rating service  security service privacy service
 
Ist das Versenden von unverschlüsselten e-Mails oder Rechnungen zulässig?
DSGVO Art 32, 82, 83
Stand der Technik nach der DSGVO - End-to-End-Verschlüsselung von eMails - Hinterlegen der Rechnungen auf personalisierter Website sinnvoll - Geldstrafe und Schadenersatzklage

Viele Unternehmen versenden Rechnungen oder andere vertrauliche Informaitonen an ihre Kunden per eMail. Oft werden Dokumente oder PDF-Rechnungen als Anhang verschickt, manchmal signiert, oft jedoch auch unsigniert.

Zu Recht stellen sich datenschutzbewusste Mitarbeiter die Frage, wie dieser Versand per eMail aus datenschutzrechtlicher Sicht gesehen werden muss, insbesondere ob es einer verschlüsselten Übertragung bedarf.

Die Datenschutz-Grundverordnung (DSGVO) schreibt keine direkten technischen Maßnahmen zur Vertraulichkeit beim Versand vor. In Art 32 DSGVO wird normiert, dass bei einer Datenverarbeitung, Maßnahmen zur Gewährleistung der Sicherheit von Verarbeitungen zu treffen sind. Welche Maßnahmen zur Datensicherheit zu treffen sind, umschreibt die DSGVO mit dem Begriff "Stand der Technik", ohne diesen genauer zu definieren.

Die Verschlüsselung von eMails fällt aber jedenfalls unter den Begriff "Stand der Technik" und ist daher geboten um den Sicherheitsmaßnahmen der DSGVO nicht zuwider zu laufen. Ebenfalls offen lässt die DSGVO die Frage, welche Stärke der Verschlüsselung verwendet werden muss, um dem "Stand der Technik" zu entsprechen.

Die clientbasierte End-to-End-Verschlüsselung von eMails ermöglicht die Verschlüsselung einer eMail über den gesamten Übertragungsweg. Da der Einsatz dieser Anwendungsform bei vielen Unternehmen und Behörden noch immer nicht ausreichend stattfindet, fällt die Wahl meist auf eine Server-basierte Verschlüsselung.


Server-basierte Verschlüsselung

Fakt ist, dass alle modernen eMail-Server eine Server-Server-Verschlüsselung anbieten (sofern sie aktiviert wurde). Technisch gesehen, handeln Mailserver mit ihrem Gegenüber aus, ob dieser Verschlüsselungen akzeptiert oder nicht. Nur wenn die Gegenseite keine Verschlüsselung akzeptiert, dann wird im Klartext übertragen. Im Verkehr zwischen Benutzer und seinem Mailserver gibt es bei allen Mailprogrammen verschlüsselte und unverschlüsselte Übertragungs-Alternativen.

Weiters bieten praktisch alle Mailserver die verschlüsselte Verbindung vom Mail-Client (etwa Outlook) zum Mailserver an. Verwenden sowohl Absender, als auch Empfänger diese Verschlüsselungsoption und ist die Server-Server-Verbindung (inklusive aller Zwischen-Server) verschlüsselt, dann wird jedenfalls den Anforderungen der DSGVO entsprochen.

Fehlt in einem der Schritte die Verschlüsselung, wird die Vertraulichkeit durchbrochen und es kann eine Datenschutzverletzung gemäß DSGVO darstellen. Das hängt von der Art der Daten und der Art der Übertragungswege ab. Die Verantwortung für diese Datenschutzverletzung liegt beim Absender. Er kann diese Verantwortung nur vermeiden, wenn die Betroffenen (das muss nicht unbedingt der Empfänger sein) ausdrücklich einer unsicheren Übertragung ihrer Daten hzustimmen.

Empfehlenswert ist darüber hinaus - etwa als Anhang im eMail - einen Hinweis an den Benutzer zu geben, er möge seine eMails verschlüsselt abrufen. Gesetzlich vorgeschrieben ist der Hinweis jedoch nicht.

Dort wo der empfangende Server nicht für die Verschlüsselung konzipiert ist, sollte ...
a) auf eine Dokumenten- bzw. Rechnungszustellung per eMail verzichtet werden (hier könnte - sollte ein derartiges E-Mail in falsche Hände kommen - ein Kunde den Vorwurf der mangelnden Sicherheit der Verarbeitung gemäß Art 32 DSGVO machen) oder
b) der Empfänger darauf hingewiesen werden, dass er einen unsicheren Mailserver benutzt und von ihm die Zustimmung eingeholt werden, dass er trotzdem die Mailzustellung wünscht oder
c) es erfolgt eine End-zu-End-Verschlüsselung (dazu muss der Empfänger einen Public-Key zur Verfügung stellen).

Mittelfristig ist es ratsam für Unternehmen mit regelmäßigem Dokumentenaustausch, auf Mailzustellung zu verzichten und Dokumente oder Rechnungen auf einer personalisierten Website zu hinterlegen.


Strafrahmen bei Verletzung der Sicherheit

Die Missachtung der Verpflichtung zu Maßnahmen der Sicherheit von Verarbeitungen wird mit bis zu EUR 10 Mio. oder 2% des letztjährigen weltweiten Jahresumsatzes durch die Aufsichtsbehörde bestraft (Art 83 Abs 4 DSGVO). Daneben können Betroffene für materiellen und immateriellen Schaden eine Schadenersatzklage beim Zivilgericht einbringen (Art 82 DSGVO).

mehr --> Ausbildungsreihe "betrieblicher Datenschutzbeauftragter"
mehr --> Verletzen individualisierte Newsletter die Privatsphäre?
mehr --> Wer darf im Namen eines Unternehmens Rechnungen signieren?
mehr --> Dürfen Mitarbeiter auf Rechnungen genannt werden?
mehr --> Welche Konsequenz hat es, wenn E-Mails so verschickt werden, d...
mehr --> Rechtsfragen zur elektronischen Rechnungslegung (E-Rechnung)
mehr --> http://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2018 Information gemäß DSGVOwebmaster