Unverschlüsselter Datenaustausch per E-Mail
Das BayLDA beantwortet eine Frage des GDD-Erfa-Kreises Coburg zum Thema unverschlüsselter Datenaustausch per E-Mail:
Im Rahmen der neuen Anforderungen der DS-GVO stellt sich die Frage, inwieweit ein Datenaustausch von personenbezogenen Daten per E-Mail mit z.B. Geschäftspartnern noch erfolgen kann. Aufgrund unterschiedlicher Verschlüsselungen kann ein verschlüsselter Versand nicht stets gewährleistet werden. Der aktuellen GDD-Praxishilfe DS-GVO XIII zur Einwilligung ist zu entnehmen, dass die betroffene Person stets die Wahl zwischen unverschlüsseltem und verschlüsseltem Versand/Postversand haben muss.
Muss ein verschlüsselter Versand bei jeder Art von Kommunikation (z.B. auch beim Austausch von Kontaktdaten) gewährleistet werden? Muss vorab die Einwilligung des Geschäftspartners eingeholt werden, wenn ein unverschlüsselter Versand erfolgt? Wäre es ausreichend, den Geschäftspartner über den unverschlüsselten Versand zu informieren und wenn dieser einen verschlüsselten Versand wünscht, dies beim Vertragspartner geltend zu machen? In welchem Umfang muss der Geschäftspartner informiert werden, dass ein unverschlüsselter Versand erfolgt? Wäre es ausreichend, diese Informationen in den Datenschutzhinweis nach Art. 13 DS-GVO aufzunehmen?
Antwort des BayLDA:
Da die E-Mail-Provider inzwischen regelmäßig Transportverschlüsselung für E-Mails einsetzen, können E-Mails mit „normalem“ geschäftlichem Inhalt aus unserer Sicht ohne Ende-zu-Ende-Verschlüsselung (Inhaltsverschlüsselung) versandt werden. Nur bei sensiblen Daten (z. B. Gesundheitsdaten beim Arzt oder Krankenhaus) fordern wir eine Inhaltsverschlüsselung).
Ein „Abweichen“ von gebotenen Datensicherheitsmaßnahmen per Einwilligung sehen wir allerdings als kritisch an.
( Bild von Muhammad Ribkhan auf Pixabay )
Verwandte Produkte
Das könnte Sie auch interessieren
-
BSI veröffentlicht Methodikleitfaden für Grundschutz++
Das Bundesamt für Sicherheit in der Informationstechnik hat Anfang April 2026 die erste Version seines Leitfadens zur Methodik des Grundschutz++ veröffentlicht. Das Dokument markiert einen weiteren Schritt bei der Ablösung des klassischen IT-Grundschutzes durch den modernisierten Nachfolgestandard. Inhalt und Zielsetzung Der Leitfaden bildet einen zukunftsgerichteten Ordnungsrahmen für den systematischen Aufbau und die Weiterentwicklung eines Informationssicherheitsmanagementsystems.
Mehr erfahren -
Folge 91: KI-Kompetenz und KI-Kompetenzen
KI ist ein Werkzeug, welches vielfältig eingesetzt wird. Das erfordert Verständnis für die neue Technik und Kompetenz für den Einsatz. Allerdings kann KI auch Kompetenzen in Menschen entfalten und gezielt eingesetzt werden, um sich seiner selbst bewusster zu werden. Wie das gehen kann, erklärt die Buchautorin Céleste Spahić im DataAgenda Datenschutz Podcast. Weitere ThemenFolge 82:
Mehr erfahren -
Datenschutzkonforme Anwesenheitsübersicht im Zeiterfassungssystem
Ein Fallbeispiel aus dem sächsischen Tätigkeitsbericht 2025 zeigt, wie die flächendeckende Freischaltung einer „Anwesenheitsübersicht“ in einem elektronischen Zeiterfassungssystem gegen den Grundsatz der Datenminimierung verstoßen kann – und welche Konsequenzen drohen, wenn Verantwortliche die datenschutzrechtliche Erforderlichkeit nicht hinreichend begründen können. Ausgangslage In sächsischen Finanzämtern war die Funktion „Anwesenheitsübersicht“ eines Zeiterfassungssystems zunächst so konfiguriert, dass sämtliche Beschäftigte
Mehr erfahren
