Mit Beschluss vom 24.11.2021 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) beschlossen, dass die Verschlüsselung von E-Mailkorrespondenz nicht der Disposition der Beteiligten Korrespondenzpartner – Absender und Empfänger – unterliegt.
Damit würden streng genommen auch alle Modelle und Prozesse, in denen auf erstmaligen Hinweis und Angebot des Verantwortlichen zur verschlüsselten E-Mailkorrespondenz vom Korrespondenzpartner ein Verzicht auf die hierdurch bewirkte technische Sicherheit (ggf. durch schlichtes „Weitermailen“) erfolgt, mit dem Amtsattest „unwirksam“ gestempelt. Vor Aufnahme der Korrespondenz müssten sich Absender und Empfänger auf Sicherheitsstandards zur datenschutzkonformen Anonymisierung – im Endeffekt also einer Verschlüsselungsmethode – verständigen. Eine Einwilligung in bereitgehaltene technisch niederschwelligere Sicherheitsmaßnahmen in dieser Korrespondenz oder der Verzicht auf Datensicherheit nach dem Stand der Technik im Sinne der DS-GVO (Verschlüsselung) soll hiernach nicht möglich sein.
Maßstab ist allerdings das Selbstbestimmungsrecht der betroffenen Person und ggf. mitbetroffener weiterer Personen über die Verarbeitung personenbezogener Informationen. Aus diesem Grunde sollte nach abweichender Ansicht ein einvernehmlich vor Aufnahme der Kommunikation verabredetes Procedere – jedenfalls im Bereich B2B, in denen also die Verantwortlichen aus funktionalen Organisationseinheiten bestehen, die am geschäftlichen Verkehr teilnehmen (sowohl auf Adressaten- wie auch auf Empfängerseite) – möglich sein und also das Verschlüsselungserfordernis abgedungen werden können.
Darüber hinaus müsste es aber bei entsprechender Information der betroffenen Mitarbeiter nach Art. 13 DS-GVO ferner möglich sein, konkludent auf den nach der DSGVO gesetzten Standard zu verzichten und auf der Grundlage niederschwelligerer Sicherheitsprotokolle zu kommunizieren. Denn in diesem Falle verlässt das Interesse des Einzelnen an informationeller Selbstbestimmung den privaten Kontext und beschränkt sich – bei gleichzeitiger Information der betroffenen Mitarbeiter – auf den betrieblichen Funktionszusammenhang. Demgemäß tritt auch das private Interesse des einzelnen Nutzers an einer Beachtung bestimmter Sicherheitsstandards gegenüber dem betrieblichen Interesse des Verantwortlichen an einer mit seinem geschäftlichen Kommunikationspartner verabredeten Kommunikation unter Absenkung der DSGVO-Standards zurück.
Denn auch die DSGVO selbst schreibt in Art. 32 kein bestimmtes Schutzniveau vor sondern verpflichtet den Verantwortlichen „lediglich“ zu einer Abwägung zwischen Risiken der Verarbeitung und den Implementierungskosten, der Art, den Umfang, der Umstände und der Zwecke der Verarbeitung. Und in diesem Kontext ist durch ausdarstellbar, dass die Transportverschlüsselung mittels des TLS-Standard zur rein dienstlichen Kommunikation im Rahmen der geschäftlichen Organisation des Dienstherrn nach dessen unternehmerischer Entscheidung ausreicht.
Schlussendlich erschiene es aber auch systemwidrig, für das Niveau technisch-organisatorischer Maßnahmen bei der Frage des „Ob“ der Verarbeitung die Einwilligung zuzulassen, aber nicht bei den Maßnahmen nach Art. 32 DSGVO, also dem „Wie“ der Verarbeitung, obwohl anerkannt ist, dass die betroffene Person bei Gewährleistung von Transparenz und Freiwilligkeit durchaus auf ihre berührten Grundrechte (Art. 8 der EU-Grundrechtecharta) verzichten kann. Damit müsste erst recht eine Absenkung auf dessen nähere Ausgestaltung durch Art. 32 D-GVO möglich sein.
Der typische Anwendungsfall also, ob sensible Daten von Steuerrelevanz oder bspw. auch Gesundheitsdaten von Mitarbeitern in einer E-Mail oder als E-Mail-Attachement ohne Ende-zu-Ende-Verschlüsselung ausgetauscht werden können, wenn die Kommunikationspartner hiermit ausdrücklich oder konkludent einverstanden sind, obwohl Art. 32 D-GVO grundsätzlich die Verschlüsselung vorsieht, ist daher dahingehend zu beantworten, dass dies – eine entsprechende (zu dokumentierende) Abwägung vorausgesetzt – im Ergebnis zulässig sein kann.
Es erscheint widersinnig, in die Datenverarbeitung als solche einwilligen zu können, nicht aber in eine Absenkung ihres Sicherheitsniveaus. Weil der Beschluss des DSK weder Verantwortliche noch Aufsichtsbehörden bindet, ist angesichts der zahlreichen verbliebenen Streitpunkte nicht davon auszugehen, dass die Aufsichtsbehörden auf das Thema der E-Mailverschlüsselung künftig einen besonderen Fokus ihrer Prüfungen legen werden.