Immer wieder treffe ich bei Beratungsgesprächen auf Unsicherheit, ob E-Mailverschlüsselung zwingend ist, um die Vorgaben der DSGVO einzuhalten. Nun habe ich mit meinem Datenschutzkollegen diesbezüglich recherchiert und wir sind beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) fündig geworden:
Frage (1) des GDD Erfa-Kreises Coburg:
Ein Unternehmen betreibt eine Website. Dort stellt es sich und sein Leistungsangebot allgemein vor. Ein Karriereportal oder Bewerbungstool gibt es nicht, es wird auch nicht zur Zusendung von (Initiativ) Bewerbungen aufgefordert. Das Unternehmen bietet lediglich
• Eine allgemeine Kontakt-E-Mail-Adresse kontakt@unternehmen.de
an und
• ein Kontaktformular, mittels dessen eine E-Mail an das Unternehmen
generiert wird.
a) Muss das Unternehmen jeweils für eine verschlüsselte Übertragung sorgen, weil damit zu rechnen ist, dass Initiativbewerbungen auf die Adresse über die Maske erfolgen?
Antwort BayLDA:
Ja. Der Grund ist einerseits, da die E-Mail kontakt@ klar kommuniziert, dass damit die übliche Unternehmens-kommunikation stattfindet – dazu gehören auch Bewerbungen.
Ein Kontaktformular, das mittels eines HTTP-Requests die Daten an einen Webserver überträgt (der daraus eine E-Mail generiert), muss grundsätzlich HTTPS-verschlüsselt werden. Unter der DS?GVO wird dieser Mangel im Allgemeinen mit einem Bußgeld sanktioniert werden.
Bei Bewerbungen muss zusätzlich zur verschlüsselten Übertragung (HTTPS bei Webseiten, STARTTLS bei E-Mail-Server) eine Option zu einer Inhaltsverschlüsselung angeboten werden (oder ein vergleichbares Sicherheitsniveau, z.B. mittels eines Bewerbungsportals erreicht werden).
Frage (2) des GDD Erfa-Kreises Coburg:
b) Sofern Frage 1 a) mit Ja zu beantworten wäre:
Könnte das Unternehmen auf eine Verschlüsselung verzichten, wenn es dazu auffordern würde, von Bewerbungen über das Internet abzusehen und solche nur auf dem Postweg zu schicken?
c) Zusatzfrage: Wäre dann der Hinweis tauglich: „Wir bitten Sie, davon Abstand zu nehmen, uns Bewerbungsunterlagen über das Internet zukommen zu lassen. Bitte haben Sie Verständnis dafür, dass wir ausschließlich Bewerbungen zur Kenntnis nehmen, die uns auf dem Postweg erreichen“?
Antwort BayLDA:
Ja.
Anmerkung: Die Implementierung einer Transportverschlüsselung ist heutzutage sehr einfach und kostengünstig/kostenlos möglich. Auch eine Inhaltsverschlüsselung mittels PGP ist kostenlos in wenigen Minuten aufgesetzt.
Deswegen stellt sich die Frage, ob es für das Unternehmen sinnvoll ist, sich den gängigen digitalen Kommunikationsmitteln zu verschließen.
Quelle: DATAKONTEXT GmbH - Datenschutz newsbox
Unser Resümee:
E-Mailverschlüsselung ist in folgenden Fällen zwingend notwendig, um die Vorgaben der DSGVO einzuhalten:
1. Ein Kontaktformular, das mittels eines HTTP-Requests die Daten an einen Webserver überträgt muss grundsätzlich HTTPS-verschlüsselt werden, sonst droht ein Bußgeld.
2. Bei Bewerbungen über Webseiten muss zusätzlich zur verschlüsselten Übertragung eine Inhaltsverschlüsselung angeboten werden (oder ein vergleichbares Sicherheitsniveau, z.B. mittels eines Bewerbungsportals).
