Die DSGVO und die E-Mail-Verschlüsselung

(3 Bewertungen, 5.00 von 5)

Die DSGVO trat am 25. Mai 2018 in Kraft. Unternehmen sind dazu verpflichtet, ihre Vorgaben umzusetzen. Ansonsten drohen hohe Bußgelder und Abmahnungen durch Mitbewerber. Doch wie sieht es bei E-Mails aus? Sind Sie laut Datenschutzgrundverordnung dazu verpflichtet, geschäftliche E-Mails zu verschlüsseln? Was ist besser: Eine Inhalts- oder eine Transportverschlüsselung? Gibt es bezüglich der E-Mail-Verschlüsselung schon rechtliche Klarheit oder nur vage Empfehlungen der Datenschutzbehörden?

 

Inhaltsverzeichnis

  1. Ist laut DSGVO jede E-Mail zu verschlüsseln?
  2. Sichere E-Mails mit Inhalts- und Transportverschlüsselung
  3. Verschlüsselung per TLS: Worauf müssen Sie hier achten?
  4. Welche Schnittstellen sollten Sie zur Verschlüsselung einrichten?
  5. Welche Probleme treten bei der E-Mail-Verschlüsselung in der Praxis auf?
  6. Sonderfälle: Hier lauern DSGVO-Fallen
  7. Checkliste

1. Ist laut DSGVO jede E-Mail zu verschlüsseln?

Wie sieht es aus, wenn Sie eine E-Mail mit personenbezogenen Daten versenden? Ist nun jede E-Mail zu verschlüsseln? Prinzipiell gilt, dass die DSGVO in Sachen E-Mail-Verkehr nicht viel Neues mit sich bringt. Unternehmen sind schon nach dem Bundesdatenschutzgesetz dazu verpflichtet, E-Mails zu verschlüsseln, die personenbezogene Daten enthalten. Personenbezogene Daten liegen vor, wenn in der E-Mail Name und Anschrift des Empfängers genannt sind. Aber auch andere Daten sind personenbezogen, beispielsweise:

  • sexuelle Orientierung,
  • ethnische Herkunft,
  • politische Meinung,
  • biometrische Daten,
  • religiöse Überzeugung,
  • Informationen über den Gesundheitszustand.

Verschlüsseln Sie eine E-Mail mit personenbezogenen Daten nicht, gehen Sie das Risiko ein, dass andere Personen die E-Mail unbefugt mitlesen. Eine nicht verschlüsselte E-Mail ist ungefähr so öffentlich wie eine Postkarte.

Geheimnisträger wie Rechtsanwälte, Steuerberater, Ärzte, Psychologen und Apotheker haben sogar die Pflicht, jede E-Mail zu verschlüsseln. Dies schätzt zumindest der Sächsische Datenschutzbeauftragte Andreas Schurig in seinem 8. Tätigkeitsbericht so ein. Er stuft eine fehlende Verschlüsselung von E-Mails in solchen Situationen sogar als Straftat nach § 203 Strafgesetzbuch ein.

Für Unternehmen empfiehlt es sich schon aus naheliegenden Gründen, Dateien zu verschlüsseln. Verletzen sie datenschutzrechtliche Vorgaben, sind sie dazu verpflichtet, die Datenschutzbehörden und die betroffenen Personen innerhalb von 72 Stunden darüber zu informieren. Versendeten sie die E-Mails verschlüsselt, entfällt die Meldepflicht gegenüber der betroffenen Person. Versenden Sie verschlüsselte E-Mails, ersparen Sie sich die „Schmach“, Ihre Kunden über eine sogenannte Datenpanne zu informieren.

2. Sichere E-Mails mit Inhalts- und Transportverschlüsselung

marketingseo9

Sie möchte eine E-Mail mit personenbezogenen Daten verschlüsseln? Dann sollten Sie die grundlegenden Verschlüsselungsmethoden und ihre Besonderheiten kennen. Bei der E-Mail-Verschlüsselung gibt es die Transportverschlüsselung und die Inhaltsverschlüsselung.

Transportverschlüsselung: Sie schicken eine sichere E-Mail durch einen „verschlüsselten Tunnel“. Die E-Mail liegt bei Absender und Empfänger entschlüsselt vor, auf dem Weg ist sie aber unlesbar.

Inhaltsverschlüsselung: Die Meta-Informationen der E-Mail, sprich Absender, Empfänger und Betreff, sind weiterhin lesbar. Ihr restlicher Inhalt ist verschlüsselt.

Bei einer Transportverschlüsselung ist die E-Mail nur auf dem Transportweg verschlüsselt. Sie befindet sich vor und nach dem Transport unverschlüsselt auf dem Server. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) weist deshalb darauf hin, dass die TLS-Verschlüsselung ein „notwendiger Baustein“ für die elektronische Kommunikation ist. Sie ist aber kein Ersatz für eine Ende-zu-Ende-Verschlüsselung, sprich eine Inhaltsverschlüsselung. Um einen bestmöglichen Sicherheitsstandard zu gewährleisten, kombinieren Sie am besten beide Verschlüsselungsarten.

Bei der Inhaltsverschlüsselung ist das Standardprotokoll OpenPGP für die PGP Verschlüsselung sowie das Protokoll S/MIME gebräuchlich. Weit verbreitet sind auch die RMS (Microsoft Rights Management Services). Sie eignen sich für die Azure Cloud und für den On-Premises-Einsatz. Für die TLS Verschlüsselung ist das Standardprotokoll TLS (Transport Layer Security) üblich. Dieses ist vielen noch unter dem früheren Namen SSL (Secure Socket Layer) geläufig (SSL Verschlüsselung).

3. E-Mail-Verschlüsselung per TLS: Worauf müssen Sie hier achten?

Sie verschlüsseln per TLS? Dann wählen Sie eine (eigentlich) sichere Verschlüsselung. Viele Absender denken, dass sie per TLS verschlüsseln: Dies trifft aber oftmals überhaupt nicht dazu. Und da Sie nach der DSGVO dazu verpflichtet sind, die Verschlüsselung personenbezogener Daten nachzuweisen, gibt es hier Probleme, vgl. Art. 5 I, II DSGVO:

„Der Verantwortliche ist für die Einhaltung des Absatzes I verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist darauf hin, dass eine TLS-Verschlüsselung erst ab der Version 1.2 zuverlässig ist.
Ältere Versionen sind unsicher und verstoßen deshalb gegen die DSGVO. Wir empfehlen Ihnen, die Zertifikate von einem offiziellen Trustcenter ausstellen zu lassen. Ansonsten ist die E-Mail Sicherheit durch „Man-in-the-Middle“-Angriffe gefährdet.

Ist ein TLS-Zertifikat erst einmal eingerichtet, läuft es zuverlässig. In den folgenden Situationen ist die Verschlüsselung dann aber plötzlich wieder unsicher:

  • Sie tauschen einen Server aus.
  • Sie oder eine Gegenstelle passen die Konfiguration an.
  • Ein Zertifikat verliert an Gültigkeit.
  • Die Gegenstelle erkennt ein Zertifikat nicht an.

Denken Sie daran, eine TLS-Verschlüsselung richtig zu konfigurieren. Viele Absender setzen den Haken bei „Optional TLS“. Die Verschlüsselungssoftware verschlüsselt die E-Mail dann aber nur, wenn dies möglich ist. Ansonsten übermittelt sie die E-Mail unverschlüsselt. Stellen Sie deshalb unbedingt auf „Mandatory TLS“ um. Die Software versendet die E-Mail dann im Zweifelsfall nicht und informiert Sie darüber. Mit einem Secure E-Mail-Gateway setzen Sie TLS flächendeckend um. Da hier verschiedene Verschlüsselungsverfahren möglich sind, stellt der Gateway eine verschlüsselte Kommunikation sicher.

Das Protokoll TLS eignet sich - aus den oben genannten Gründen - nicht für eine spontane und wechselnde E-Mail-Kommunikation, beispielsweise im B2C-Geschäft. Hier empfehlen sich eher passwortbasierte Verfahren.

4. Welche Schnittstellen sollten Sie zur Verschlüsselung einrichten?

marketingseo11

Sie haben eine Transportverschlüsselung oder Inhaltsverschlüsselung eingerichtet? Dann sind Sie rechtlich auf der sicheren Seite. Sie möchten nun eine ganzheitliche Verschlüsselungslösung für Ihr Unternehmen aufbauen? Dann richten Sie Schnittstellen zu Sicherheitssoftware wie Data Loss Prevention Tools und Virenscannern ein. Das System benötigt solche Schnittstellen: Ansonsten ist die Software nicht dazu fähig, den Inhalt der E-Mail-Nachrichten zu scannen. Auch das Archivsystem benötigt Zugriff auf den Klartext, um die E-Mails zu indizieren. Verschlüsseln Sie auch interne und automatisierte Mails.

5. Welche Probleme treten bei der E-Mail-Verschlüsselung in der Praxis auf?

Sie richten eine E-Mail-Verschlüsselung ein und diese funktioniert tadellos? Achten Sie darauf, eine ganzheitliche Lösung zu schaffen. Komplizierte Lösungen taugen nicht viel; Ihre Mitarbeiter vernachlässigen sie gerne.

Viele Mitarbeiter versenden E-Mails über ihr Smartphone: Die Verschlüsselung muss auch hier funktionieren. Es nützt nichts, wenn die Technik auf dem Computer funktioniert, beim Versand über das Smartphone aber weiterhin Sicherheitslücken bestehen.

Problematisch wird es, wenn Sie ein System nutzen, das nicht sonderlich kompatibel ist. Wählen Sie eine Verschlüsselungsmethode, die gängige Plattformen, Server und E-Mail-Clients unterstützt. Stellen Sie später einmal die IT-Infrastruktur um, sind Sie auch später gut gerüstet.

Gängige Lösungen wie PGP und S/MIME erfordern Zertifikate und Schlüssel: Dazu benötigen Sie ein wenig technisches Wissen und eine entsprechende Infrastruktur. Für KMUs bieten sich eventuell Gateway-Lösungen an. Darüber verschlüsseln und signieren sie E-Mails automatisch und zentral auf dem Server. Für KMUs sind Gateway-Lösungen aber nur in Einzelfällen empfehlenswert. Sie sind mit einem hohen Konfigurationsaufwand verbunden. Außerdem schützen E-Mail-Gateways nicht unbedingt die unternehmensinterne E-Mail-Kommunikation. Deshalb müssen Sie hier eine weitere Lösung implementieren.

Unternehmen sollten sich durch Rechtsanwälte und IT-Experten beraten lassen. Denken Sie daran, dass Sie dazu verpflichtet sind, E-Mails zu archivieren. Legen Sie die E-Mails verschlüsselt ab, finden Sie diese nur schwer wieder. Die Suchfunktion benötigt den Klartext, der bei verschlüsselten E-Mails nicht abrufbar ist. Sollten Sie sich für eine Verschlüsselungslösung entscheiden, sollte diese deshalb auch Schnittstellen für Journal- und Archivsysteme bieten.

6. Sonderfälle: Hier lauern DSGVO-Fallen

marketingseo15

Stellen Sie bei besonders sensiblen Daten, etwa bei Betriebs- und Geschäftsgeheimnissen, eine hohe Geheimhaltung sicher. Es ist zwar wünschenswert, wenn Sie über Schnittstellen Spam, Malware & Co. erkennen. Allerdings sollten Sie vorrangig sicherstellen, dass niemand Kenntnis von den E-Mails erlangt. Dazu eignet sich eine Ende-zu-Ende-Verschlüsselung (Inhaltsverschlüsselung).

Wir wiesen Sie bereits darauf hin, dass die gewählte Verschlüsselungslösung auch die Cloud und mobile Endgeräte wie Smartphones und Tablets einbeziehen soll. Beachten Sie, dass nicht nur Menschen E-Mails versenden. Es gibt Applikationen, die E-Mails automatisch versenden. In diesen E-Mails befinden sich manchmal personenbezogene Daten, die Sie schützen müssen. Dabei handelt es sich beispielsweise um automatisierte Rechnungen, Lieferscheine und Lohnabrechnungen. Die meisten Applikationen sind nicht darauf ausgelegt, E-Mails zu verschlüsseln. Einige Anbieter bieten DSGVO-konforme Updates an, bei der Software anderer Anbieter müssen Sie manuell nachbessern.

7. Checkliste

Sie möchten eine E-Mail-Verschlüsselung einrichten? Dann beherzigen Sie die folgenden Ratschläge:

Eine E-Mail-Verschlüsselung ist notwendig, wenn Sie personenbezogene Daten übermitteln.

Eine kombinierte Inhalts- und Transportverschlüsselung bietet eine bestmögliche Verschlüsselung.

Geheimnisträger, die E-Mails unverschlüsselt versenden, begehen eine Straftat.

Die 13 wichtigsten Fragen zu DSGVO und E-Mail Verschlüsselung

1. DSGVO: Ist eine E-Mail Verschlüsselung Pflicht?

Nach der DSGVO ist eine E-Mail-Kommunikation immer dann zu verschlüsseln, wenn sie personenbezogene Daten enthält.

2. Mit Einwilligung: Ist eine unverschlüsselte E-Mail nach der DSGVO möglich?

Art. 7 DSGVO macht es möglich. Willigt der E-Mail-Empfänger ein, dürfen Sie die E-Mail unverschlüsselt versenden.

3. Was ist bezüglich der verschiedenen Endgeräte zu beachten?

Eine Verschlüsselungslösung darf nicht nur am Desktop funktionieren. Sie sollte für den konformen DSGVO E-Mail Versand auch eine Cloud und mobile Endgeräte wie Tablets und Smartphones einbinden.

4. Ist nach der DSGVO eine E-Mail-Signatur einzubinden?

Binden Sie in der E-Mail-Signatur einen Hinweis auf Ihre Datenschutzerklärung ein, beispielsweise „Hinweise zu unseren Datenschutzgrundsätzen finden Sie hier: www.mustermann.de/Datenschutz“. Damit genügen Sie Ihren Informationspflichten aus Art. 13 DSGVO.

5. Was ist hinsichtlich des Empfängers zu bedenken?

Wählen Sie für die E-Mail eine DSGVO-Lösung, die mit möglichst vielen Plattformen und Betriebssystemen kompatibel ist. Damit stellen Sie sicher, dass der Empfänger der E-Mail diese auch tatsächlich öffnen kann.

6. Welche Art von Schlüssel-Lösung ist zu empfehlen?

Es gibt die Inhaltsverschlüsselung und die Transportverschlüsselung. Die Transportverschlüsselung reicht zumeist aus. Bei besonders sensiblen Daten sollten Sie zusätzlich eine Inhaltsverschlüsselung implementieren.

7. Ist die interne Kommunikation auch mit einem Schlüssel zu sichern?

Die DSGVO schreibt vor, den gesamten Transportweg einer E-Mail zu verschlüsseln. Darunter fällt im Zweifelsfall auch die interne Kommunikation. Deshalb sollten Sie auch diese verschlüsseln.

8. Welche konkreten Neuerungen bringt die DSGVO mit sich?

Das Bundesdatenschutzgesetz verpflichtet Sie dazu, E-Mails mit personenbezogenen Daten zu verschlüsseln. Die DSGVO bringt deshalb nicht sonderlich viel Neues mit sich.

9. Was gilt für Geheimnisträger?

Sie sind Apotheker, Psychologe oder Arzt? Als Geheimnisträger sind Sie dazu verpflichtet, sämtliche E-Mails zu verschlüsseln. Ansonsten begehen Sie unter Umständen sogar eine Straftat.

10. Ist eine Verschlüsselung bei einer Datenpanne vorteilhaft?

Ja, in der Tat. Nach einer Datenpanne sind Sie dazu verpflichtet, die Datenschutzbehörden und die betroffenen Personen nach spätestens 72 Stunden zu informieren. War die betroffene E-Mail verschlüsselt, entfällt die Meldepflicht gegenüber der betroffenen Person.

11. Welche Standardprotokolle sind üblich?

Wir empfehlen Ihnen bei einer Inhaltsverschlüsselung die Standardprotokolle S/MIME und OpenPGP sowie die Microsoft Rights Management Services (RMS) zu nutzen. Bei der Inhaltsverschlüsselung ist das Standardprotokoll TLS (ehemals SSL) gebräuchlich.

12. Wie sieht es mit Sicherheitsmaßnahmen aus?

Denken Sie daran, dass Virenscanner nicht dazu fähig sind, auf verschlüsselte E-Mails zuzugreifen. Richten Sie deshalb Schnittstellen für Ihre Sicherheitssoftware ein.

13. Wie wirkt sich die Verschlüsselung auf mein Archivsystem aus?

Die Suchfunktion ist bei verschlüsselten E-Mails sinnlos, da sie den Klartext der E-Mails benötigt. Achten Sie darauf, das Archivsystem in die Verschlüsselungslösung zu integrieren.

Anzeige
Sagen Sie uns Ihre Meinung zum Thema.
Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Skype zensiert in China Chat-Nachrichten Der Chat- und Internet-Telefonie-Anbieter Skype Technologies , ein Tochterunternehmen des Online-Auktionshauses eBay, arbeitet auf dem chinesischen Markt mit de...
Weiterlesen...
Videoüberwachung am Arbeitsplatz: Datenschutz von Arbeitnehmern wird gestärkt Der Datenschutz von Arbeitnehmern ist gestärkt worden. Die Bundesregierung legte einen entsprechenden Gesetzentwurf vor und so soll es den Arbeitgebern erschwer...
Weiterlesen...
Arbeitsrecht: Fristlose Kündigung des Administrators wegen Einblick in fremde E-Mails Nachdem ein Systemadministrator sich unerlaubt  fremde E-Mails angesehen hatte, kündigte ihm sein Arbeitgeber fristlos. Das Landesarbeitsgericht München hatte n...
Weiterlesen...
CYBERLAW in Südafrika Am 30. August 2002 trat der “Electronic Communications and Transactions Act, 2002” (ECT Act) in Kraft . Dieses Gesetz bildet den Abschluss einer etwa vierjährig...
Weiterlesen...
Die DSGVO ist da: Was alle Seitenbetreiber 2018 wissen müssen Datenschutz ist für alle Unternehmen im Netz ein wichtiges Thema. Kundenbestellungen, E-Mail Kampagnen, neue Datenschutzerklärung oder Nutzertracking: nichts ge...
Anzeige DSGVO
Anzeige

Der eRecht24 Newsletter

Immer bestens informiert

Bleiben Sie mit unseren kostenlosen Updates zum Internetrecht auf dem neuesten Stand. Infos, Urteile, Checklisten, Sonderangebote.

Prüfen Sie, ob Ihre Widerrufsbelehrung aktuell ist.

Geben Sie die URL Ihrer Widerrufsbelehrung ein.
Beispiel Shop: http://www.shopxyz.de/widerruf.html
Beispiel eBay: http://www.ebay.de/usr/EBAYUSER

loading...
Jetzt Premium-Mitglied werden

Ab Heute gestalten Sie Ihre Website ohne Angst vor Abmahnwellen und ohne teuren Anwalt abmahnsicher.

Alle Videos, Live-Webinare, E-Books, Tools und zahlreiche Rabatte.

Jetzt Mitglied werden

Mehr Informationen zu eRecht24 Premium

Impressum-Generator

Keine Chance für Abmahner

Erstellen Sie kostenlos ein rechtssicheres Impressum für Ihre Website.

Jetzt Kostenlos Impressum generieren

Rechtsberatung vom Anwalt

Haben Sie ein konkretes rechtliches Problem? Dann wenden Sie sich bitte einen Anwalt. Auf unseren Seiten finden Sie zahlreiche allgemeine Informationen zum Internetrecht. Fundierte Rechtsberatung im Einzelfall kann allerdings nur ein spezialisierter Rechtsanwalt leisten.

Inhalte kostenlos übernehmen

Der eRecht24 Newsticker

kostenfreie aktuelle Inhalte zum Internetrecht

Individuell für Ihre Website angepasst!

 

SSL-Zertifikate

Steigern Sie das Vertrauen Ihrer Kunden. Für Betreiber von Onlineshops und kommerziellen Webseiten unabdingbar:

SSL-Verschlüsselung, SSL-Zertifikate und Trust-Logos

Rechnungen online erstellen

Erstellen Sie Ihre Rechnungen gemäß den Anforderungen des Finanzamts doch einfach online!

Mit easybill bequem ordnungsgemäße Rechnungen schreiben inkl. digitaler Signatur und Datenexport zum Steuerberater. Anforderungen an korrekte Rechnungen mit Mustern und Beispielen.

IT-Recht endlich verständlich

Autor Sören SiebertSören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.

Er berät Unternehmer, Shops und Seitenbetreiber in allen Fragen des Rechts der neuen Medien.
www.kanzlei-siebert.de

Als Betreiber von eRecht24 ist er seit mehr als 15 Jahren auch als Internet-Unternehmer tätig. Deshalb finden Sie auf eRecht24 Tipps und Tricks eines spezialisierten Rechtsanwalts, aber verständlich und praxisnah erklärt.

SSL-Zertifikate, Code-Signing, S/MIMEOrdnungsgemäße Rechnungen einfach online erstellen!Suchmaschienoptimierung & OnlinemarketingRechtsschutzversicherungRechtliche OnlineShop-PrüfungFairness im Handel
Anzeige
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Videos und E-Books, Musterverträge und Erstberatung, Tools und Live-Webinare.

Mehr Informationen

dsgvo teaser

DSGVO Schnellstarter-Paket

Das Datenschutzrecht ändert sich ab Mai 2018 vollständig. Sind Sie bereit für die DSGVO? Mit unserem Schnellstarter-Paket sichern Sie Ihre Webseite ab.

Jetzt absichern

webinar teaser

Online Schulung mit Rechtsanwalt Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese schnell, einfach und ohne teuren Anwalt vermeiden. So haben Abmahner bei Ihnen keine Chance!

Mehr Details
Support