RECHTLICHE VORGABEN 01. FEB 2019
Sind veröffentlichte E-Mail-Zertifikate ein Fall für die EU DS-GVO?
In der Businesskommunikation ist die zertifikatsbasierte E-Mail-Verschlüsselung mit S/MIME oder OpenPGP weit verbreitet. Die zugehörigen E-Mail-Zertifikate der Mitarbeiter enthalten unter anderem deren geschäftliche E-Mail-Adresse. Werden die E-Mail-Adressen nach dem Muster [email protected] vergeben, kann eine Person darüber identifiziert werden und es ist erkennbar, in welchem Unternehmen die Person beschäftigt ist.
Die Angabe der E-Mail-Adresse im Zertifikat ist unvermeidbar. Schließlich dient dieses dazu, eine Person als tatsächlichen Kommunikationspartner zu identifizieren. Um Zertifikate zur E-Mail-Verschlüsselung und zur Prüfung von Signaturen nutzen zu können, müssen sie öffentlich verfügbar sein – Zertifikate werden deshalb auch „öffentliche Schlüssel“ genannt. Dies gehört zu den Grundlagen der E-Mail-Verschlüsselung mittels Public Key Infrastructure (PKI). Mit jeder Ausstellung eines Nutzerzertifikats werden somit personenbezogene Daten veröffentlicht.
Wie ist die Rechtslage bei der Veröffentlichung von Benutzerzertifikaten zur E-Mail-Verschlüsselung?
Die Europäische Datenschutz-Grundverordnung (EU DS-GVO) gilt seit Mai 2018. Der Artikel 88 „Datenverarbeitung im Beschäftigungskontext“ enthält jedoch noch keinerlei Vorgaben, sondern fordert die Länder auf, selbst Bestimmungen zu schaffen. Zeitgleich wurde in Deutschland auch das Bundesdatenschutzgesetz (BDSG) in neuer Fassung (nF) gültig. In § 26 Abs. 1 S. 1 BDSG (nF) wird die Verarbeitung von personenbezogenen Daten in Beschäftigungsverhältnissen konkretisiert. Der Umgang mit E-Mail-Adressen der Mitarbeiter im geschäftlichen E-Mail-Verkehr ist jedoch nicht erfasst.
In vergleichbaren Fällen wird sowohl in der EU DS-GVO als auch im BDSG abgewogen, ob die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung überwiegen oder ob die Datenverarbeitung aus anderen Gründen zwingend erforderlich ist. Nicht näher bestimmt scheint, wann die Verarbeitung „erforderlich“ ist. Eindeutige Angaben hierzu gibt es weder in den Gesetzestexten, noch in den Gesetzesbegründungen. Wir folgen dem gesunden Menschenverstand: Die Veröffentlichung der Zertifikate dient der Verschlüsselung des E-Mail-Verkehrs. Unternehmen sind durch gesetzliche Vorgaben wie der EU DS-GVO dazu angehalten, bestimmte Daten bei der Übertragung zu verschlüsseln.
Wir raten Unternehmen als Ergänzung zum Arbeitsvertrag schriftlich festzuhalten, dass die Zertifikate der Mitarbeiter veröffentlicht werden. Die Kenntnisnahme sollte vom Mitarbeiter schriftlich bestätigt werden.
Wie öffentlich sind Zertifikate am Z1 Global TrustPoint?
Zertificon betreibt das Online-Zertifikatsportal. Dieses durchsucht öffentliche Verzeichnisse und speichert die darin enthaltenen Zertifikate. Hinzu kommen Zertifikate, die direkt über globaltrustpoint.com oder über die Veröffentlichungsfunktion im Z1 SecureMail Gateway veröffentlicht wurden.
Finden Sie öffentliche Benutzerzertifikate im Z1 GlobalTrust Point
Der Z1 Global TrustPoint ist jedoch keine offene Datenbank. Datenmaterial kann nicht beliebig eingesehen und heruntergeladen werden. Das Zertifikatsportal verfügt über Schutzmechanismen, die das massenhafte Auslesen der gespeicherten Daten zur Adressgewinnung unterbinden. Persönliche Zertifikate werden nur nach Eingabe der zugehörigen E-Mail-Adresse angezeigt.
Das Risiko der unberechtigten Datengewinnung oder anderer Datenschutzverstöße ist bei Zertifikaten, die über Z1 Global TrustPoint veröffentlicht werden, nicht höher als bei E-Mail-Adressen generell. Denn auch über den einfachen Versand von E-Mails kann gezielt abfragt werden, ob E-Mail-Konten mit bestimmten Namen existieren oder nicht.
Fazit
Wir sehen keine datenschutzrechtlichen Bedenken bei der Veröffentlichung von Zertifikaten am Z1 Global TrustPoint. Dennoch sollten Sie Ihre Mitarbeiter darüber informieren, dass die E-Mail-Zertifikate als öffentliche Schlüssel auch öffentlich auffindbar sind.