Grundsätzlich schreibt die DSGVO keinen generellen Schutz durch Passwörter oder eine Verschlüsselung vor. Artikel 24 der DSGVO bleibt hinsichtlich konkreter Maßnahmen unverbindlich:

Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.

Ob Anhänge und Dokumente mit Passwörtern geschützt werden müssen, hängt also von vielen Aspekten ab. Es macht einen wesentlichen Unterschied, ob Sie in einem Dokument z.B. nur Kontaktdaten versenden, oder Gesundheitsdaten, oder ob Sie die Daten von lediglich 10 Personen versenden, oder von 1.000. Hier lässt Ihnen die DSGVO viel Ermessensspielraum.

Das Verschlüsseln von E-Mails ist auf Basis der DSGVO jedenfalls nicht zwingend erforderlich. Unternehmen können/sollten sich aber aus Gründen der Datensicherheit gegebenenfalls dafür entschließen (stellt letztlich eine Risikoabwägung dar).

Sinnvoll ist die Verschlüsselung jedenfalls bei der Übermittlung gewisser personenbezogener Daten wie Bankverbindungen, Kreditkartendaten, usw., aber auch insbesondere bei der Handhabe mit sensiblen oder strafrechtlich relevanten Daten. Wenn z.B. Arztbefunde (Gesundheitsdatum = sensibles Datum) per E-Mail versendet werden, empfiehlt es sich dringend, den Inhalt des E-Mails mittels Passwort zu sichern (ist aus WORD oder als PDF einfach möglich) und das Passwort gesondert über einen zweiten Kanal – wie etwa SMS oder telefonisch – an den Empfänger zu übermitteln.


Zurück zur Liste der FAQs