Worum geht's?
Mit der DSGVO kamen 2018 zahlreiche Datenschutzregelungen, die Unternehmen schnellstmöglich umsetzen mussten. Denn bei Missachtung drohen hohe Bußgelder. Doch wie sieht es bei E-Mails aus? Sind Sie laut Datenschutzgrundverordnung dazu verpflichtet, geschäftliche E-Mails zu verschlüsseln? Was ist besser: Eine Inhalts- oder eine Transportverschlüsselung? Gibt es bezüglich der E-Mail-Verschlüsselung rechtliche Klarheit oder nur vage Empfehlungen der Datenschutzbehörden? Wir klären Sie in unserem Artikel auf.
1. Ist laut DSGVO E-Mail-Verschlüsselung Pflicht?
Prinzipiell gilt, dass die Datenschutzgrundverordnung (auch Datenschutz-Grundverordnung, kurz: DS-GVO oder DSGVO) in Sachen E-Mail-Verkehr nicht viel Neues mit sich gebracht hat. Unternehmen wurde zuvor schon nach dem Bundesdatenschutzgesetz empfohlen, dass sie E-Mails mit personenbezogenen Daten an den E-Mail-Empfänger verschlüsseln. Eine gesetzliche Pflicht zum Verschlüsseln von E-Mails besteht aber nicht.
Tipp: Eine E-Mail-Verschlüsselung ist empfehlenswert, aber nicht verpflichtend.
Personenbezogene Daten liegen vor, wenn Sie in der E-Mail den Namen und die Anschrift des Empfängers nennen. Aber auch andere Daten sind personenbezogen, beispielsweise:
- sexuelle Orientierung,
- ethnische Herkunft,
- politische Meinung,
- biometrische Daten,
- religiöse Überzeugung,
- Informationen über den Gesundheitszustand
Verschlüsseln Sie eine E-Mail mit personenbezogenen Daten nicht, gehen Sie das Risiko ein, dass andere Personen die E-Mail unbefugt mitlesen. Eine nicht verschlüsselte E-Mail ist ungefähr so öffentlich wie eine Postkarte. Folgende Unternehmensbereiche sollten auf E-Mail-Verschlüsselung setzen:
- Arztpraxis
- Anwaltskanzlei
- Psychologen
- Apotheker
- Steuerberater
Diese Geheimnisträger sollten jede E-Mail verschlüsseln, da sie sich sonst Risiken aussetzen. Zu dieser Einschätzung gelangt zumindest der Sächsische Datenschutzbeauftragte Andreas Schurig in seinem 8. Tätigkeitsbericht. Er stuft eine fehlende Verschlüsselung von E-Mails in solchen Situationen sogar als Straftat nach § 203 Strafgesetzbuch ein.
Für Unternehmen empfiehlt es sich schon aus naheliegenden Gründen, dass sie Dateien verschlüsseln. Verletzen Sie datenschutzrechtliche Vorgaben, müssen Sie die Datenschutzbehörden und die betroffenen Personen innerhalb von 72 Stunden darüber informieren. Versendeten Sie die E-Mails verschlüsselt, entfällt die Meldepflicht gegenüber der betroffenen Person. Verschicken Sie verschlüsselte E-Mails, ersparen Sie sich die „Schmach“, dass Sie oder Ihr Datenschutzbeauftragter Ihre Kunden über eine sogenannte Datenpanne informieren müssen.
2. Wie funktioniert die E-Mail-Verschlüsselung? Sichere E-Mails mit Inhalts- und Transportverschlüsselung
Sie möchten personenbezogene Daten per E-Mail verschlüsseln? Dann sollten Sie die grundlegenden Verschlüsselungsmethoden zur IT-Sicherheit und ihre Besonderheiten kennen. Als Orientierungshilfe: Bei der E-Mail-Verschlüsselung gibt es die Transportverschlüsselung und die Inhaltsverschlüsselung.
Transportverschlüsselung: Sie schicken eine sichere E-Mail durch einen „verschlüsselten Tunnel“. Die E-Mail liegt bei Absender und Empfänger entschlüsselt vor, auf dem Weg, also bei der Übermittlung, ist sie aber unlesbar.
Inhaltsverschlüsselung (Ende-zu-Ende-Verschlüsselung): Die Meta-Informationen der E-Mail, sprich Absender, Empfänger und Betreff, sind weiterhin lesbar. Ihr restlicher Inhalt ist verschlüsselt.
Bei einer Transportverschlüsselung ist die E-Mail nur auf dem Transportweg verschlüsselt. Sie befindet sich vor und nach dem Transport unverschlüsselt auf dem Server. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) weist deshalb darauf hin, dass die TLS-Verschlüsselung ein „notwendiger Baustein“ für die elektronische Kommunikation ist.
PRAXIS-TIPP
Sie ist aber kein Ersatz für eine Ende-zu-Ende-Verschlüsselung, sprich eine Inhaltsverschlüsselung. Um einen bestmöglichen Sicherheitsstandard zu gewährleisten, kombinieren Sie am besten beide Verschlüsselungsarten.
Bei der Inhaltsverschlüsselung ist das Standardprotokoll OpenPGP für die PGP Verschlüsselung sowie das Protokoll S/MIME Verschlüsselung gebräuchlich. Weit verbreitet sind auch die RMS (Microsoft Rights Management Services). Sie eignen sich für die Azure Cloud und für den On-Premises-Einsatz. Für die Transportverschlüsselung ist das Standardprotokoll TLS (Transport Layer Security) üblich. Dieses ist vielen noch unter dem früheren Namen SSL (Secure Socket Layer) geläufig (SSL-Verschlüsselung).
3. E-Mail-Verschlüsselung per TLS: Worauf müssen Sie hier achten?
Sie verschlüsseln per TLS? Dann wählen Sie eine (eigentlich) sichere Datenschutz-Verschlüsselung für die E-Mail. Viele Absender denken, dass sie per TLS verschlüsseln: Dies trifft aber oftmals überhaupt nicht zu. Neben anderen wichtigen Schutzmaßnahmen schreibt die Datenschutzgrundverordnung vor, dass Sie die Verschlüsselung der personenbezogenen Daten nachweisen müssen, vgl. Art. 5 I, II DSGVO:
„Der Verantwortliche ist für die Einhaltung des Absatzes I verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“
Wir empfehlen Ihnen, dass Sie die Zertifikate von einem offiziellen Trustcenter ausstellen lassen. Ansonsten ist die E-Mail-Sicherheit durch „Man-in-the-Middle“-Angriffe gefährdet. Ist ein TLS-Zertifikat erst einmal eingerichtet, läuft es zuverlässig. In den folgenden Situationen ist die Verschlüsselung dann aber wieder unsicher:
- Sie tauschen einen Server aus.
- Sie oder eine Gegenstelle passen die Konfiguration an.
- Ein Zertifikat verliert an Gültigkeit.
- Die Gegenstelle erkennt ein Zertifikat nicht an.
AUFGEPASST
Denken Sie daran, dass Sie eine TLS-Verschlüsselung richtig konfigurieren müssen. Viele Absender setzen den Haken bei „Optional TLS“. Die Verschlüsselungssoftware verschlüsselt die E-Mail dann aber nur, wenn dies möglich ist. Ansonsten übermittelt die Software die E-Mail unverschlüsselt.
Stellen Sie deshalb unbedingt auf „Mandatory TLS“ um. Die Software versendet die E-Mail bei der Verarbeitung dann im Zweifelsfall nicht und informiert Sie darüber. Mit einem Secure E-Mail-Gateway setzen Sie TLS flächendeckend um. Da hier verschiedene Verschlüsselungsverfahren möglich sind, stellt der Gateway eine verschlüsselte Kommunikation sicher.
Das Protokoll TLS eignet sich - aus den oben genannten Gründen - nicht für eine spontane und wechselnde E-Mail-Kommunikation, beispielsweise im B2C-Geschäft. Hier empfehlen sich eher passwortbasierte Verfahren.
4. Welche Schnittstellen sollten Sie zur Verschlüsselung einrichten?
Sie haben eine Transportverschlüsselung oder Inhaltsverschlüsselung eingerichtet? Dann sind Sie mit diesen Maßnahmen rechtlich auf der sicheren Seite. Sie möchten nun eine ganzheitliche Verschlüsselungslösung für Ihr Unternehmen aufbauen?
Dann richten Sie Schnittstellen zu Sicherheitssoftware wie Data Loss Prevention Tools und Virenscannern ein. Das System benötigt solche Schnittstellen. Ansonsten ist die Software nicht dazu fähig, den Inhalt der E-Mail-Nachrichten zu scannen. Auch das Archivsystem benötigt Zugriff auf den Klartext, um die E-Mails zu indizieren. Verschlüsseln Sie auch interne und automatisierte Mails.
5. Welche Probleme treten bei der E-Mail-Verschlüsselung in der Praxis auf?
Sie richten eine E-Mail-Verschlüsselung ein und diese funktioniert beim Mailversand tadellos? Achten Sie darauf, dass Sie eine ganzheitliche Lösung schaffen. Komplizierte Lösungen taugen nicht viel; Ihre Mitarbeiter vernachlässigen die Umsetzung gerne.
Viele Mitarbeiter versenden E-Mails über ihr Smartphone: Die Verschlüsselung muss auch hier funktionieren. Es nützt nichts, wenn die Technik auf dem Computer funktioniert, beim Versand über das Smartphone aber weiterhin Sicherheitslücken bestehen. Problematisch wird es, wenn Sie ein System nutzen, das nicht sonderlich kompatibel ist.
Tipp: Wählen Sie eine Verschlüsselungsmethode, die gängige Plattformen, Server und E-Mail-Clients unterstützt.
Stellen Sie die IT-Infrastruktur um, sind Sie auch später gut gerüstet. Gängige Lösungen wie PGP und S/MIME erfordern Zertifikate und Schlüssel: Dazu benötigen Sie ein wenig technisches Wissen und eine entsprechende Infrastruktur. Für KMUs bieten sich eventuell Gateway-Lösungen an. Darüber verschlüsseln und signieren sie E-Mails automatisch und zentral auf dem Server.
Für KMUs sind Gateway-Lösungen aber nur in Einzelfällen empfehlenswert. Sie sind mit einem hohen Konfigurationsaufwand verbunden. Außerdem schützen E-Mail-Gateways nicht unbedingt die unternehmensinterne E-Mail-Kommunikation. Deshalb müssen Sie hier eine weitere Lösung implementieren.
KANZLEI SIEBERT LEXOW
Denken Sie daran, dass Sie E-Mails archivieren müssen. Legen Sie die E-Mails verschlüsselt ab, finden Sie diese nur schwer wieder. Die Suchfunktion benötigt den Klartext, der bei verschlüsselten E-Mails nicht abrufbar ist. Sollten Sie sich für eine Verschlüsselungslösung entscheiden, sollte diese deshalb auch Schnittstellen für Journal- und Archivsysteme bieten.
Unternehmen sollten sich durch Rechtsanwälte und IT-Experten beraten lassen. Kontaktieren Sie unsere Partnerkanzlei Siebert Lexow bei weiteren Fragen rund um die DSGVO und den sicheren E-Mail-Versand:
6. Sonderfälle: Hier lauern DSGVO-Fallen
Stellen Sie bei besonders sensiblen Daten, etwa bei Betriebs- und Geschäftsgeheimnissen, eine hohe Geheimhaltung sicher. Es ist zwar wünschenswert, wenn Sie über Schnittstellen Spam, Malware & Co. erkennen. Allerdings sollten Sie vorrangig sicherstellen, dass niemand Kenntnis von den E-Mails erlangt. Dazu eignet sich eine Ende-zu-Ende-Verschlüsselung (Inhaltsverschlüsselung).
Wir haben Sie bereits darauf hingewiesen, dass die gewählte Verschlüsselungslösung auch die Cloud und mobile Endgeräte wie Smartphones und Tablets einbeziehen soll. Beachten Sie, dass nicht nur Menschen E-Mails versenden. Es gibt Applikationen, die E-Mails automatisch versenden. In diesen E-Mails befinden sich manchmal personenbezogene Daten, die Sie schützen müssen.
Dabei handelt es sich beispielsweise um automatisierte Rechnungen, Lieferscheine und Lohnabrechnungen. Die meisten Applikationen sind nicht darauf ausgelegt, E-Mails zu verschlüsseln. Einige E-Mail-Anbieter bieten DSGVO-konforme Updates an, bei der Software anderer Anbieter müssen Sie manuell nachbessern. Achten Sie also darauf, für welchen E-Mail-Client Sie sich entscheiden.
7. Checkliste: So funktioniert die datenschutzkonforme E-Mail-Verschlüsselung
Sie möchten eine E-Mail-Verschlüsselung, wie die DSGVO empfiehlt, einrichten? Dann beherzigen Sie die folgenden Ratschläge:
- Eine E-Mail-Verschlüsselung zum Datenschutz ist empfehlenswert, sollten Sie personenbezogene Daten übermitteln.
- Eine kombinierte Inhalts- und Transportverschlüsselung bietet eine bestmögliche Verschlüsselung.
- Achtung: Geheimnisträger, die E-Mails unverschlüsselt versenden, gehen besondere Risiken ein.
8. FAQ: Die 12 wichtigsten Fragen zum Datenschutz & E-Mail Verschlüsselung
9. Fazit
Das Thema Datenschutz und E-Mail-Verschlüsselung ist sehr komplex und rechtlich kompliziert. Überlassen Sie die uns die komplizierten Themen. Unsere Kanzlei Siebert Lexow bietet ein Datenschutzaudit für Ihr Unternehmen an. Die Rechtsanwälte prüfen die Datenschutzkonformität in Ihrer Firma und merzen gemeinsam mit Ihnen Probleme aus. Kontaktieren Sie jetzt die Kanzlei Siebert Lexow.
- Zurück zur Übersicht: "Datenschutz"
- E-Mail-Signatur und Pflichtangaben laut DSGVO
- Aufbewahrungspflichten für E-Mails laut DSGVO
- Double-Opt-In-Verfahren
Alles, was Sie wissen müssen
Doch auch bei der Verwendung von Daten aus öffentliche n Quellen trifft einen die Informationspfl icht nach Art. 14, z.B. meines Erachtens auch bei der Verwendung öffentliche r Schlüssel.
Zweck des Datenschutzes ist ja die informationelle Selbstbestimmun g. Daher muss ich immer informiert, wer meine Daten verarbeitet um die Betroffenenrech te ausüben zu können - im Beispiel Aktualisierung oder Widerruf von Schlüsseln. Leider gibt es hier bei PGP im Gegensatz zu S/MIME kein allgemein funktionierende s Erneuerungs- oder Widerrufsverfah ren.