und eher allgemeine und neutrale Begriffe einzusetzen, die nicht schon auf den ersten Blick vertrauliche Informationen preisgeben.

 

[1] https://dsgvo-gesetz.de/art-32-dsgvo/

© 2019 Frank Hartung - Datenschutzbeauftragter und Sachverständiger für Datenschutz in Dessau-Roßlau