Jetzt Mitglied werden!
eRecht24.de

Datenschutz & E-Mail-Verschlüsselung

Wann müssen Sie im Unternehmen laut DSGVO Ihre E-Mails verschlüsseln?

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(49 Bewertungen, 3.06 von 5)

Das Wichtigste in Kürze

  • Eine E-Mail-Verschlüsselung sorgt dafür, dass personenbezogene Daten in Mails nicht von jedem gelesen werden können.
  • Laut DSGVO ist die E-Mail-Verschlüsselung keine Pflicht, wird aber dringend empfohlen.
  • Kommt es zu Datenpannen beim Mailverkehr, kann eine Meldung an die Aufsichtsbehörde und eine Benachrichtigung des Betroffenen erforderlich sein.
Ich möchte mich umfassend informieren Ich möchte meine Website absichern

Worum geht's?

Mit der DSGVO kamen 2018 zahlreiche Datenschutzregelungen, die Unternehmen schnellstmöglich umsetzen mussten. Denn bei Missachtung drohen hohe Bußgelder. Doch wie sieht es bei E-Mails aus? Sind Sie laut Datenschutzgrundverordnung dazu verpflichtet, geschäftliche E-Mails zu verschlüsseln? Wir klären Sie in unserem Artikel auf.

 

1. Ist laut DSGVO eine E-Mail-Verschlüsselung Pflicht?

Prinzipiell gilt, dass die Datenschutz-Grundverordnung (kurz: DS-GVO) in Sachen E-Mail-Verkehr nicht viel Neues mit sich gebracht hat. Unternehmen wurde zuvor schon nach dem Bundesdatenschutzgesetz empfohlen, dass sie E-Mails mit personenbezogenen Daten an den E-Mail-Empfänger verschlüsseln. Eine gesetzliche Pflicht zum Verschlüsseln von E-Mails besteht aber nicht.

Tipp: Eine E-Mail-Verschlüsselung ist empfehlenswert, aber nicht verpflichtend.

Sören Siebert
Sören SiebertRechtsanwalt

Personenbezogene Daten liegen vor, wenn Sie in der E-Mail den Namen und die Anschrift des Empfängers nennen. Aber auch das Alter und die Personalausweisnummer zählen dazu. Besondere Kategorien personenbezogener Daten sind:

  • sexuelle Orientierung,
  • ethnische Herkunft,
  • politische Meinung,
  • biometrische Daten,
  • religiöse Überzeugung,
  • Informationen über den Gesundheitszustand

Verschlüsseln Sie eine E-Mail mit personenbezogenen Daten nicht, gehen Sie das Risiko ein, dass andere Personen die E-Mail unbefugt mitlesen. Eine nicht verschlüsselte E-Mail ist ungefähr so öffentlich wie eine Postkarte.

Die DS-GVO fordert geeignete Maßnahmen, um ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten. Hierdurch wird eine Verschlüsselung quasi Pflicht, da diese als geeignete technische Maßnahme zählt. Als Mindeststandard gilt hier die Transportverschlüsselung, da diese einen Basisschutz bietet und Verarbeitungssituationen mit einem normalen Risiko gerecht wird.

Geht es um besondere Kategorien personenbezogener Daten, wie Gesundheitsdaten oder biometrische Daten, wird eine Verschlüsselung dringend empfohlen. Hier sollte neben einer Transportverschlüsselung auf eine Inhaltsverschlüsselung wie die Ende-zu-Ende-Verschlüsselung gesetzt werden, um durchgreifenden Schutz zu gewährleisten. Denn bei der Abwägung, welche Maßnahmen geeignet sind, ist die Schwere des Risikos zu berücksichtigen, welches bei besonderen Kategorien personenbezogener Daten höher ist. Folgende Unternehmensbereiche sind betroffen:

  • Arztpraxis
  • Anwaltskanzlei
  • Psychologen
  • Apotheker
  • Steuerberater

2. Wie funktioniert die E-Mail-Verschlüsselung?

Sie möchten personenbezogene Daten per E-Mail verschlüsseln? Dann sollten Sie die grundlegenden Verschlüsselungsmethoden zur IT-Sicherheit und ihre Besonderheiten kennen. Als Orientierungshilfe erklären wir kurz und knapp die verschiedenen Verschlüsselungsmethoden:

Transportverschlüsselung: Sie schicken eine sichere E-Mail durch einen „verschlüsselten Tunnel“. Die E-Mail liegt bei Absender und Empfänger entschlüsselt vor, auf dem Weg, also bei der Übermittlung, ist sie aber unlesbar.

Inhaltsverschlüsselung (Ende-zu-Ende-Verschlüsselung): Die Meta-Informationen der E-Mail, sprich Absender, Empfänger und Betreff, sind weiterhin lesbar. Ihr restlicher Inhalt ist verschlüsselt.

Bei einer Transportverschlüsselung ist die E-Mail nur auf dem Transportweg verschlüsselt. Sie befindet sich vor und nach dem Transport unverschlüsselt auf dem Server. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) weist deshalb darauf hin, dass die TLS-Verschlüsselung ein „notwendiger Baustein“ für die elektronische Kommunikation ist.

Bei der Inhaltsverschlüsselung ist das Standardprotokoll OpenPGP für die PGP Verschlüsselung sowie das Protokoll S/MIME Verschlüsselung gebräuchlich. Weit verbreitet sind auch die RMS (Microsoft Rights Management Services). Sie eignen sich für die Azure Cloud und für den On-Premises-Einsatz. Für die Transportverschlüsselung ist das Standardprotokoll TLS (Transport Layer Security) üblich. Dieses ist vielen noch unter dem früheren Namen SSL (Secure Socket Layer) geläufig (SSL-Verschlüsselung).

3. E-Mail-Verschlüsselung per TLS: Worauf müssen Sie hier achten?

Sie verschlüsseln per TLS? Dann wählen Sie eine (eigentlich) sichere Datenschutz-Verschlüsselung für die E-Mail. Viele Absender denken, dass sie per TLS verschlüsseln: Dies trifft aber oftmals überhaupt nicht zu. Neben anderen wichtigen Schutzmaßnahmen schreibt die Datenschutzgrundverordnung (DS-GVO) vor, dass Sie die Verschlüsselung der personenbezogenen Daten nachweisen müssen, vgl. Art. 5 II DS-GVO:

„Der Verantwortliche ist für die Einhaltung des Absatzes I verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“

Wir empfehlen Ihnen, dass Sie die Zertifikate von einem offiziellen Trustcenter ausstellen lassen. Ansonsten ist die E-Mail-Sicherheit durch „Man-in-the-Middle“-Angriffe gefährdet. Ist ein TLS-Zertifikat erst einmal eingerichtet, läuft es zuverlässig. In den folgenden Situationen ist die Verschlüsselung dann aber wieder unsicher:

  • Sie tauschen einen Server aus.
  • Sie oder eine Gegenstelle passen die Konfiguration an.
  • Ein Zertifikat verliert an Gültigkeit.
  • Die Gegenstelle erkennt ein Zertifikat nicht an.

AUFGEPASST

Denken Sie daran, dass Sie eine TLS-Verschlüsselung richtig konfigurieren müssen. Viele Absender setzen den Haken bei „Optional TLS“. Die Verschlüsselungssoftware verschlüsselt die E-Mail dann aber nur, wenn dies möglich ist. Ansonsten übermittelt die Software die E-Mail unverschlüsselt.

Stellen Sie deshalb unbedingt auf „Mandatory TLS“ um. Die Software versendet die E-Mail bei der Verarbeitung dann im Zweifelsfall nicht und informiert Sie darüber. Mit einem Secure E-Mail-Gateway setzen Sie TLS flächendeckend um. Da hier verschiedene Verschlüsselungsverfahren möglich sind, stellt der Gateway eine verschlüsselte Kommunikation sicher.

Das Protokoll TLS eignet sich - aus den oben genannten Gründen - nicht für eine spontane und wechselnde E-Mail-Kommunikation, beispielsweise im B2C-Geschäft. Hier empfehlen sich eher passwortbasierte Verfahren.

PRAXIS-TIPP

Denken Sie daran, Schnittstellen zu Sicherheitssoftware wie Data Loss Prevention Tools und Virenscannern einzurichten. Das System benötigt solche Schnittstellen. Ansonsten ist die Software nicht dazu fähig, den Inhalt der E-Mail-Nachrichten zu scannen. Auch das Archivsystem benötigt Zugriff auf den Klartext, um die E-Mails zu indizieren. Verschlüsseln Sie auch interne und automatisierte Mails.

4. Welche Probleme treten bei der Verschlüsselung von E-Mails in der Praxis auf?

Viele Mitarbeiter versenden E-Mails über ihr Smartphone: Die Verschlüsselung muss auch hier funktionieren. Es nützt nichts, wenn die Technik auf dem Computer funktioniert, beim Versand über das Smartphone aber weiterhin Sicherheitslücken bestehen. Problematisch wird es, wenn Sie ein System nutzen, das nicht kompatibel ist.

Tipp: Wählen Sie eine Verschlüsselungsmethode, die von gängigen Plattformen, Server und E-Mail-Clients unterstützt wird.

Sören Siebert
Sören SiebertRechtsanwalt

Stellen Sie die IT-Infrastruktur um, sind Sie auch später gut gerüstet. Gängige Lösungen wie PGP und S/MIME erfordern Zertifikate und Schlüssel: Dazu benötigen Sie ein wenig technisches Wissen und eine entsprechende Infrastruktur.

Für KMUs bieten sich eventuell Gateway-Lösungen an. Darüber verschlüsseln und signieren sie E-Mails automatisch und zentral auf dem Server. Für KMUs sind Gateway-Lösungen aber nur in Einzelfällen empfehlenswert. Denn sie sind mit einem hohen Konfigurationsaufwand verbunden. Außerdem schützen E-Mail-Gateways nicht unbedingt die unternehmensinterne E-Mail-Kommunikation. Deshalb müssen Sie hier eine weitere Lösung implementieren.

Sonderfälle: Hier lauern DS-GVO-Fallen

Stellen Sie bei besonders sensiblen Daten, etwa bei Betriebs- und Geschäftsgeheimnissen, eine hohe Geheimhaltung sicher. Es ist zwar wünschenswert, wenn Sie über Schnittstellen Spam, Malware & Co. erkennen. Allerdings sollten Sie vorrangig sicherstellen, dass niemand Kenntnis von den E-Mails erlangt. Dazu eignet sich eine Ende-zu-Ende-Verschlüsselung (Inhaltsverschlüsselung).

Wir haben Sie bereits darauf hingewiesen, dass die gewählte Verschlüsselungslösung auch die Cloud und mobile Endgeräte wie Smartphones und Tablets einbeziehen soll. Beachten Sie, dass nicht nur Menschen E-Mails versenden. Es gibt Applikationen, die E-Mails automatisch versenden. In diesen E-Mails befinden sich manchmal personenbezogene Daten, die Sie schützen müssen.

Dabei handelt es sich beispielsweise um automatisierte Rechnungen, Lieferscheine und Lohnabrechnungen. Die meisten Applikationen sind nicht darauf ausgelegt, Emails zu verschlüsseln. Einige E-Mail-Anbieter bieten DSGVO-konforme Updates an, bei der Software anderer Anbieter müssen Sie manuell nachbessern.

Bei der Umsetzung der Anforderungen im Datenschutzrecht und insbesondere beim Mailversand gibt es viel zu beachten. Die Notwendigkeit von Verschlüsselungen und welche Möglichkeiten Ihnen zur Verfügung stehen, haben wir Ihnen in diesem Artikel aufgezeigt.

Bei der Implementierung in Ihrem Unternehmen kann ein Datenschutzbeauftragter helfen. Ein Datenschutzbeauftragter kennt sich mit den Anforderungen der DS-GVO aus und ist im Datenschutzrecht auf dem aktuellsten Stand. In einigen Fällen besteht sogar eine Pflicht für Sie als Verantwortlichen, einen internen oder externen Datenschutzbeauftragten zu bestellen.

Unser Partnerunternehmen Legaltrust unterstützt Sie in datenschutzrechtlichen Belangen wie Verschlüsselungen, der Erstellung von Datenschutzkonzepten und bei der Kommunikation mit Datenschutzbehörden. Auf Wunsch wird Ihnen zudem ein externer Datenschutzbeauftragter zur Verfügung gestellt.

LEGALTRUST KONTAKTIEREN

LEGALTRUST

Unser Partnerunternehmen Legaltrust identifiziert datenschutzrechtliche Schwachstellen, konzipiert Lösungen, begleitet Sie bei der praktischen Umsetzung und sorgt für nachhaltigen Datenschutz in Ihrem Unternehmen – kompetent, praxisnah und verständlich.
LEGALTRUST KONTAKTIEREN

5. Checkliste: So funktioniert die datenschutzkonforme E-Mail-Verschlüsselung

Checkliste für datenschutzkonforme E-Mail-Verschlüsselung
Unsere Tipps für eine DSGVO-konforme E-Mail-Verschlüsselung
  • Übermitteln Sie per E-Mail Nachrichten personenbezogene Daten, sollten Sie diese verschlüsseln.
  • Passen Sie die Maßnahmen entsprechend des Risikos für die Betroffenen an. Besondere Kategorien personenbezogener Daten benötigen ein höheres Schutzniveau.
  • Eine kombinierte Inhalts- und Transportverschlüsselung bietet eine bestmögliche Verschlüsselung.
  • Achtung: Geheimnisträger, die E-Mails unverschlüsselt versenden, gehen besondere Risiken ein.

6. Fazit

Das Thema Datenschutz und E-Mail-Verschlüsselung ist sehr komplex und rechtlich kompliziert. Auch wenn es keine Pflicht zur Verschlüsselung gibt, sollten Sie diese umsetzen. Denn Sie sind verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, wenn Sie personenbezogene Daten verarbeiten.

Eine Transportverschlüsselung wird heute als Standardmaßnahme angesehen. Mit unserem Datenschutz-Managementsystem DatenschutzPro können Sie eine Liste der zum Einsatz kommenden technischen und organisatorischen Maßnahmen in Ihrem Unternehmen zusammenstellen. So können Sie Ihrer Rechenschaftspflicht nachkommen und Ihre Bemühungen gegenüber den Aufsichtsbehörden nachweisen.

JETZT DATENSCHUTZ ABSICHERN

DatenschutzPro

Verwalten Sie Ihren Datenschutz mit unserer Datenschutz-Managementlösung DatenschutzPro:
  • Behalten Sie den Überblick über den Datenschutz in Ihrem Unternehmen
  • Erstellen Sie die wichtigsten Datenschutzdokumente an einem Ort
  • Intuitive und zeitsparende Bedienung
  • Datenschutzbeauftragter auf Wunsch zubuchbar
JETZT DATENSCHUTZ ABSICHERN

Benötigen Sie Unterstützung bei den Themen IT-Sicherheit und Datenschutz, bietet Ihnen unser Partnerunternehmen Legaltrust kompetente Lösungen für Ihr Unternehmen.

LEGALTRUST KONTAKTIEREN

LEGALTRUST

Unser Partnerunternehmen Legaltrust identifiziert datenschutzrechtliche Schwachstellen, konzipiert Lösungen, begleitet Sie bei der praktischen Umsetzung und sorgt für nachhaltigen Datenschutz in Ihrem Unternehmen – kompetent, praxisnah und verständlich.
LEGALTRUST KONTAKTIEREN

7. FAQ

1. Ist eine E-Mail-Verschlüsselung Pflicht?

Nach der DS-GVO gibt es keine direkte Pflicht, eine E-Mail-Verschlüsselung zu implementieren. Allerdings sind sich Datenschutzkonferenz und Datenschutzbehörden einig, dass eine Transportverschlüsselung eine Standardmaßnahme zum Schutz von personenbezogenen Daten darstellt. Hierdurch wird eine Verschlüsselung beim Mailversand quasi unumgänglich.

2. Was ist bezüglich der verschiedenen Endgeräte zu beachten?

Eine DS-GVO-Verschlüsselung von E-Mails ist relativ nutzlos, sollte diese nur am Desktop funktionieren. Die Verschlüsselung sollte für den DS GVO konformen E-Mail-Versand auch eine Cloud und mobile Endgeräte wie Tablets und Smartphones einbinden. Denken Sie daran, dass manche Programme automatisch E-Mails versenden. Die Verschlüsselungslösung sollte immer funktionieren – egal, welches Endgerät der Mitarbeiter einsetzt.

3. Was bedeutet Optional TLS?

Wenn Sie die Funktion „Optional TLS“ aktivieren, verschlüsselt die Software die E-Mail nur, wenn dies technisch möglich ist. Das bedeutet im Endeffekt: Die Software versendet die E-Mail oft unverschlüsselt. Wählen Sie deshalb besser die Option „Mandatory TLS“.

4. Was müssen Sie hinsichtlich des Empfängers bedenken?

Wählen Sie für eine E-Mail eine Verschlüsselung, die mit möglichst vielen Plattformen und Betriebssystemen kompatibel ist. Damit stellen Sie sicher, dass der Empfänger der E-Mail diese auch tatsächlich öffnen kann.

5. Welche Art von Verschlüsselung ist empfehlenswert?

Es gibt die Inhaltsverschlüsselung und die Transportverschlüsselung. Bei der Transportverschlüsselung verschlüsseln Sie die E-Mail während des Versands, bei Absender und Empfänger liegt die E-Mail im Klartext vor. Bei der Inhaltsverschlüsselung ist der gesamte Inhalt verschlüsselt. Die Transportverschlüsselung reicht zumeist aus. Bei besonders sensiblen Daten sollten Sie zusätzlich eine Inhaltsverschlüsselung implementieren.

6. Müssen Sie die interne Kommunikation mit einem Schlüssel sichern?

Die DS-GVO empfiehlt, dass Sie den gesamten Transportweg einer E-Mail verschlüsseln. Darunter fällt im Zweifelsfall auch die interne Kommunikation. Deshalb sollten Sie auch diese verschlüsseln.

7. Wie wirkt sich eine Verschlüsselung auf die Suchfunktion aus?

Verschlüsseln Sie eine E-Mail, kann dieser Vorgang die Suchfunktion beeinträchtigen. Die Suchfunktion benötigt den Klartext von E-Mails – ansonsten funktioniert diese nicht. Wählen Sie deshalb eine Verschlüsselungslösung, die die Suchfunktion einbezieht.

8. Welche Standardprotokolle sind üblich?

Wir empfehlen Ihnen bei einer Inhaltsverschlüsselung, dass Sie die Standardprotokolle S/MIME und OpenPGP sowie die Microsoft Rights Management Services (RMS) einsetzen. Bei der Transportverschlüsselung ist das Standardprotokoll TLS (ehemals SSL) gebräuchlich.

9. Wie sieht es mit Sicherheitsmaßnahmen aus?

Denken Sie daran, dass Virenscanner nicht auf verschlüsselte E-Mails zugreifen können. Richten Sie deshalb Schnittstellen für Ihre Sicherheitssoftware ein.

 

 

eRecht24 Praxis Guide
Rechtssichere Webseiten:
Alles, was Sie wissen müssen
In unserem Guide erklären wir Ihnen in 12 Schritten, wie Sie eine Website rechtssicher erstellen - von der Wahl des Domainnamens über Impressum und Datenschutzerklärung bis hin zu E-Mail- und Newslettermarketing.
Guide jetzt kostenfrei herunterladen!

Name: Bitte Name angeben.

E-Mail-Adresse: Bitte korrekte E-Mail-Adresse angeben.

Ja, bitte senden Sie mir den kostenfreien Guide zu. Ich bin damit einverstanden, dass eRecht24 mir regelmäßig aktuelle Rechts-Updates, Praxistipps und Angebote aus den Bereichen Datenschutz und Internetrecht per E-Mail zusendet. Ich kann jederzeit form- und kostenlos widersprechen. Näheres entnehmen Sie unserer Datenschutzerklärung.
Vielen Dank!
Wir nehmen es mit dem Schutz Ihrer Daten genau und halten uns an die rechtlichen Vorgaben des Double-Opt-In. Bitte bestätigen Sie zuerst Ihre E-Mail-Adresse. Dann stellen wir Ihnen den Guide kostenfrei zur Verfügung.
Tipp: In unseren Premium-Paketen stehen Ihnen mehr als 10 praktische Guides mit Handlungsempfehlungen und passenden Generatoren und Tools zu verschiedenen Themen (Datenschutz, Urheberrecht, Marketing & Co.) kostenfrei zur Verfügung. Die Premium Praxis Guides werden sie regelmäßig aktualisiert, damit Sie stets auf dem neuesten Stand sind.
Katharina Steinröder
Katharina Steinröder, Ass. jur.
Legal Writerin

Katharina Steinröder ist Volljuristin und seit 2023 als Legal Writerin Teil des Redaktionsteams von eRecht24. Während Ihres Studiums hat sie sich vertieft mit strafrechtlichen Themen auseinandergesetzt. Bei eRecht24 schreibt sie vor allem Inhalte mit Bezug zum Internet- und Datenschutzrecht. Zusätzlich zu Ihrer Tätigkeit als Legal Writerin arbeitet sie als nebenamtliche Dozentin im öffentlichen Recht.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details