Personenbezogene Daten sicher versenden: Was die DSGVO verlangt
DSGVO-Konformität beim Versand ist keine Eigenschaft einer Datei, sondern das Ergebnis einer begründbaren Entscheidung. Vier Fragen führen zum richtigen Weg – und zum Nachweis.
Eine Personalabteilung schickt eine Gehaltsabrechnung an einen Mitarbeiter. Ein Steuerberater übermittelt Belege an das Finanzamt. Eine Arztpraxis sendet einen Befund an eine Fachklinik. Drei alltägliche Vorgänge – und drei Übermittlungen personenbezogener Daten, an denen sich entscheidet, ob eine Organisation ihre Pflichten aus der DSGVO erfüllt. Die Frage, die dabei zählt, lautet selten „Ist die Datei verschlüsselt?", sondern „Kann ich belegen, dass diese Übermittlung dem Risiko angemessen war?" Dieser Beitrag ordnet, was die DSGVO beim Versand personenbezogener Daten verlangt, wie sich die Anforderungen in eine nachvollziehbare Entscheidung übersetzen lassen und woran sich ein geeigneter Übermittlungsweg erkennen lässt.
- Konformität ist ein Prozess, kein Dateiformat
- Vier Fragen vor jedem Versand
- Was Artikel 32 konkret verlangt
- Angemessenheit heißt abstufen, nicht maximieren
- Übermittlungswege im Vergleich
- Vom richtigen Kanal zum belastbaren Nachweis
- Wenn die Übermittlung scheitert
- Eine Entscheidungshilfe für den Versandalltag
- Fazit
Konformität ist ein Prozess, kein Dateiformat
Eine Übermittlung ist nicht deshalb DSGVO-konform, weil ein bestimmtes Werkzeug verwendet wurde, sondern weil die getroffene Entscheidung im Nachhinein begründbar ist. Die DSGVO verlangt an keiner Stelle eine konkrete Technologie. Sie formuliert Grundsätze und Pflichten, deren Erfüllung der Verantwortliche selbst sicherstellen und belegen muss.
Drei Bestimmungen bilden den Rahmen. Artikel 5 DSGVO nennt die Grundsätze, unter anderem Integrität und Vertraulichkeit, Datenminimierung und Zweckbindung. Artikel 32 DSGVO verpflichtet zu technischen und organisatorischen Maßnahmen, die dem Risiko angemessen sind. Und Artikel 5 Absatz 2 DSGVO – die Rechenschaftspflicht – verlangt, dass der Verantwortliche die Einhaltung dieser Grundsätze nicht nur gewährleistet, sondern auch nachweisen kann.
Damit ist die erste und am häufigsten gestellte Frage beantwortet: Wann gilt eine Datenübermittlung als DSGVO-konform? Dann, wenn sie verhältnismäßig, zweckgebunden und mit risikoangemessenen Schutzmaßnahmen erfolgt – und wenn diese Beurteilung dokumentiert und im Prüffall belegbar ist. „Konform" ist mithin kein Zustand der Datei, sondern eine Eigenschaft des Vorgangs. Wer das verinnerlicht, hört auf, nach dem einen sicheren Versandknopf zu suchen, und beginnt, die richtige Entscheidung zu treffen.
Vier Fragen vor jedem Versand
Die Anforderungen der DSGVO lassen sich in eine kurze Prüflogik übersetzen, die vor jeder Übermittlung durchlaufen werden kann. Vier Fragen genügen, um das angemessene Schutzniveau und den passenden Kanal zu bestimmen.
Welche Daten verlassen das Haus?
Maßgeblich ist zunächst die Art der Daten. Personenbezogene Daten sind nicht alle gleich schutzbedürftig. Artikel 9 DSGVO benennt besondere Kategorien – darunter Gesundheitsdaten, Daten zu religiöser oder weltanschaulicher Überzeugung, Gewerkschaftszugehörigkeit, Sexualleben und biometrische Daten zur eindeutigen Identifizierung. Für sie gilt ein grundsätzlich höheres Schutzniveau, und entsprechend steigen die Anforderungen an die Übermittlung.
Bevor die Frage nach dem Wie überhaupt gestellt wird, lohnt der Grundsatz der Datenminimierung: Müssen diese Daten in diesem Umfang an diesen Empfänger überhaupt übermittelt werden? Häufig lässt sich das Risiko bereits dadurch senken, dass weniger Daten das Haus verlassen – etwa durch Schwärzung, Pseudonymisierung oder die Beschränkung auf das tatsächlich Erforderliche.
Wer empfängt die Daten – und in welcher Rolle?
Die zweite Frage betrifft den Empfänger und seine datenschutzrechtliche Rolle. Es macht einen Unterschied, ob die Daten an einen eigenständig Verantwortlichen gehen – etwa eine Behörde oder einen Mandanten – oder an einen Dienstleister, der die Daten in Ihrem Auftrag verarbeitet.
Im zweiten Fall liegt eine Auftragsverarbeitung vor, und Artikel 28 DSGVO verlangt einen Auftragsverarbeitungsvertrag (AVV) als Grundlage. Hier liegt die Antwort auf eine oft gestellte Frage: Einen AVV brauchen Sie immer dann, wenn ein externer Dienstleister personenbezogene Daten weisungsgebunden für Sie verarbeitet – also auch dann, wenn Sie für die Übermittlung selbst ein Portal oder einen Cloud-Dienst eines Anbieters nutzen. Der gewählte Übermittlungsweg ist insofern nicht nur eine technische, sondern auch eine vertragliche Frage.
Wohin gehen die Daten geografisch?
Verlassen die Daten den europäischen Wirtschaftsraum, kommt ein zusätzliches Regelwerk hinzu. Die Artikel 44 ff. DSGVO regeln die Übermittlung in Drittländer. Zulässig ist sie insbesondere dann, wenn für das Zielland ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt oder geeignete Garantien wie Standardvertragsklauseln (SCC) vereinbart sind, gegebenenfalls ergänzt um zusätzliche Schutzmaßnahmen.
Die Übermittlung in die USA ist hier ein eigener Prüfpunkt, weil die rechtlichen Grundlagen für Transatlantik-Transfers wiederholt Gegenstand von Anpassungen waren. Wer personenbezogene Daten an US-Empfänger oder an Dienste mit US-Bezug übermittelt, sollte den aktuellen Stand der Angemessenheitsgrundlage und die konkrete Zertifizierung des Empfängers prüfen, statt sich auf eine frühere Rechtslage zu verlassen. Auch der Serverstandort eines genutzten Übermittlungsdienstes gehört in diese Betrachtung.
Welches Schutzniveau verlangt das Risiko?
Die vierte Frage führt die ersten drei zusammen. Artikel 32 DSGVO fordert ein dem Risiko angemessenes Schutzniveau – und das Risiko ergibt sich aus Datenart, Empfänger und Übermittlungsweg. Je höher die Schutzbedürftigkeit der Daten und je größer die Eintrittswahrscheinlichkeit und Schwere möglicher Schäden, desto strenger die Anforderungen an die technischen Maßnahmen. Diese Abwägung ist der Kern jeder Übermittlungsentscheidung.
Was Artikel 32 konkret verlangt
Artikel 32 bleibt bewusst technologieoffen, nennt aber Beispiele für geeignete Maßnahmen. Dazu gehören ausdrücklich die Verschlüsselung und die Pseudonymisierung personenbezogener Daten, die Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sowie ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit dieser Maßnahmen.
Damit ist eine häufige Frage zu beantworten: Müssen personenbezogene Daten verschlüsselt übermittelt werden? Ein ausnahmsloses Gebot formuliert die DSGVO nicht. In der Praxis ist Verschlüsselung bei der Übermittlung personenbezogener Daten jedoch der erwartbare Stand der Technik – und bei sensiblen Daten der besonderen Kategorien praktisch unverzichtbar, weil ein geringeres Schutzniveau dem Risiko regelmäßig nicht angemessen wäre. Aufsichtsbehörden bewerten den unverschlüsselten Versand schützenswerter Daten entsprechend kritisch.
Ein praktischer Hinweis betrifft die Schlüssel. Verschlüsselung schützt nur so gut, wie der zugehörige Schlüssel verwahrt wird; wird er über denselben Kanal wie die Daten oder unzureichend gesichert übermittelt, verpufft der Schutz. Ebenso verlangt Artikel 32 nicht eine einmalige, sondern eine fortlaufende Sicherstellung der Wirksamkeit – Maßnahmen müssen also regelmäßig überprüft und an veränderte Risiken angepasst werden.
Technische und organisatorische Maßnahmen sind dabei nicht nur Technik. Zu den organisatorischen Maßnahmen gehören Berechtigungskonzepte, Regelungen zur Empfängerprüfung, Schulungen und festgelegte Versandwege. Gerade die organisatorische Seite entscheidet darüber, ob der sichere Weg zur Voreinstellung wird oder vom Einzelfall abhängt. Wichtig ist außerdem die Unterscheidung zwischen Verschlüsselung auf dem Transportweg und durchgehender Verschlüsselung vom Absender bis zum Empfänger; sie wird in Ende-zu-Ende- vs. Transportverschlüsselung vertieft und hat unmittelbare Folgen für die Kanalwahl.
Angemessenheit heißt abstufen, nicht maximieren
Der risikobasierte Ansatz des Artikels 32 hat eine Konsequenz, die in der Praxis oft übersehen wird: Er verlangt kein Höchstmaß an Schutz für jeden Vorgang, sondern ein dem Einzelfall angemessenes Maß. Eine pauschale Maximalsicherung für jede Mitteilung ist nicht nur unwirtschaftlich, sondern kann die Akzeptanz im Alltag untergraben – und damit am Ende die Sicherheit schwächen, weil Mitarbeitende umständliche Wege umgehen, sobald diese als hinderlich empfunden werden.
Der Maßstab ist die Abstufung. Eine interne, wenig sensible Terminabsprache verlangt ein anderes Schutzniveau als die Übermittlung einer vollständigen Personalakte oder eines medizinischen Befundes. Für den ersten Fall mag eine transportverschlüsselte Verbindung genügen; für den zweiten ist sie regelmäßig unzureichend. Die Kunst der angemessenen Übermittlung liegt darin, das Schutzniveau bewusst an Datenart und Risiko zu koppeln, statt es entweder durchweg zu unterschätzen oder reflexhaft zu überspannen.
Diese Abstufung ist zugleich ein Argument für klar definierte Versandwege. Wenn für typische Fälle festgelegt ist, welcher Kanal genutzt wird – gewöhnliche, aber transportgesicherte Kommunikation für Unkritisches, ein durchgehend verschlüsselter Weg für Schützenswertes –, muss nicht bei jeder Nachricht neu abgewogen werden. Die Einzelfallprüfung bleibt für Grenzfälle reserviert, und der Regelbetrieb läuft sicher, ohne die Beteiligten zu überfordern. Eine solche Festlegung ist selbst eine organisatorische Maßnahme im Sinne des Artikels 32 und stärkt nebenbei die Nachweisbarkeit, weil das gewählte Vorgehen begründet und wiederholbar ist.
Übermittlungswege im Vergleich
Aus den vier Fragen und den Anforderungen des Artikels 32 ergibt sich keine pauschal beste, sondern eine zum Risiko passende Wahl. Die folgende Matrix stellt gängige Wege den zentralen Anforderungen gegenüber.
| Übermittlungsweg | Vertraulichkeit unterwegs | Schutz im Ruhezustand | Metadaten/Betreff geschützt | Nachweisbarkeit | Eignung für sensible Daten |
|---|---|---|---|---|---|
| Unverschlüsselte E-Mail | nein | nein | nein | schwach | ungeeignet |
| E-Mail mit Transportverschlüsselung (TLS) | nur teilstreckenweise | nein | nein | schwach | eingeschränkt |
| Passwortgeschützter Anhang | abhängig von Passwortkanal und -stärke | teilweise | nein | schwach | eingeschränkt |
| Ende-zu-Ende-verschlüsselte E-Mail (PGP/S/MIME) | ja | ja | Betreff bleibt offen | mittel | geeignet, aber beidseitig voraussetzungsvoll |
| Sicherer Link / Zero-Knowledge-Portal | ja | ja | Inhalt verlässt die E-Mail nicht | gut (Abruf protokollierbar) | geeignet |
Zwei Zeilen verdienen besondere Beachtung. Eine E-Mail mit Transportverschlüsselung schützt die Nachricht nur auf der jeweiligen Teilstrecke zwischen zwei Servern; an den Stationen und im Postfach liegt sie im Klartext. Warum das für vertrauliche Inhalte regelmäßig nicht ausreicht, behandelt der Beitrag Warum E-Mail keine sichere Datenübertragung ist im Detail. Damit ist auch die Frage beantwortet, ob TLS-verschlüsselte E-Mail genügt: für wenig sensible Mitteilungen unter Umständen ja, für schützenswerte Daten in der Regel nein.
Der untere Ansatz – ein sicherer Link statt des Inhalts selbst – kehrt die Logik um. Statt die Daten durch fremde Systeme zu schicken, bleibt der Inhalt an einem kontrollierten Ort, und der Empfänger ruft ihn über einen gesicherten Zugang ab. Bei einem zero-knowledge-basierten Verfahren kann selbst der Anbieter den Inhalt nicht entschlüsseln; die Hintergründe dazu beschreibt Zero-Knowledge erklärt. Wie sich Dateien auf diesem Weg konkret übermitteln lassen, zeigt Sicherer Dateiaustausch und One-Time-Links.
Vom richtigen Kanal zum belastbaren Nachweis
Der passende Kanal ist die halbe Miete; die andere Hälfte ist der Nachweis. Die Rechenschaftspflicht aus Artikel 5 Absatz 2 DSGVO verlangt, dass der Verantwortliche die Einhaltung der Grundsätze belegen kann. Im Prüf- oder Streitfall genügt es nicht, sicher gehandelt zu haben – man muss es zeigen können.
Belegbar wird eine Übermittlung durch mehrere zusammenwirkende Elemente: die Dokumentation der getroffenen technischen und organisatorischen Maßnahmen, das Verzeichnis von Verarbeitungstätigkeiten, vorhandene Auftragsverarbeitungsverträge mit beteiligten Dienstleistern sowie – je nach Verfahren – Protokolle über den Abruf oder die Zustellung. Genau an dieser Stelle spielen Übermittlungswege ihre Stärke aus, die einen kontrollierten Abruf dokumentieren, statt eine Nachricht ungesehen ins offene System zu entlassen.
In der Praxis bewährt sich, den Nachweis nicht erst im Ernstfall zu rekonstruieren, sondern ihn beiläufig entstehen zu lassen. Ein Versandweg, der Empfang oder Abruf automatisch protokolliert, liefert diesen Beleg ohne zusätzlichen Aufwand. Wo das Verfahren selbst dokumentiert, was wann an wen übermittelt wurde, wird die Rechenschaftspflicht vom nachträglichen Kraftakt zum Nebenprodukt des normalen Betriebs.
Damit ist die Frage nach dem Nachweis beantwortet: Konformität weisen Sie nicht durch eine einzelne verschlüsselte Datei nach, sondern durch eine nachvollziehbare Kette aus begründeter Risikoeinschätzung, dokumentierter Maßnahme und – wo möglich – technischem Beleg der tatsächlichen Übermittlung. Bei höheren Risiken kann zudem eine Datenschutz-Folgenabschätzung erforderlich werden, deren Ergebnis die Wahl der Schutzmaßnahmen stützt.
Wenn die Übermittlung scheitert
Die Kanalwahl hat eine Konsequenz, die oft erst im Schadensfall sichtbar wird. Gerät eine unzureichend geschützte Übermittlung in falsche Hände, liegt regelmäßig eine Verletzung des Schutzes personenbezogener Daten vor. Artikel 33 DSGVO verpflichtet dann zur Meldung an die zuständige Aufsichtsbehörde, grundsätzlich ohne unangemessene Verzögerung und möglichst binnen 72 Stunden nach Bekanntwerden. Bei voraussichtlich hohem Risiko für die betroffenen Personen tritt nach Artikel 34 DSGVO die Pflicht hinzu, auch diese zu benachrichtigen.
Hier zeigt sich der eigentliche Wert einer guten Übermittlungsentscheidung. Waren die Daten durchgängig verschlüsselt und der Schlüssel nicht mitbetroffen, verändert das die Risikobewertung der Panne erheblich. Eine angemessene Verschlüsselung ist damit nicht nur Pflichterfüllung im Normalbetrieb, sondern auch ein wirksames Mittel, die Folgen eines Zwischenfalls zu begrenzen.
Aus dieser Verknüpfung folgt ein praktischer Grundsatz: Die Wahl des Übermittlungswegs ist immer auch eine Vorabentscheidung über den Ernstfall. Wer von vornherein einen Weg wählt, der die Daten durchgehend verschlüsselt und einen kontrollierten Abruf protokolliert, reduziert nicht nur die Eintrittswahrscheinlichkeit einer Panne, sondern verbessert zugleich die eigene Position, falls dennoch etwas schiefgeht. Dokumentation und Verschlüsselung wirken dann zusammen – die eine belegt, was geschah, die andere begrenzt, was daraus folgen kann. Eine Meldung fällt erheblich leichter und ihre Folgen bleiben überschaubarer, wenn sich belegen lässt, dass die betroffenen Daten für Unbefugte praktisch nicht lesbar waren.
Eine Entscheidungshilfe für den Versandalltag
Die folgende Logik fasst die vier Fragen zu einem Ablauf zusammen, der sich vor jedem Versand in wenigen Sekunden durchgehen lässt:
- Handelt es sich um personenbezogene Daten? Wenn nein, gelten die folgenden Schritte nicht; wenn ja, weiter.
- Sind besondere Kategorien nach Artikel 9 betroffen oder ist der Inhalt anderweitig hoch schutzbedürftig? Wenn ja, ist durchgehende Verschlüsselung der Maßstab.
- Lässt sich die Datenmenge vor dem Versand reduzieren – durch Schwärzung, Pseudonymisierung oder Beschränkung auf das Erforderliche? Wenn ja, zuerst reduzieren.
- Ist der Empfänger Auftragsverarbeiter? Wenn ja, liegt ein Auftragsverarbeitungsvertrag vor?
- Verlassen die Daten den EWR? Wenn ja, ist eine geeignete Grundlage für den Drittlandtransfer gegeben?
- Erfüllt der gewählte Weg das nötige Schutzniveau in Ruhe und unterwegs – nicht nur auf einer Teilstrecke?
- Ist die Entscheidung dokumentiert und der Vorgang im Zweifel belegbar?
Bleibt eine dieser Fragen offen, ist nicht der Versand das nächste, sondern die Klärung. Eine solche Ablauflogik verlagert die Verantwortung von der spontanen Einzelentscheidung hin zu einem wiederholbaren Verfahren – und genau das ist es, was die Rechenschaftspflicht im Kern verlangt.
Fazit
Die DSGVO schreibt kein Produkt und keine Technologie für den Versand personenbezogener Daten vor. Sie verlangt eine begründbare, dem Risiko angemessene Entscheidung und deren Nachweis. Wer Datenart, Empfängerrolle, geografisches Ziel und erforderliches Schutzniveau systematisch prüft, kommt nahezu zwangsläufig zu einem geeigneten Weg – und kann ihn im Prüffall verteidigen.
Für schützenswerte Daten führt diese Prüfung regelmäßig weg von der gewöhnlichen E-Mail und hin zu Verfahren mit durchgehender Verschlüsselung und kontrolliertem, belegbarem Abruf. Der entscheidende Schritt ist organisatorischer Natur: den sicheren Weg zur Voreinstellung zu machen, statt ihn dem Gedächtnis einzelner Mitarbeitender im Einzelfall zu überlassen. So wird aus „sicher versenden" kein Vorsatz, sondern ein nachweisbarer Standard.
Immer auf dem Laufenden.
Neue Artikel zu Datenschutz, Compliance und sicherer Datenweitergabe – direkt in Ihr Postfach. Kein Spam, jederzeit abbestellbar.
Alle Funktionen entdeckenBlog-Updates erhalten
Melden Sie sich an und verpassen Sie keinen neuen Beitrag.
Mit der Anmeldung stimmen Sie unserer Datenschutzerklärung zu.