Datenschutz und neue Medien... / 1.1.4 Das geschriebene Wort – Anforderungen an E-Mails

Auch das geschriebene Wort ist durch das Gesetz in einem gewissen Umfang geschützt. Bei Arbeitnehmern wird hier ein besonderes Augenmerk auf die Unterscheidung zwischen privater und geschäftlicher Nutzung gelegt werden müssen.[1]

Der Schutz des Briefgeheimnisses in § 202 StGB ist nicht auf E-Mails und Faxe anwendbar, weil die bei beiden Medien verwendeten Daten nicht als "verschlossenes" und "verkörpertes Schriftstück" im Sinne des Gesetzes angesehen werden können.

Anders hingegen der Schutz gegen das Ausspähen von Daten und der Schutz gegen Veränderung von Daten in §§ 202a, 303a StGB: Hier wird der Schutz des klassischen Briefgeheimnisses zumindest teilweise auf Daten ausgedehnt. Der unbefugte Zugriff auf oder die Veränderung von elektronisch gespeicherten oder übermittelten Daten wird, wenn sie gegen unberechtigten Zugang gesichert sind, mit Geldstrafe oder Freiheitsstrafe von bis zu 3 Jahren bestraft.

Der Versender einer E-Mail, die diesen Schutz genießen soll, muss also besondere Vorkehrungen gegen einen unbefugten Zugriff getroffen haben, damit § 202a StGB greift.

Für die Praxis stellt sich nun die Frage, wann eine E-Mail gegen unbefugten Zugriff so geschützt ist, dass bei einem Durchbrechen dieser Sicherung § 202a StGB greift.

 
Praxis-Tipp

Anforderungen an E-Mails

Diese Anforderungen müssen Ihre Mails erfüllen, damit sie gegen unbefugtes Ausspähen geschützt sind:

  • Die E-Mail – kann nicht unbefugt verändert werden (Integrität)
  • Die E-Mail – kann von keinem unbefugten Dritten gelesen werden (Vertraulichkeit)
  • Die E-Mail – wird wirklich vom Sender an den Empfänger verschickt (Authentizität)

Um diese Kriterien zu erfüllen, wird derzeit ausschließlich eine Verschlüsselung des E-Mailverkehrs anerkannt. Selbst diese erfüllt nicht genau die Kriterien, die im Gesetz gefordert werden. Anerkannt wird sie deshalb, weil sonst ein Schutz der Daten während der Übermittlung nach dem heutigen Stand der Technik über § 202a StGB gar nicht möglich wäre. Die Forderung nach der Verschlüsselung der E-Mail-Kommunikation wird durch die DSGVO unterstrichen. Nach Art. 32 DSGVO muss der Arbeitgeber geeignete "technische und organisatorische Maßnahmen" treffen. Diese Maßnahmen schließen die Verschlüsselung personenbezogener Daten explizit ein.

 
Praxis-Tipp

Mindestanforderungen an die Verschlüsselung

Eine Verschlüsselung sollte folgende Mindestanforderungen erfüllen:

  • Verschlüsselung mit 2448 Bit oder mehr
  • RSA- oder Elgamal-Algorythmus[2]
  • Asynchrone "Public Key"-Verschlüsselung[3]
  • Kostenfreie OpenSource-Lösung: GnuPG für Windows[4]

Nicht ausreichend sind

  • ein Lese- und Nutzungsverbots-Text am Ende der E-Mail
  • eine elektronische Signatur bzw. Zertifizierung

Der bloße Ausspruch eines Lese- und Nutzungs-Verbots, wie man ihn häufig am Ende von E-Mails liest und auch eine elektronische Unterschrift (Zertifizierung), reichen nicht aus, um den Schutz des § 202a StGB zu erlangen, da dieser Hinweis lediglich sicherstellt, dass der Inhalt der E-Mail nur vom Empfänger genutzt werden darf. Er bewirkt damit nur in Verbindung mit einer Verschlüsselung den Schutz durch § 202a StGB.

Unabhängig von einer Kenntnisnahme durch unbefugte Dritte darf jede dienstliche E-Mail auch inhaltlich vom Arbeitgeber eingesehen und kontrolliert werden. So wie die dienstliche Post in Papierform, unterliegen auch dienstliche E-Mails dem Organisationsrecht des Arbeitgebers. Dass es hierbei immer wieder zu Konflikten bei der privaten Nutzung dieses Mediums kommt, ist voraussehbar und bedarf deshalb gewisser Regeln.[5]

[1] Vgl. dazu im Detail Abschn. 1.3 Private Nutzung von Internet und E-Mail.
[2] So verwendet z. B. in Rahmen der OpenSource-Verschlüsselung GnuPG.
[3] Näheres dazu beim BSI: https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/Verschluesseltkommunizieren/Grundlagenwissen/AsymmetrischeVerschluesselung/asymmetrische_verschluesselung_node.html (zuletzt abgerufen am 30.5.2014).
[4] Zu finden mit User-freundlicher Anleitung unter www.gpg4win.de (zuletzt abgerufen am 30.4.2018).
[5] Näheres dazu in Abschn. 1.3 "Private Nutzung von Internet und E-Mail".

Das ist nur ein Ausschnitt aus dem Produkt Haufe Personal Office Platin. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Personal Office Platin 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge