TIPPS & BEST PRACTICE 08. MAI 2023
Verschlüsselte E-Mails können vor Schadensersatzklagen nach DSGVO schützen
Der Gerichtshof der Europäischen Union (EuGH) hat das erste Urteil zum immateriellen Schadensersatz nach der Datenschutz-Grundverordnung (DSGVO) gefällt: Es gibt keine „Erheblichkeitsschwelle“ für Schadensersatz nach der DSGVO.
Der EuGH hat bestätigt, dass Betroffene prinzipiell ein Recht auf Schadensersatz haben, wenn personenbezogene Daten unrechtmäßig verarbeitet wurden. Dazu zählt auch die ungesicherte Übertragung per E-Mail. Außerdem müssen Schäden weder besonders schwerwiegend noch materiell sein. Die Durchsetzung von Schadensersatz für Betroffene wird damit deutlich erleichtert.
Dennoch ist nicht jeder Verstoß gegen die Datenschutz-Grundverordnung mit einem Schadensersatzanspruch verknüpft. Bedingung für diesen ist, dass eine Rechtswidrigkeit, ein Schaden und eine Kausalität vorliegen.
Was bedeutet dieses Urteil für den Umgang mit E-Mails in Unternehmen?
Sind ungeschützte E-Mails nach DSGVO rechtswidrig?
- Ja, denn personenbezogene Daten mit sensiblen Inhalten – beispielsweise Gesundheitsdaten – sind angemessen zu schützen (EU DSGVO Kapitel II, Artikel 5).
- Die Transportverschlüsselung mit TLS ist unzureichend, wenn das Schutzniveau als hoch anzusehen ist. Nur die Inhaltsverschlüsselung mittels S/MIME, OpenPGP oder mit passwortbasierten Verfahren bietet dann angemessenen Schutz.
Welchen Schaden können ungeschützte E-Mails verursachen?
- Werden Datensätze mit persönlichen Daten ungeschützt per E-Mail versendet, lässt sich auf dieser Basis ein Profiling durch Dritte erstellen. Ungewollte Werbe- und Phishing-E-Mails sind dabei noch relativ harmlos. Große Nachteile für die persönliche Lebensführung sind möglich, wenn Gesundheitsdaten oder Bonitätsinformationen aus ungesicherten E-Mails abgefangen werden.
- Identitätsdiebstahl und Rechnungsbestellungen können auf die unsichere Übertragung und Verarbeitung von persönlichen Daten zurückzuführen sein.
Wie steht es um die Kausalität?
Die Kausalität des Schadens aufgrund ungeschützt versendeter sensibler Daten ist nicht immer einfach, jedoch je nach Kontext durchaus möglich:
- Wenn Daten exklusiv verarbeitet wurden und nachweisbar kein Schutz bestanden hat, ist die Kausalität im Falle eines Schadens schwer abzustreiten.
- Die Nachweisbarkeit der Verschlüsselung ist bei der Nutzung von Inhaltsverschlüsselung für E-Mails mittels S/MIME, OpenPGP oder passwortbasiert sehr einfach. Bei der Verschlüsselung des Übertragungskanals mittels Transport Layer Security (TLS) ist dies schwierig lückenlos nachzuweisen. Lesen Sie dazu gern unseren Blogbeitrag: Kann ich E-Mails mit TLS datenschutzkonform gemäß EU DSGVO verschlüsseln?
Wird dieses Urteil zu mehr Nutzeranfragen oder Klagen führen?
Wenige Verbraucher haben die Motivation und Kraft, Datenschutzverstöße zu melden. Als Ergebnis stand bisher neben der Abstellung des Missstandes nur die eigene Genugtuung über den Bußgeldbescheid gegen das Unternehmen in Aussicht.
Wie sich nun ein persönlicher Schadensersatzanspruch auch für immaterielle Schäden auf die Meldefreudigkeit der Betroffenen auswirkt, bleibt abzuwarten.
Datenschutz-Compliance kann sehr einfach sein mit Z1 SecureMail Gateway
Neue Rechtsprechung und höhere Strafen brauchen Sie nicht zu kümmern, denn Z1 SecureMail Gateway verschlüsselt E-Mails einfach automatisiert. Die Nachweisbarkeit ist jederzeit gegeben. Lassen Sie sich nicht von steigenden Datenschutzauskünften beunruhigen.
Ein weiterer Vorteil: Wer Daten mit Ihnen austauscht, wird in vielen Fällen gar keine Datenschutzauskunft anfragen müssen, denn die sichere Verarbeitung ist jederzeit sichtbar. Im E-Mail-Programm gibt es ein entsprechendes Sicherheitssymbol oder einen Hinweistext. Bei der passwortverschlüsselten E‑Mail ist der Schutz dadurch erkennbar, dass ein Passwort zur Entschlüsselung eingegeben werden muss.
Lernen Sie die Vorteile zentral gesteuerter E-Mail-Verschlüsselung mit dem Z1 SecureMail Gateway in unserem Webinar kennen:
Live-Webinar mit Produktdemo:
„E-Mail-Verschlüsselung einfach und zentral umsetzen mit Z1 SecureMail Gateway“