@@Erik,
Gibt es ein Gesetz das festlegt, dass deutsche E-Mail Anbieter SSL/TLS oder STARTTLS bei Desktop-Clients bzw. https bei Web-Clients verwenden müssen?
zu 2: Bislang nicht. Es gibt zwar ein Urteil zu unverschlüsselten Kontaktformularen, das könnte als "ähnliche Situation" angesehen werden, da auch beim Emailversand Art. 5 DSGVO, Satz 1 f angewendet werden kann.
Aber auch hier war Transportverschlüsselung (https) ausreichend und keine Inhaltsverschlüsselung gefordert.
Fazit:
Es gibt weder ein Gesetz das Transportverschlüsselung noch ein Gesetz das Inhaltsverschlüsselung vorschreibt. Ist das so korrekt?
Nun handelt es sich bei der DSGVO ja auch um ein Gesetz. In der DSGVO wird klar darauf hingewiesen, dass personenbezogene Daten geschützt werden müssen. Nehmen wir an ich versende eine E-Mail mit personenbezogenen Daten ohne Transportverschlüsselung und/oder ohne Inhaltsverschlüsselung. Nehmen wir des weiteren an der E-Mail Empfänger geht zu seinem Rechtsanwalt und sagt diesem folgendes:
Ich habe eine E-Mail mit personenbezogenen Daten erhalten, diese E-Mail war nicht tranport- und/oder inhaltsverschlüsselt, ich bitte Sie deshalb darum den Sender der E-Mail abzumahnen, weil hier ein klarer Verstoß gegen die DSGVO vorliegt.
Hierzu zwei Fragen:
- Wie würde der Rechtsanwalt reagieren? Würde er die Abmahnung senden oder nicht?
- Die DSGVO fordert einen ausreichenden Schutz personenbezogener Daten, demnach muss man alles dafür tun, damit personenbezogene Daten geschützt werden. Alles dafür tun heißt ich muss E-Mails mit personenbezogenen Daten sowohl tranport- als auch inhaltsverschlüsseln. Das ist zumindest mein aktuelles Verständnis. Nun könnt Ihr mir sicherlich erklären warum das nicht so ist.