Dänemark: Verschlüsselungspflicht für gewerbliche E-Mails

Personen wie Unternehmen, die gewerbliche E-Mails mit personenbezogenenen Daten an dänische Geschäftspartner schicken, müssen diese ab 1. Januar 2019 grundsätzlich verschlüsseln. Dies fordert das dänische Datenaufsichtsamt gemäß der Datenschutzgrundverordnung.

Die neuen Richtlinien betreffen vor allem private Akteure, da für Behörden bereits ähnliche Regeln vorliegen, meldet die Deutsch-Dänische Handelskammer. Das bedeutet, dass Unternehmen, Vereinigungen, Fonds und alle übrigen nicht-öffentlichen Akteure, die mit Daten arbeiten, neue Verschlüsselungsmethoden einführen müssen.

Empfindliche persönliche Daten unter Verschlüsselungspflicht

Die Verschlüsselungspflicht betrifft ausschließlich empfindliche und vertrauliche personenbezogene Daten gemäß dem DSGVO-definierten Begriff, welcher unter anderem Ethnie, politische und religiöse Überzeugungen, Mitgliedschaften, Sexualität, Fingerabdruck, dänische Personennummer und Informationen, die von einer gesetzlichen Schweigepflicht umfasst sind, enthält. Eine Einschätzung, ob es sich bei vorliegenden Daten um „empfindliche und vertrauliche“ Daten handelt, ist verpflichtend und niemals pauschal vorzunehmen. Jeder Fall ist stets einzeln zu betrachten. Daher wird empfohlen, dass Unternehmen einen Mindeststandard einführen, der die Branche und die Art von Informationen innerhalb des Unternehmens berücksichtigt.

Außerdem müssen die Verschlüsselungsart und Ansprüche an die Datensicherheit, die vom Datenaufsichtsamt gefordert werden, berücksichtigt werden. Im privaten Sektor muss zumindest das so genannte TLS-System verwendet werden. Dieses System schützt die Daten während des Transports zwischen Absender und Empfänger. Allgemein ist zu beachten, dass die DSGVO fordert, dass sich die Stärke des Sicherheitsschutzes nach der Größe des Sicherheitsrisikos richten muss.