E-Mail ist praktisch, quasi flächendeckend verfügbar, barrierearm, günstig – und leider nicht übermäßig gesichert. Zwar ist mittlerweile Transportverschlüsselung, also die Verschlüsselung von Server zu Server, Standard (und selbst da gibt’s Ausnahmen) – was aber in aller Regel fehlt, ist eine Ende-zu-Ende-Verschlüsselung, die sicherstellt, dass ausschließlich Senderin und Empfänger die Inhalte lesen können.
Das ist auch datenschutzrechtlich ein Problem – schließlich werden ständig personenbezogene Daten über E-Mail verschickt. Ist das überhaupt zulässig? Pauschal kann man kein grünes Licht geben – aber doch für einige E-Mails. Und selbst wenn die enthaltenen Daten zu sensibel für normale Mails sind, gibt es Wege.
Was darf über normale E-Mail verschickt werden?
Explizite Regelungen für E-Mails gibt es übergreifend nur im katholischen Datenschutzrecht in der Durchführungsverordnung zum KDG, im evangelischen Recht gibt es keine landeskirchenübergreifende Regelung.
Die KDG-DVO teilt personenbezogene Daten in drei Schutzklassen ein – über normale, also unverschlüsselte E-Mail dürfen nur Daten der Schutzklasse I versandt werden. Das sind solche, »deren missbräuchliche Verarbeitung keine besonders schwerwiegende Beeinträchtigung des Betroffenen erwarten lässt« – Beispiele dafür sind »Namens- und Adressangaben ohne Sperrvermerke sowie Berufs-, Branchen- oder Geschäftsbezeichnungen«. Heißt praktisch: Der typische Rahmen einer Mail mit Namen von Absender und Empfänger und einer Signatur ist unproblematisch, ein großer Teil der Alltagskorrespondenz ist zulässig.
Allerdings sind die höheren Schutzklassen II und III schnell erreicht – dann dürfen Mails »ausschließlich im Rahmen eines geschlossenen und gesicherten Netzwerks oder in verschlüsselter Form mit geeignetem Verschlüsselungsverfahren übermittelt werden«. Schutzklasse II ist bereits bei Daten über Mietverhältnisse, Geschäftsbeziehungen sowie Geburts- und Jubiläumsdaten erreicht – ganz wörtlich genommen, ist schon der unverschlüsselte Geburtstagsgruß außerhalb der eigenen Organisation fragwürdig. Daten der Schutzklasse III sind besondere Kategorien personenbezogener Daten und Daten über strafbare Handlungen, arbeitsrechtliche Rechtsverhältnisse, Disziplinarentscheidungen und Namens- und Adressangaben mit Sperrvermerken. Daten, die unter das Seelsorgegeheimnis fallen, müssen noch besser als solche der Klasse III geschützt werden, Daten, die dem Beichtgeheimnis unterliegen, erst gar nicht verarbeitet werden.
Im Ergebnis bedeutet das: Erstaunlich vieles, was ganz selbstverständlich per E-Mail abgehandelt wird, ist eigentlich nicht zulässig, sobald es den eigenen internen Mailserver verlässt. Die neulich hier besprochene Entscheidung des Verwaltungsgerichts Mainz zu nur transportverschlüsselten Mails von Berufsgeheimnisträger*innen, die das alles sehr locker sieht, ist aufgrund der KDG-DVO kaum einschlägig und ohnehin wohl kaum herrschende Meinung.
Einwilligung in unverschlüsselte Mails?
Eine Lösung liegt nah: Warum nicht einfach in die unverschlüsselte Übertragung von E-Mails einwilligen lassen? Ob das möglich ist, ist umstritten. Während der Hamburger Landesdatenschutzbeauftragte das für zulässig erachtet, wenn parallel eine sichere Infrastruktur vorgehalten wird, betont der brandenburgische in seinem aktuellen Tätigkeitsbericht, dass das nicht möglich ist. Im Geltungsbereich des KDG gibt es eine klare Aussage der Konferenz der Diözesandatenschutzbeauftragten: »Keine Einwilligung in schlechtere TOMs«, lautet die Devise. Heißt: Eine Einwilligung in schlechtere technische und organisatorische Maßnahmen, also beispielsweise eine unverschlüsselte Übertragung eigentlich zu verschlüsselnder Daten, wird nicht als zulässig erachtet.
Mehr oder weniger praktikable Strategien
Eins dürfte klar sein: Einfach nichts tun ist keine Alternative. Kaum jemand dürfte ausschließlich E-Mails verschicken oder empfangen, die so unproblematisch sind, dass die übliche und verbreitete Transportverschlüsselung genügt. Die eine Lösung gibt es leider nicht – aber verschiedene Maßnahmen, die ineinander greifen können
Senden und empfangen
- E-Mails innerhalb eines geschlossenen Netzwerks: Die KDG-DVO erlaubt den unverschlüsselten Versand innerhalb eines geschlossenen und gesicherten Netzwerks. Diese Strategie fahren für den internen Mailverkehr auch die meisten Bistümer und Landeskirchen: Möglichst alle Mitarbeitende, manchmal auch Ehrenamtliche, erhalten einen E-Mail-Account auf eigenen Servern, der wo möglich auch dienstrechtlich verpflichtend gemacht wird. Innerhalb dieses Netzes ist unverschlüsselte Kommunikation immer unproblematisch – solange keine Adressen von außen im Spiel sind. Darüber hinaus gibt es beispielsweise im VDD einen bistumsübergreifenden sicheren Mailverkehr – eine wechselseitige Anerkennung mehrerer Netze ist also möglich, wenn direkt zugestellt wird.
- E-Mail-Verschlüsselung per PGP/GPG oder S/MIME: Die verbreitetsten technischen Lösungen für eine Ende-zu-Ende-Verschlüsselung haben einen enormen Nachteil. Sie sind einfach viel zu kompliziert, und kaum jemand nutzt sie. (Ausführlich dazu auch Florian Berger, und auch wenn seither der PGP-Support in Thunderbird deutlich komfortabler wurde – solange nicht sowohl Freemail-Provider wie Outlook/Exchange PGP einfach und komfortabel implementieren, wird das nichts.) Das eigentliche Problem wird durch sie kaum gelöst – einen PGP-Schlüssel oder ein S/MIME-Zertifikat anzubieten, ist ein netter Service für Nerds, aber nicht massentauglich.
- Kommunikation über gesicherte Nachrichtenplattformen: Das ist der Weg, den beispielsweise Krankenkassen und Banken nutzen – E-Mail nur als Benachrichtigung, dass es eine Nachricht gibt, die eigentliche Kommunikation über eine geschlossene Webplattform abwickeln. Das Bistum Rottenburg-Stuttgart hat seit 2018 ein derartiges System für Mails in Betrieb, den »Secure Mail Gateway«, das ein derartiges geschlossenes System zur Verfügung stellt – am Anfang wurden quasi alle Mails nicht direkt zugestellt, sondern in die Weboberfläche. Das sorgte für extrem viel Unmut und Spott – Goldstandard ist diese Lösung also als Default auch nicht.
- Datenschutzkonforme Messenger: Die wohl praktikabelste Lösung dürfte sein, einfach aufzugeben und auf E-Mails zu verzichten. Während Ende-zu-Ende-Verschlüsselung bei E-Mails kompliziert und fehleranfällig ist, funktioniert sie bei vielen Messengern einfach so. Auch wenn WhatsApp zurecht problematisiert wird: Dank Ende-zu-Ende-Verschlüsselung sind die Kommunikationsinhalte (nicht die Metadaten) per WhatsApp eher besser geschützt als per E-Mail. Auch wenn andere Messenger nicht so verbreitet sind: Dass der Umstieg funktioniert, zeigen gute Erfahrungen bei der Caritas mit Wire.
Verschlüsselt senden per Mailanhang
Der wohl zugänglichste Weg, der weitgehend innerhalb des vertrauten E-Mail-Programms bleibt, ist der Versand von verschlüsselten Attachments – das können PDF-Dateien oder Archive sein. Das Passwort muss dabei aber über einen anderen Weg als E-Mail verschickt werden – sonst ist dieser Weg nicht sicherer als unverschlüsselte E-Mail. Dieser zweite Weg kann das Telefon sein, SMS, Fax oder ein Zettel, der bei persönlichem Kontakt übergeben wird. Leider ist das nicht so barrierearm wie ein Mailtext – wie der Anhang entschlüsselt wird, muss erst mal verstanden werden. Noch ein großer Nachteil: Menschen werden auf die Mails antworten. Ohne verschlüsselte Attachments. Wenigstens der Verweis auf einen sicheren Sende-Kanal (z. B. das verschlüsselte Kontaktformular) sollte also in die Mail.
Verschlüsselt empfangen per gesichertem Kontaktformular
Wer damit rechnet, sensiblere Daten unverlangt zugesandt zu bekommen, setzt am einfachsten auf ein Kontaktformular, das sich um die Datensicherheit kümmert und sicherstellt, dass die Daten vom Eingang bis ins eigene Netz sicher übertragen werden. Eine derartige Lösung sollte Pflicht sein für alle, die gelegentlich Bewerbungen entgegen nehmen. Eine einfache und komfortable Möglichkeit dafür ist der Dienst encrypt.to, dessen auf PGP basierende Technik auch selbst gehostet werden kann.
Fazit
E-Mail ist so praktisch wie problematisch. Daran lässt sich nichts ändern. Aber immerhin: Es gibt Möglichkeiten, einigermaßen datenschutzkonform per E-Mail zu kommunizieren – und sei es nur, indem man sich per Mail auf einen geeigneten Messenger einigt.
Weiterführende Links
- Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail: Orientierungshilfe des Arbeitskreises »Technische und organisatorische Datenschutzfragen« der Datenschutzkonferenz
- Datenschutz-Notizen
- Dr. Datenschutz: Alles gut mit TLS? Anforderungen an die E-Mail-Verschlüsselung
Wie auch schon auf Mastodon hingewiesen wurde, möchte ich gerne ergänzen, dass es einen kostenlosen Messenger explizit für den kirchlichen Bereich gibt:
https://synod.im (App: Synod.im) vom LibreChurch.org Projekt.
Kirchliche Stellen, die uns bei offenen Baustellen (auch auf rechtlicher Seite) helfen, sind gerne gesehen.
Ich weiß auch von mindestens einem Bistum, das dieses Open-Source-System („Matrix“) in Betrieb nimmt.
Danke für den Hinweis! Langsam wäre wohl mal ein Interview mit euch (oder ein Gastbeitrag?) zum Thema freie Infrastruktur in der Kirche fällig.