E-Mail-Verschlüsselung ab 1. Januar 2019

Die neuen Richtlinien betreffen vor allem private Akteure, da für Behörden bereits ähnliche Regeln vorliegen. Das bedeutet, dass Unternehmen, Vereinigungen, Fonds und alle übrigen nicht-öffentlichen Akteure, die mit Daten arbeiten, neue Verschlüsselungsmethoden einführen müssen.

Die Verschlüsselungspflicht betrifft ausschließlich empfindliche und vertrauliche personenbezogene Daten gemäß dem DSGVO-definierten Begriff, welcher u.a. Ethnizität, politische und religiöse Überzeugungen, Mitgliedschaften, Sexualität, Fingerabdruck, dänische Personennummer und Informationen, die von einer gesetzlichen Schweigepflicht umfasst sind, enthält. Eine Einschätzung, ob es sich bei vorliegenden Daten um "empfindliche und vertrauliche" Daten handelt, ist verpflichtend und niemals pauschal vorzunehmen. Jeder Fall ist stets einzeln zu betrachten. Daher wird empfohlen, dass Unternehmen einen Mindeststandard einführen, der die Branche und die Art von Informationen innerhalb des Unternehmens berücksichtigt.

Außerdem müssen die Verschlüsselungsart und Ansprüche an die Datensicherheit, die vom Datenaufsichtsamt gefordert werden, berücksichtigt werden. Im privaten Sektor muss zumindest das so genannte TLS-System verwendet werden. Dieses System schützt die Daten während des Transports zwischen Absender und Empfänger. Allgemein ist zu beachten, dass die DSGVO fordert, dass sich die Stärke des Sicherheitsschutzes nach der Größe des Sicherheitsrisikos richten muss.