#3 - Technisch Organisatorische Maßnahmen (TOM)

Shownotes

"Stand der Technik – Der Podcast zu Datenschutz und IT-Sicherheit" ist der Podcast zum Datenschutz- und IT-Sicherheitsrecht in Deutschland und Europa. Experten der Kanzlei Heuking Kühn Lüer Wojtek und des IT-Sicherheitsdienstleisters secAdair sprechen über die Schnittstellen zwischen den Welten der Juristen und der IT-Praktiker.

In Folge 3 sprechen Dr. Lutz Keppeler und Daniel Wasser über das Herzstück des IT-Sicherheitsrechts im Datenschutz, nämlich Art. 32 DSGVO. Wir beleuchten den unscharfen Begriff der "geeigneten technischen und organisatorischen Maßnahmen“ anhand des Themas E-Mail-Verschlüsselung. Wir stellen die technischen Details vor, erläutern den Unterschied zwischen Transport- und Ende-zu-Ende-Verschlüsselung und diskutieren, was dies angesichts der generalklauselartigen Formulierung des Art. 32 DSGVO für die Praxis bedeutet. Dabei gehen wir auch auf folgende aktuelle Fälle zum Thema ein:

• OLG Karlsruhe, Urteil vom 27.07.2023 – Az.: 19 U 83/22 (Newsletter von Heuking hierzu). In diesem Fall ging es um eine von einem Hacker abgefangene und manipulierte Rechnung in einem E-Mail-Anhang: Welche Schutzmaßnahmen durfte der Verkehr hier erwarten?

• AG Suhl, Urt. vom 20.12.2023 – Az.: 6 Ca 707/23. Streitgegenständlich ist eine unverschlüsselt versendet Antwort auf einen Auskunftsanspruch.

• SG Hamburg, Urteil vom 30.06.2023 - Az.: S 39 AS 517/23. Gibt es einen Anspruch des Klägers auf Zusendung einer unverschlüsselten E-Mail? Hier war der Gedanke der Barrierefreiheit und der leichten Zugänglichkeit von Informationen gegen das konkrete IT-Sicherheits-Schutzbedürfnis abzuwägen.

• VG Mainz, Urteil vom 17.12.2020 - Az.: 1 K 778/19.MZ. Auch für Berufsgeheimnisträger wie Rechtsanwälte ist - je nach Schutzbedarf im Einzelfall - die (obligatorische) Transportverschlüsselung ausreichend.

Wir erwähnen auch die Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder („DSK“) vom 27. Mai 2021 zum Thema: „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“

Im Wesentlichen beziehen wir uns auf den Baustein APP.5.3 Allgemeiner E-Mail-Client und -Server vom BSI:

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-KompendiumEinzelPDFs2023/06APPAnwendungen/APP53AllgemeinerE-MailClientundServerEdition2023.pdf?__blob=publicationFile&v=3#download=1

Konkret auf die Anforderungen laut APP.5.3.A1 Basis Absicherung: Sichere Konfiguration der E-Mail-Clients: E-Mail-Clients müssen für die Kommunikation mit E-Mail-Servern über nicht vertrauenswürdige Netze eine sichere Transportverschlüsselung einsetzen.

Sowie dem erhöhten Schutzbedarf laut APP.5.3.A10: Die Institution sollte eine Ende-zu-Ende-Verschlüsselung sowie digitale Signaturen für E-Mails einsetzen. Es sollten nur Protokolle zur Verschlüsselung und Signatur genutzt werden, die dem aktuellen Stand der Technik entsprechen.

Weitere Links: Heuking Kühn Lüer Wojtek | https://www.heuking.de/de/home.html Stand der Technik | https://www.heuking.de/de/news-events. Update Datenschutz | https://www.heuking.de/de/news-events. Dr. Lutz Keppeler | https://www.heuking.de/de/anwaelte/pr. secAdair | https://www.secadair.de/ Produktion: Foundation Room Studio | https://foundationroom.de/.