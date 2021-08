ARTICLE

Die entsprechende Diskussion wird dabei sehr häufig undifferenziert geführt, obwohl verschiedene Aspekte auseinandergehalten werden müssen. In datenschutzrechtlicher Hinsicht ist zunächst zu beachten, dass es keine generellen Vorgaben gibt, auf welche Weise Informationen im Rahmen einer Übermittlung geschützt werden müssen. Es ist vielmehr auf die allgemeinen Grundlagen zurückzugreifen, wonach unter Berücksichtigung verschiedener Faktoren einschließlich der technischen Möglichkeiten und finanziellen Mittel angemessene Schutzmaßnahmen getroffen werden müssen (Art. 32 Abs. 1 DSGVO). Die Bezugnahme auf die Angemessenheit zeigt dabei schon, dass sich eine pauschale Wertung verbietet und vielmehr eine konkrete Risikobewertung erforderlich ist. Richtig ist aber natürlich, dass in datenschutzrechtlicher Hinsicht die Verschlüsselung explizit als eine Methode zum Schutz personenbezogener Daten genannt wird, grundsätzlich aber auch andere Maßnahmen zur Absicherung in Betracht kommen. In technischer Hinsicht ist zu berücksichtigen, dass es verschiedene Arten der Verschlüsselung gibt, vor allem die Transportverschlüsselung und eine Ende-zu-Ende-Verschlüsselung. Die Transportverschlüsselung wird dabei serverseitig vorgenommen und schützt die E-Mail während des Transportvorgangs, so dass sie in dieser Zeit nicht abgefangen werden kann. Häufig entsteht der Eindruck einer unverschlüsselten Kommunikation, weil die Nutzer die Transportverschlüsselung gar nicht wahrnehmen. Alle großen E-Mail-Provider setzen aber standardmäßig eine Transportverschlüsselung nach dem Protokoll Transport Layer Security (TLS) ein. Eine Ende-zu-Ende-Verschlüsselung bietet einen noch weitergehenden Schutz, weil die Nachricht erst von dem designierten Empfänger entschlüsselt und geöffnet werden kann. In der Handhabung ist die Ende-zu-Ende-Verschlüsselung aber deutlich aufwendiger, weil sie einen individualisierten Schlüsselaustausch voraussetzt und für diese Verschlüsselung mehrere, untereinander inkompatible Standards bestehen (etwa S/Mime). Das Verwaltungsgericht Mainz hat jetzt erfreulicherweise in einem datenschutzrechtlichen Verfahren die Verwarnung eines Rechtsanwaltes aufgehoben, dem von der zuständigen Aufsichtsbehörde eine unzureichende Verschlüsselung seiner E-Mails vorgeworfen wurde (VG Mainz, Urteil vom 17.12.2020, 1 K 778/19, BRAK-Mitt. 2021, 104). Vorausgegangen war eine Beschwerde eines Betroffenen bei der Aufsichtsbehörde, wonach der Rechtsanwalt angeblich eine unverschlüsselte E-Mail mit vertraulichen Informationen übersandt haben soll. Der Rechtsanwalt hatte eingewandt, dass die entsprechende Kontaktaufnahme per E-Mail auf Wunsch seines Mandanten erfolgte, der zunächst selbst mit dem Betroffenen in dieser Form kommuniziert hatte. Außerdem hat der Rechtsanwalt darauf verwiesen, dass zumindest eine Transportverschlüsselung benutzt werde, was die Aufsichtsbehörde nicht von einer Verwarnung abgehalten hat. Gegen diese Verwarnung ist der Rechtsanwalt dann gerichtlich vorgegangen und hat im Ergebnis vom Verwaltungsgericht Recht bekommen.

