Der Bundesdatenschutzbeauftragte hat auf seiner Internetseite eine „Handreichung zum datenschutzgerechten Umgang mit besonders schützenswerten Daten beim Versand mittels De-Mail“  veröffentlicht. In der Sache enthalten die acht Seiten wenig Überraschendes: Erneut fordert er die Ende-zu-Ende-Verschlüsselung sensibler Daten.

Die Handreichung soll die Nutzer von De-Mail für die datenschutzrechtlichen Aspekte bei der Versendung besonders schützenswerter Daten mittels De-Mail sensibilisieren. Sie soll Hinweise für einen datenschutzgerechten Versand dieser Daten mittels De-
Mail unter Berücksichtigung der Möglichkeit einer Ende-zu-Ende-Verschlüsselung geben, um damit zu einer rechtssicheren und weiten Verbreitung von De-Mail-
Diensten beizutragen.

Am Interessantesten ist hierbei vielleicht noch die graphische Erläuterung des § 5 Abs. 3 De-Mail-Gesetz. Dieser lautet:

§ 5. Postfach- und Versanddienst. (…) (3) Der Postfach- und Versanddienst hat die Vertraulichkeit, die Integrität und die Authentizität der Nachrichten zu gewährleisten. Hierzu gewährleistet der akkreditierte Diensteanbieter, dass

1. die Kommunikation von einem akkreditierten Diensteanbieter zu jedem anderen akkreditierten Diensteanbieter über einen verschlüsselten gegenseitig authentisierten Kanal erfolgt (Transportverschlüsselung) und

2. der Inhalt einer De-Mail-Nachricht vom akkreditierten Diensteanbieter des Senders zum akkreditierten Diensteanbieter des Empfängers verschlüsselt übertragen wird.

Der Einsatz einer durchgängigen Verschlüsselung zwischen Sender und Empfänger (Ende-zu-Ende-Verschlüsselung) bleibt hiervon unberührt.

Die Vorschrift ermöglicht also in Satz 2 die vielfach geforderte Ende-zu-Ende-Verschlüsselung (bzw. erklärt, dass sie ihr nicht im Wege steht). Und fordert in Satz 1 Nr. 1 eine Transport- und in Nr. 2 eine zusätzliche Inhaltsverschlüsselung. Die Handreichung erläutert, dass die (auch von § 4 Abs. 3 De-Mail geforderte) Transportverschlüsselung mittels TLS/SSL realisiert werden soll und die zusätzliche Inhaltsverschlüsselung mittels S/MIME.

Sodann erläutert er das Konzept der Ende-zu-Ende-Verschlüsselung als nicht ganz trivial, und fordert sie für besonders schutzwürdige Daten. Leider endet die „Handreichung“ hier faktisch. Denn welche Daten hierunter fallen, bleibt – wohl naturgemäß – recht offen. Das sei eine Sache der Abwägung:

Je schützenswerter ein Datum ist, desto strenger sind die technisch-organisatorischen Maßnahmen, die die verantwortliche Stelle einhalten muss.

Auch soweit er einzelne Daten als besonders schutzbedürftig bezeichnet, so etwa die

personenbezogene Daten, an deren Verarbeitung und Nutzung besondere gesetzliche Anforderungen gestellt werden, wie z.B. die so genannten besonderen Arten personenbezogener Daten nach § 3 Abs. 9 BDSG oder die dem Sozialdatenschutz unterfallenden personenbezogenen Daten

heißt es doch zu den notwendigen Schutzmaßnahmen zunächst nur:

Welche Schutzmaßnahmen für diese Daten angemessen sind, ergibt sich allerdings nicht automatisch, sondern bedarf einer Prüfung im Einzelfall.

Allerdings enthält die Handreichung im Folgenden zahlreiche Kriterien, die in die Abwägung einzustellen seien: Wie hoch ist die Gefährdungswahrscheinlichkeit? Wie gravierend ein möglicher Schaden? Wer ist Absender, wer Empfänger der Daten?

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit:“Handreichung zum datenschutzgerechten Umgang mit besonders schützenswerten Daten beim Versand mittels De-Mail“ (1.März 2013)