TLS: Notwendig, aber hinreichend? – Obligatorische E-Mail-Transportverschlüsselung als Mindeststandard

E-Mails sind bequem und decken deshalb unverändert einen hohen Anteil privater, geschäftlicher wie auch behördlicher Kommunikation ab. Besonders zu Berufsgeheimnisträgern (z. B. Anwälten) sowie generell im Behördenumfeld sind grundsätzlich hohe Ansprüche an die Informationssicherheit zu stellen. Trotzdem gehen tagtäglich unzählige ungeschützte E-Mails durchs Netz: Sichere Dienstleistungen werden dabei kaum genutzt – selbst der Vorstandsvorsitzende der Deutschen Telekom AG, Tim Höttges, hat etwa DE-Mail unlängst im Gespräch als „toten Gaul“ bezeichnet (vgl. „Jung & Naiv“ Folge 498, Feb. 2021, www.youtube.com/watch?v=8Jrlqmlzj2U). Auch eine durchgängige Ende-zu-Ende-Verschlüsselung ausgehender E-Mails wird nicht einmal von Behörden praktiziert, obwohl diese mittlerweile in etablierten E-Mail-Programmen teils standardmäßig integriert ist.

Aktuelles Urteil

Ein Fall, wo eine als schutzwürdig angesehene E-Mail ohne Nachrichtenverschlüsselung verschickt wurde, landete vergangenes Jahr vor dem Verwaltungsgericht (VG) Mainz und wurde von diesem mit Urteil vom 17. Dezember 2020 entschieden (Az. 1 K 778/19. MZ [1]). Aufgrund der Anzeige einer Privatperson hatte der Landesbeauftragte für den Datenschutz und die Informationsfreiheit des Landes Rheinland-Pfalz (LfDI RLP) gegenüber einem Rechtsanwalt per Bescheid ein Verwarnungsgeld festgesetzt. Der Anzeigende führte aus, dass er von diesem Rechtsanwalt an seine E-Mail-Adresse eine unverschlüsselte Nachricht erhalten habe, der als Anhang ein neunseitiges Schreiben beigefügt war.

Wenngleich allgemein gehalten, sei darin eine notwendige Erklärung von ihm gegenüber dem Finanzamt angesprochen gewesen. Ferner werde auf Versäumnisse von ihm zum Abschluss einer Wohngebäude- und Haftpflichtversicherung zu einem Grundstück hingewiesen, dessen anteiliger Eigentümer er als Mitglied einer Erbengemeinschaft sei. All dies stelle vertrauliche Inhalte sowie detaillierte persönliche Angaben dar, die per unverschlüsselter E-Mail nicht datenschutzkonform übermittelt worden seien. Nach erfolgter Anhörung des Rechtsanwalts erließ der LfDI RLP mit Bescheid vom 14. August 2019 gegen den Rechtsanwalt ein Verwarnungsgeld, weil dieser personenbezogene Daten ohne ein dem Risiko angemessenes Schutzniveau verarbeitet habe. Gegen diese Festsetzung klagte der Rechtsanwalt.

Zunächst mussten dabei prozessuale Schwierigkeiten bereinigt werden, da ursprünglich das Land Rheinland-Pfalz beklagt wurde – richtig war aber ausnahmsweise eine Klage unmittelbar gegen den LfDI als oberste Landesbehörde (§ 20 BDSG i. V. m. § 61 Nr. 3 VwGO). Anschließend hat sich das VG Mainz umfassend mit dem Sachverhalt auseinandergesetzt: Unter Rückgriff auf verschiedene fundierte Fachkommentare und unter Abwägung teils divergenter Auffassungen einzelner Datenschutzbeauftragter der Bundesländer arbeitete es heraus, dass gerade für Berufsgeheimnisträger oder wegen § 203 StGB zur Geheimhaltung verpflichtete Personen erhöhte Anforderungen an eine vertrauliche E-Mail-Kommunikation zu stellen sein können (was ähnlich für zahlreiche Behördenvertreter gelten dürfte). Dies wird allem voran zutreffen, wenn besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO übermittelt werden.

Allerdings betont das VG Mainz, dass stets auf den konkreten Einzelfall abzustellen ist (Rn. 34 des Urteils [1]). Dabei ist wiederum die – gegebenenfalls besondere – Schutzbedürftigkeit des Verarbeitungsprozesses auch über die Kategorien von Artikeln 9 und 10 der DSGVO hinaus zu ermitteln. Beispielsweise könnten auch Daten zur Arbeitsleistung, zur wirtschaftlichen Lage, zu persönlichen Vorlieben oder Interessen, die Zuverlässigkeit oder allgemein das Verhalten im Einzelfall als besonders risikoreich einzustufen sein.

„Anhaltspunkte für besonders sensible Daten“ waren im zu entscheidenden Fall jedoch nicht festzustellen (Rn. 38 des Urteils). Deshalb könnte zu diesem Sachverhalt ein E-Mail-Versand zulässig sein, welcher unter dem Vertraulichkeitsniveau einer Ende-zu-Ende-Verschlüsselung oder vergleichbar sicheren Transportwegen zurückbleibt.

Dazu forderte das Verwaltungsgericht den klagenden Rechtsanwalt zur Stellungnahme auf, ob denn wenigstens seitens seiner Kanzlei eine obligatorische Transportverschlüsselung (TLS) sicher gestellt sei. Darauf war weder der Anwalt im Rahmen seiner Klage eingegangen noch hatte diesen Aspekt der LfDI RLP berücksichtigt. Der Anwalt konnte daraufhin nachweisen, dass jedenfalls zu dieser Kommunikation die Transportverschlüsselung erfolgt war.

Unter Rückgriff auf einen Fachaufsatz [2] folgerte das Verwaltungsgericht Mainz daraufhin: „Generell wird aber die Verwendung einer Transportverschlüsselung datenschutzrechtlich – auch bei Berufsgeheimnisträgern – ausreichend sein, sofern keine Anhaltspunkte für besonders sensible Daten bestehen oder sonstige Umstände hinzutreten. Vielmehr ist die Kommunikation mittels (obligatorisch) transportverschlüsselter E-Mails auch im geschäftlichen Verkehr durchaus sozialadäquat und wohl derzeit noch als (Mindest-)Stand der Technik einzustufen …“ (Rn. 38 des Urteils, Hervorhebungen durch den Autor).

In Bezug auf die Eintrittswahrscheinlichkeit wurden sodann „keine spezielle[n] Indizien für einen naheliegenden Verlust der Vertraulichkeit“ festgestellt (Rn. 38 des Urteils). Somit lag kein Datenschutzverstoß vor, weshalb der Verwarnungsgeldbescheid des LfDI RLP als materiell rechtswidrig festzustellen war.

Einordnung und Folgerungen

Dieses Urteil konnte ergehen, weil zum konkret vor Gericht dargelegten Sachverhalt keine übermittelten Daten mit erhöhtem Schutzniveau festzustellen waren. Die Entscheidung mag aber auch ein Stück weit darauf zurückzuführen sein, dass den Auslöser eine Privatanzeige setzte, die ihrerseits womöglich anteilig auf Schwierigkeiten in einer Erbauseinandersetzung zurückzuführen war. Schon bei leicht abweichendem Sachverhalt wäre eine solche Entscheidung wohl nicht mehr möglich gewesen.

Bereits diese Schwierigkeit ist praktisch beachtlich. Jeweils im konkreten Einzelfall des Arbeitsalltages herauszuarbeiten, ob eine obligatorische Transportverschlüsselung noch ausreichen mag oder doch ein erhöhtes Schutzniveau erforderlich ist, verursacht ebenfalls Aufwand. All das wäre zudem – für den Fall einer Beschwerde – gerichtsfest zu dokumentieren. Deshalb drängt sich die Frage auf, ob ein Rückzug auf das jetzt abgeurteilte Mindesterfordernis der obligatorischen Transportverschlüsselung zielführend ist. Sinnvoller erscheint es, zu konkreten Aufgaben und zugehörigen Abläufen interne Vorgaben auf Basis einer strukturellen Analyse zu erstellen, in welchen Fällen überhaupt auf eine E-Mail-Kommunikation zurückzugreifen ist.

Vergleichsfall Verwaltung

Eine Analogie zeigt sich in der öffentlichen Verwaltung, die sich aktuell in der Umsetzungsphase zum Onlinezugangsgesetz (OZG) befindet: Auf dessen Grundlage wird hinsichtlich der notwendig elektronischen (besser: digitalen) Aktenführung der Behörden gerade nicht auf individuelle E-Mails abgestellt. Vielmehr hat ihr Handeln grundsätzlich über Verwaltungsportale zu erfolgen (vgl. dazu beispielhaft § 12 EGovG RP, in anderen Bundesländern sowie auf Bundesebene ähnlich). Dann erhält der Bürger – nach dem Vorbild von ELSTER für die Finanzämter – lediglich noch eine (automatisierte) E-Mail, dass im jeweiligen Verwaltungsportal eine neue Nachricht für ihn vorliegt, die er dann selbst durch geschützte Einwahl herunterladen kann (und muss).

Diese Vorgehensweise stellt das derzeit praktikable Optimum dar, da sie datenschutzrechtlich sauber ausgestaltet ist und überdies die jeweilige Behörde nunmehr einen konkreten Zugangsnachweis erhält. Auch für die kommende digitale Bürgerakte ist diese Kommunikationsschiene systemtechnisch am einfachsten abzubilden.

E-Mails als Ausnahme statt Regel

Wer ein vergleichbares Portal nutzt, wird nur in Ausnahmefällen auf individuelle E-Mails zurückgreifen. Dies entspricht in der Umkehrung auch der Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) [3]. Danach hat stets eine risikogewichtete Entscheidung zur individuellen Kommunikation zu erfolgen: „Können die Anforderungen an eine sichere Übermittlung per E-Mail nicht erfüllt werden, so muss ein anderer Kommunikationskanal gewählt werden“.

Bei der Einzelfallklärung für E-Mails ist zu beachten, dass im vorliegenden Fall eine konkrete Beschwerde zum Datenschutz einging und deshalb letztlich auch nur das Datenschutzrecht beleuchtet wurde – gegebenenfalls sind also weitere Regularien zu prüfen. Gerade im Behördenumfeld gibt es rechtlich noch viele Fallkonstellationen, die deutlich weiter gehen, als die bereits beachtlichen Anforderungen des Datenschutzes. Exemplarisch nennen lassen sich beispielsweise das Abgabengeheimnis und zugehörig dem Amtsträger bekannt gewordene Informationen (§ 3 I Nr. 1 KAG RP i. V. m. § 30 AO) oder das Sozialgeheimnis (§ 35 SGB I und § 67ff. SGB X). Auch die Informationssicherheit geht über diese rechtlich klar definierten Bereiche noch hinaus – abgegriffene E-Mails bedeuten immer ein Risiko für spätere Sicherheitsvorfälle.

Mag also datenschutzrechtlich ein transportverschlüsselter E-Mail-Austausch im konkreten Einzelfall noch als ausreichend erachtet werden, kann dies bei weiter gefasster Perspektive (je nach zu betrachtender Aufgabe) gleichwohl deutlich zu kurz gegriffen sein. Dann wäre zu erwägen, zumindest mit regelmäßigen Kommunikationspartnern doch eine – technisch zumindest einmalig aufwendigere – Ende-zu-Ende-Verschlüsselung zu etablieren.

Für danach noch verbleibende inhaltsgewichtige Individual-Kommunikation bleibt zu empfehlen, sensible Daten so aus der E-Mail auszulagern, dass diese letztlich inhaltsleer bleibt – beispielsweise über eigene oder outgesourcte Cloudlösungen zum sicheren Datenaustausch, idealerweise mit Zugang per Zwei-Faktor-Authentifizierung.

Auch in solchen Fällen ist gleichwohl auf die sogenannte qualifizierte obligatorische Transportverschlüsselung abzustellen: Qualifiziert meint hier, dass aktive Angriffe von Dritten auf der Übermittlungsstrecke des Netzwerkverkehrs durch gewisse Sicherheitsstandards (insbes. nach BSI TR-02102-2) ausgeschlossen werden. Dazu liefert die erwähnte Orientierungshilfe der DSK [3] ebenfalls belastbare Ausführungen.

Wichtig erscheinen überdies – schon alleine aus der Warte des Mitarbeiterschutzes – eindeutige Arbeits- oder Dienstanweisungen, wie sich in Bezug auf die digitale Kommunikation zu verhalten ist.

Fazit

Bei E-Mails muss eine obligatorische Transportverschlüsselung (SSL/TLS) heute als Mindest-Standard angesehen werden – ob das genügt oder weitergehende Maßnahmen vorzusehen sind, richtet sich stets nach dem konkreten Einzelfall. Im vom VG Mainz konkret entschiedenen Fall war die Transportverschlüsselung nachgewiesen und ausreichend, weil keine besonders sensiblen Daten übermittelt wurden.

Die Problemstellung von Einzelfallentscheidungen lässt sich massiv reduzieren, indem man das Aufkommen individueller E-Mail-Kommunikation kategorisch reduziert. Hier können digitale Verwaltungsbeziehungsweise Dokumentenportale ein Ausweg sein, über welchen die schutzwürdigen Informationen zum Abruf bereitgestellt werden. Sofern derartige Portale nicht nutzbar sind, kann die Bereitstellung der Inhaltsdaten über Cloudlösungen realisiert werden, sodass lediglich inhaltsleere E-Mails über die Abrufmöglichkeiten informieren.

Ralf Klomfaß ist Dipl.-Verwaltungsbetriebswirt (FH), DiplomJurist (Uni Mainz), Master des Wirtschaftsrechts (Uni Köln, LL. M.) sowie Leiter der Abteilung für Verwaltungsprüfungen der Landeshauptstadt Mainz. Eine seiner Schwerpunkttätigkeiten bildet die Revision der Informationssicherheit.

Literatur

[1] 1. Kammer Verwaltungsgericht Mainz, Datenschutzrechtliche Verwarnung für einen Rechtsanwalt wegen einer E-Mail-Kommunikation – Anforderungen an die Verschlüsselung, Urteil vom 17. Dezember 2020, Aktenzeichen 1 K 778/19.MZ, www.landesrecht.rlp.de/jportal/portal/t/7qe/page/bsrlpprod.psmlpid=Dokumentanzeige&showdoccase=1&doc.id=MWRE210000638&doc.part=L
[2] Dr. Thomas Gasteyer, Eva Säljemar, Vertraulichkeit im Wandel digitaler Kommunikationswege, Neue Juristische Wochenschrift (NJW) 25/2020, S. 1768 ff., https://beckonline.beck.de/ vpath=bibdata/zeits/NJW/2020/cont/NJW.2020.H25.NAMEINHALTSVERZEICHNIS.htm (kostenpflichtig)
[3] Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK), Maßnahmen
zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail, März 2020, www.datenschutzkonferenzonline.de/media/oh/20200526_orientierungshilfe_e_mail_verschluesselung.pdf