Sind unverschlüsselte E-Mails überhaupt noch datenschutzrechtlich zulässig? Das war eines der großen Aufregerthemen bei der Einführung der neuen Datenschutzgesetze. Im kirchlichen Bereich sorgte vor allem ein etwas zu scharf geschaltetes Kommunikationsportal im Bistum Rottenburg-Stuttgart, der »Secure Mail Gateway« für Spott und Ärger, über das alle Mails mit personenbezogenen Daten mit extern (also eigentlich alle) abgewickelt werden sollten.
Tatsächlich ist E-Mail nicht unproblematisch: Transportverschlüsselung ist zwar Standard, aber keine echte Ende-zu-Ende-Verschlüsselung; mindestens die jeweiligen Provider und Mailserver könnten gegebenenfalls in Inhalte Einblick nehmen. Ein nun veröffentlichtes Urteil des Verwaltungsgerichts Mainz (1 K 778/19.MZ) befasst sich mit Blick auf Berufsgeheimnisträger*innen mit der Zulässigkeit von E-Mails; im Fall geht es um einen Rechtsanwalt, der einem Mandanten Daten per unverschlüsselter E-Mail geschickt hat. War das zulässig? Das Urteil kommt zum Schluss: Ja, Transportverschlüsselung stellt ein angemessenes Schutznivau dar, wenn kein erhöhter Schutzbedarf besteht. Auch im kirchlichen Bereich ist dieses Urteil interessant: Schließlich sind auch Seelsorger*innen Berufsgeheimnisträger*innen, und was für die recht ist, sollte auch für normale Menschen billig sein.
[…] Ein angemessenes Schutzniveau im Sinne des Art. 32 Abs. 1 DS-GVO ist auch bei Berufsgeheimnisträgern (hier: Rechtsanwälte) grundsätzlich durch Nutzung einer (obligatorischen) Transportverschlüsselung anzunehmen, soweit nicht im Einzelfall besondere Anhaltspunkte für einen erhöhten Schutzbedarf bestehen.
Leitsatz des Urteils des Verwaltungsgerichts Mainz (1 K 778/19.MZ)
Das Urteil ist insgesamt lesenswert aufgrund seiner umfassenden Auseinandersetzung mit der Frage nach der Zulässigkeit von E-Mails und technischen Anforderungen an die IT-Sicherheit dabei. Für die Praxis sehr hilfreich ist das Ergebnis der Bewertung: »Generell wird aber die Verwendung einer Transportverschlüsselung datenschutzrechtlich – auch bei Berufsgeheimnisträgern – ausreichend sein, sofern keine Anhaltspunkte für besonders sensible Daten bestehen oder sonstige Umstände hinzutreten. Vielmehr ist die Kommunikation mittels (obligatorisch) transportverschlüsselter E-Mails auch im geschäftlichen Verkehr durchaus als sozialadäquat und wohl derzeit noch als (Mindest-)Stand der Technik einzustufen« (Nr. 40) – schön auch der Verweis, dass unbefugte Kenntnisnahme von Korrespondenz digital wie analog zum allgemeinen Lebensrisiko gehört. Solcher realistischer Fatalismus fehlt oft in der Auseinandersetzung mit Datenschutz.
Bereits darin dürfte auch für kirchliche Anwender*innen eine gewisse Entwarnung liegen: Normale E-Mails dürften in aller Regel kein Problem darstellen, viel umstellen muss man sich nicht – pauschal jede Mail mit personenbezogenen Daten (zu denen auch Namen gehören, die sich in den Pflichtangaben einer Mail-Signatur oft finden) durch einen sicheren Gateway oder Verschlüsselung abzuhärten, ist übertrieben.
Wichtig ist aber auch: Das gilt nur dann, wenn keine besonderen Kategorien personenbezogener Daten in den Mails stehen; mal eben die Sommerlageranmeldung durchzumailen, auf der die Allergien des teilnehmenden Kindes vermerkt sind, ist davon schon nicht mehr gedeckt, und Inhalte von Seelsorgegesprächen schon gar nicht. Auch wenn das Urteil explizit im Kontext von einer Sorte Berufsgeheimnisträger*innen gesprochen wurde: Für Seelsorgende ändert sich dadurch erst einmal nichts für die Seelsorge. Die besonders gehärteten Kommunikationswege der Online-Seelsorge braucht es weiterhin.
Mit dem Urteil und dem Verweis auf Art. 32 DSGVO und die dort geforderten technischen und organisatorischen Maßnahmen nach dem Stand der Technik lässt sich dennoch auch in der Kirche gut argumentieren, insbesondere im evangelischen Bereich, wo es nur teilweise explizite Durchführungsbestimmungen zum DSG-EKD gibt und das DSG-EKD hier weitgehend der DSGVO folgt.
Im katholischen Bereich regelt die Durchführungsverordnung zum KDG E-Mails explizit in ihrem § 25 Abs. 1 KDG-fDVO: »E-Mails, die personenbezogene Daten der Datenschutzklasse II oder III enthalten, dürfen ausschließlich im Rahmen eines geschlossenen und gesicherten Netzwerks oder in verschlüsselter Form mit geeignetem Verschlüsselungsverfahren übermittelt werden.« Damit ist zwar grundsätzlich sichergestellt, dass E-Mails nicht immer abgehärtet werden müssen, der Spielraum ist aber geringer als im Mainzer Urteil. Datenschutzklasse II greift bereits bei »personenbezogene Daten, deren missbräuchliche Verarbeitung den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann« (§ 12 Abs. 1 KDG-DVO) – das ist schnell erreicht, die Verordnung nennt ausdrücklich »Daten über Mietverhältnisse, Geschäftsbeziehungen sowie Geburts- und Jubiläumsdaten«.
Fazit
E-Mails bleiben in vielen Fällen möglich – auch unverschlüsselt. Das ist keine ganz große Überraschung, aber das Mainzer Urteil gibt doch einige Argumente in die Hand, wenn E-Mail in Bausch und Bogen abgelehnt wird. Das ist eine gute Nachricht für eine Kommunikation, die Wege nutzen will, die Menschen auch tatsächlich nutzen.
Ich gebe zu, dass ich nicht in der Lage bin, ein Gerichtsurteil am Stück zu lesen. Das, was du schilderst, wirkt aber so als ergäbe sich für die Kirchen tatsächlich kein neuer Sachstand.
Nach deiner Schilderung wirkt es außerdem so als habe sich das Gericht nicht ausreichend mit der Funktionsweise der eMail befasst:
Bei Mails gibt es bei einem normalen Transportweg an mindestens drei Stellen Transportverschlüsselung: Einmal auf dem Weg vom Sender zu seinem eMail-Anbieter. Dann vom eMail-Anbieter des Senders zum Anbieter des Empfängers (mindestens ein Verbindung, keine nur wenn der Anbieter identisch) und dann vom eMail-Anbieter des Empfängers zum Empfänger.
Der Absender der Mail kann die Transportverschlüsselung technisch bedingt prinzipiell aber nur bei der Verbindung von ihm zu seinem eMail-Anbieter (SMTP-Server) überprüfen. Durchgängige Transportverschlüsselung bei Mails ist inzwischen zwar glücklicherweise an vielen Stellen Stand der Technik. Ich halte es aber für einen Fehlschluss, sie grundsätzlich anzunehmen. Im Gegensatz zu Ende-zu-Ende-Verschlüsselung ist sie nämlich nicht überprüfbar. Für eMails muss daher m.E. als grundsätzliche Annahme gelten: Sie sind entweder grundsätzlich auf dem Transportweg lesbar _oder_ sie sind Ende-zu-Ende-verschlüsselt.
Danke für den Kommentar! Für Kirchens ändert sich tatsächlich höchstens da noch etwas, wo pauschal so hohe Standards verlangt werden wie damals in Rottenburg-Stuttgart mit dem Secure Gateway – ob das noch wo der Fall ist, weiß ich nicht, wenn ja, hätte man damit jetzt gute Argumente in der Hand, um das abzumildern.
Das Gericht hat schon verstanden, wie sicher nicht E2E-verschlüsselte Mails sind, es kommt nur zu einer anderen Bewertung, wie diese Tatsachen zu bewerten sind. Auf die Frage, wie sicher eine Transportverschlüsselung ist und wo die auch von Dir geschilderten technisch notwendigen Bruchstellen sind, geht das Urteil ein (Nr. 32). In Nr. 33 bis 35 wird erläutert, dass es unterschiedliche Ansichten gibt, ob das Datenschutzrecht eine Ende-zu-Ende-Verschlüsselung der Kommunikation erfordert. Die technischen Einwände sind dem Gericht also bekannt; es hält sie nur nicht für einen zwingenden Ausschlussgrund, wie dann im folgenden ausgeführt wird.
Naturgemäß wird stark auf Art. 32 DSGVO, wo technische und organisatorische Maßnahmen geregelt sind, abgehoben, und hier macht das Gericht die Abwägungen im Einzelfall stark, die dem risikoorientierten Ansatz gerecht werden. Die DSGVO macht da nämlich ziemlich viel Abwägungsspielraum auf, weil sie die »Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen« fordert. In Nr. 40 wird Transportverschlüsselung als »sozialadäquat und wohl derzeit noch als (Mindest-)Stand der Technik« bewertet; »Stand der Technik« wird also auch von dem Horizont aus bewertet, was in der Regel vorausgesetzt und erwartet werden kann, nicht was theoretisch möglich ist und ideal wäre.
Das ist kein Freibrief, jetzt immer mit Verweis auf Transportverschlüsselung bei E-Mails E2E gleich auszuschließen; sobald ein erhöhter Schutzbedarf vorliegt, trägt das nicht mehr, und der ist im Zweifel schnell erreicht. Aber solange eben nicht, genügt ein niedrigeres technisches Schutzniveau, das nicht perfekt ist.
Danke für die Antwort und die Erläuterungen und den Hinweis auf Nr. 32. Da wird aber anscheinend die Auffassung vertreten, man könnte beim Mail-Protokoll durchgängige Transportverschlüsselung aktivieren. Das ist nicht der Fall. Der Absender kann das maximal für die erste Teilstrecke. Nur wenn alle Parteien (Sender, Empfänger, alle Zwischenstationen/Server) in einer Hand sind, kann man der Betreiber (nicht der Absender!) beim Mail-Protokoll durchgängige Transportverschlüsselung garantieren.