EU-DSGVO: Mit Verschlüsselung auf der sicheren Seite

E-Mails zum Beispiel sind allein durch die Tatsache, dass sie an einen identifizierbaren Empfänger gerichtet sind, als personenbezogen zu werten.

Artikel 32 der DSGVO verlangt, dass bei der Verarbeitung solcher Daten ein "angemessenes" Datenschutzniveau gewährleistet ist. Punkto Angemessenheit spielen der Stand der Technik und die Kosten für die Implementierung der Schutzmassnahmen eine Rolle. Es ist unter Juristen zwar umstritten, ob daraus eine generelle Pflicht resultiert, den E-Mail-Verkehr zu verschlüsseln. Verschiedene Datenschutzaufsichtsbehörden sind allerdings der Meinung, dass Verschlüsselungs- und Signaturlösungen heute zum Stand der Technik gehören und sich mit vertretbarem Aufwand einsetzen lassen. Kommt keine Verschlüsselung zum Einsatz, muss zumindest eine Risikoanalyse nachweisen, dass bei Vernichtung, Verlust oder Manipulation der Daten keine übermässigen Risiken anfallen. Sonst drohen womöglich die happigen Bussen, die in der DSGVO festgeschrieben sind.

Der CEO der auf Mail-Security spezialisierten Schweizer Seppmail, Stefan Klein, kommentiert dazu: "Die DSGVO fordert in Artikel 32 ganz konkret die Pseudonymisierung und Verschlüsselung personenbezogener Daten. Aus unserer Sicht sollte an dieser Stelle durch Interpretation kein Risiko eingegangen werden. Mit Verschlüsselung ist man auf der sicheren Seite." Er verweist in diesem Zusammenhang auf die GINA-Technologie, die im Secure E-Mail Gateway von Seppmail zum Zug kommt. Diese erfülle die Anforderungen der DSGVO an eine angemessene Verschlüsselung. Sie arbeitet mit starken symmetrischen Verschlüsselungsalgorithmen (AES 256) und garantiere die Vertraulichkeit in datenschutzrechtlicher Hinsicht. Der Secure E-Mail Gateway unterstütze zudem fortgeschrittene elektronische Signaturen und gewährleiste damit die Unveränderbarkeit der übermittelten Daten und die Authentizität von Absender und Empfänger, so Klein.