Jetzt Mitglied werden!
eRecht24.de

Die DSGVO und die E-Mail-Verschlüsselung

(24 Bewertungen, 3.13 von 5)

Worum geht's?

Die DSGVO trat am 25. Mai 2018 in Kraft. Unternehmen sind dazu verpflichtet, ihre Vorgaben umzusetzen. Ansonsten drohen hohe Bußgelder und Abmahnungen durch Mitbewerber. Doch wie sieht es bei E-Mails aus? Sind Sie laut Datenschutzgrundverordnung dazu verpflichtet, geschäftliche E-Mails zu verschlüsseln? Was ist besser: Eine Inhalts- oder eine Transportverschlüsselung? Gibt es bezüglich der E-Mail-Verschlüsselung schon rechtliche Klarheit oder nur vage Empfehlungen der Datenschutzbehörden?

 

Inhaltsverzeichnis

  1. Ist laut DSGVO jede E-Mail zu verschlüsseln?
  2. Sichere E-Mails mit Inhalts- und Transportverschlüsselung
  3. Verschlüsselung per TLS: Worauf müssen Sie hier achten?
  4. Welche Schnittstellen sollten Sie zur Verschlüsselung einrichten?
  5. Welche Probleme treten bei der E-Mail-Verschlüsselung in der Praxis auf?
  6. Sonderfälle: Hier lauern DSGVO-Fallen
  7. Checkliste
  8. FAQ zur DSGVO E-Mail-Verschlüsselung

1. Ist laut DSGVO jede E-Mail zu verschlüsseln?

Wie sieht es aus, wenn Sie eine E-Mail mit personenbezogenen Daten versenden? Müssen Sie nun jede E-Mail verschlüsseln? Prinzipiell gilt, dass die DSGVO in Sachen E-Mail-Verkehr nicht viel Neues mit sich bringt. Unternehmen wird schon nach dem Bundesdatenschutzgesetz empfohlen, dass diese E-Mails mit personenbezogenen Daten verschlüsseln. Eine dahingehende Pflicht besteht aber nicht.

Tipp: Eine E-Mail-Verschlüsselung ist empfehlenswert, aber nicht verpflichtend.

Personenbezogene Daten liegen vor, wenn Sie in der E-Mail den Namen und die Anschrift des Empfängers nennen. Aber auch andere Daten sind personenbezogen, beispielsweise:

  • sexuelle Orientierung,
  • ethnische Herkunft,
  • politische Meinung,
  • biometrische Daten,
  • religiöse Überzeugung,
  • Informationen über den Gesundheitszustand.

Verschlüsseln Sie eine E-Mail mit personenbezogenen Daten nicht, gehen Sie das Risiko ein, dass andere Personen die E-Mail unbefugt mitlesen. Eine nicht verschlüsselte E-Mail ist ungefähr so öffentlich wie eine Postkarte. Geheimnisträger wie Rechtsanwälte, Steuerberater, Ärzte, Psychologen und Apotheker sollten jede eMail verschlüsseln, da sie sich sonst Risiken aussetzen. Zu dieser Einschätzung gelangt zumindest der Sächsische Datenschutzbeauftragte Andreas Schurig in seinem 8. Tätigkeitsbericht. Er stuft eine fehlende Verschlüsselung von eMails in solchen Situationen sogar als Straftat nach § 203 Strafgesetzbuch ein.

Für Unternehmen empfiehlt es sich schon aus naheliegenden Gründen, dass sie Dateien verschlüsseln. Verletzen sie datenschutzrechtliche Vorgaben, müssen sie die Datenschutzbehörden und die betroffenen Personen innerhalb von 72 Stunden darüber informieren. Versendeten sie die E-Mails verschlüsselt, entfällt die Meldepflicht gegenüber der betroffenen Person. Verschicken Sie verschlüsselte E-Mails, ersparen Sie sich die „Schmach“, dass Sie Ihre Kunden über eine sogenannte Datenpanne informieren müssen.

2. Sichere E-Mails mit Inhalts- und Transportverschlüsselung

marketingseo9

Sie möchten eine E-Mail mit personenbezogenen Daten verschlüsseln? Dann sollten Sie die grundlegenden Verschlüsselungsmethoden und ihre Besonderheiten kennen. Bei der E-Mail-Verschlüsselung gibt es die Transportverschlüsselung und die Inhaltsverschlüsselung.

Transportverschlüsselung: Sie schicken eine sichere eMail durch einen „verschlüsselten Tunnel“. Die E-Mail liegt bei Absender und Empfänger entschlüsselt vor, auf dem Weg ist sie aber unlesbar.

Inhaltsverschlüsselung: Die Meta-Informationen der E-Mail, sprich Absender, Empfänger und Betreff, sind weiterhin lesbar. Ihr restlicher Inhalt ist verschlüsselt.

Bei einer Transportverschlüsselung ist die E-Mail nur auf dem Transportweg verschlüsselt. Sie befindet sich vor und nach dem Transport unverschlüsselt auf dem Server. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) weist deshalb darauf hin, dass die TLS-Verschlüsselung ein „notwendiger Baustein“ für die elektronische Kommunikation ist. Sie ist aber kein Ersatz für eine Ende-zu-Ende-Verschlüsselung, sprich eine Inhaltsverschlüsselung. Um einen bestmöglichen Sicherheitsstandard zu gewährleisten, kombinieren Sie am besten beide Verschlüsselungsarten.

Bei der Inhaltsverschlüsselung ist das Standardprotokoll OpenPGP für die PGP Verschlüsselung sowie das Protokoll S/MIME gebräuchlich. Weit verbreitet sind auch die RMS (Microsoft Rights Management Services). Sie eignen sich für die Azure Cloud und für den On-Premises-Einsatz. Für die Transportverschlüsselung ist das Standardprotokoll TLS (Transport Layer Security) üblich. Dieses ist vielen noch unter dem früheren Namen SSL (Secure Socket Layer) geläufig (SSL-Verschlüsselung).

3. E-Mail-Verschlüsselung per TLS: Worauf müssen Sie hier achten?

Sie verschlüsseln per TLS? Dann wählen Sie eine (eigentlich) sichere Verschlüsselung. Viele Absender denken, dass sie per TLS verschlüsseln: Dies trifft aber oftmals überhaupt nicht zu. Und da Sie nach der DSGVO die Verschlüsselung personenbezogener Daten nachweisen müssen, gibt es hier Probleme, vgl. Art. 5 I, II DSGVO:

„Der Verantwortliche ist für die Einhaltung des Absatzes I verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist darauf hin, dass eine TLS-Verschlüsselung erst ab der Version 1.2 zuverlässig ist.

Ältere Versionen sind unsicher und verstoßen deshalb gegen den Datenschutz. Wir empfehlen Ihnen, dass Sie die Zertifikate von einem offiziellen Trustcenter ausstellen lassen. Ansonsten ist die E-Mail-Sicherheit durch „Man-in-the-Middle“-Angriffe gefährdet.

Ist ein TLS-Zertifikat erst einmal eingerichtet, läuft es zuverlässig. In den folgenden Situationen ist die Verschlüsselung dann aber plötzlich wieder unsicher:

  • Sie tauschen einen Server aus.
  • Sie oder eine Gegenstelle passen die Konfiguration an.
  • Ein Zertifikat verliert an Gültigkeit.
  • Die Gegenstelle erkennt ein Zertifikat nicht an.

Denken Sie daran, dass Sie eine TLS-Verschlüsselung richtig konfigurieren müssen. Viele Absender setzen den Haken bei „Optional TLS“. Die Verschlüsselungssoftware verschlüsselt die E-Mail dann aber nur, wenn dies möglich ist. Ansonsten übermittelt die Software die E-Mail unverschlüsselt. Stellen Sie deshalb unbedingt auf „Mandatory TLS“ um. Die Software versendet die E-Mail dann im Zweifelsfall nicht und informiert Sie darüber. Mit einem Secure E-Mail-Gateway setzen Sie TLS flächendeckend um. Da hier verschiedene Verschlüsselungsverfahren möglich sind, stellt der Gateway eine verschlüsselte Kommunikation sicher.

Das Protokoll TLS eignet sich - aus den oben genannten Gründen - nicht für eine spontane und wechselnde E-Mail-Kommunikation, beispielsweise im B2C-Geschäft. Hier empfehlen sich eher passwortbasierte Verfahren.

4. Welche Schnittstellen sollten Sie zur Verschlüsselung einrichten?

marketingseo11

Sie haben eine Transportverschlüsselung oder Inhaltsverschlüsselung eingerichtet? Dann sind Sie rechtlich auf der sicheren Seite. Sie möchten nun eine ganzheitliche Verschlüsselungslösung für Ihr Unternehmen aufbauen? Dann richten Sie Schnittstellen zu Sicherheitssoftware wie Data Loss Prevention Tools und Virenscannern ein. Das System benötigt solche Schnittstellen: Ansonsten ist die Software nicht dazu fähig, den Inhalt der E-Mail-Nachrichten zu scannen. Auch das Archivsystem benötigt Zugriff auf den Klartext, um die E-Mails zu indizieren. Verschlüsseln Sie auch interne und automatisierte Mails.

5. Welche Probleme treten bei der E-Mail-Verschlüsselung in der Praxis auf?

Sie richten eine E-Mail-Verschlüsselung ein und diese funktioniert tadellos? Achten Sie darauf, dass Sie eine ganzheitliche Lösung schaffen. Komplizierte Lösungen taugen nicht viel; Ihre Mitarbeiter vernachlässigen die Umsetzung gerne. Viele Mitarbeiter versenden E-Mails über ihr Smartphone: Die Verschlüsselung muss auch hier funktionieren. Es nützt nichts, wenn die Technik auf dem Computer funktioniert, beim Versand über das Smartphone aber weiterhin Sicherheitslücken bestehen. Problematisch wird es, wenn Sie ein System nutzen, das nicht sonderlich kompatibel ist.

Tipp: Wählen Sie eine Verschlüsselungsmethode, die gängige Plattformen, Server und E-Mail-Clients unterstützt.

Stellen Sie die IT-Infrastruktur um, sind Sie auch später gut gerüstet. Gängige Lösungen wie PGP und S/MIME erfordern Zertifikate und Schlüssel: Dazu benötigen Sie ein wenig technisches Wissen und eine entsprechende Infrastruktur. Für KMUs bieten sich eventuell Gateway-Lösungen an. Darüber verschlüsseln und signieren sie E-Mails automatisch und zentral auf dem Server. Für KMUs sind Gateway-Lösungen aber nur in Einzelfällen empfehlenswert. Sie sind mit einem hohen Konfigurationsaufwand verbunden. Außerdem schützen E-Mail-Gateways nicht unbedingt die unternehmensinterne E-Mail-Kommunikation. Deshalb müssen Sie hier eine weitere Lösung implementieren.

Unternehmen sollten sich durch Rechtsanwälte und IT-Experten beraten lassen. Denken Sie daran, dass Sie E-Mails archivieren müssen. Legen Sie die E-Mails verschlüsselt ab, finden Sie diese nur schwer wieder. Die Suchfunktion benötigt den Klartext, der bei verschlüsselten E-Mails nicht abrufbar ist. Sollten Sie sich für eine Verschlüsselungslösung entscheiden, sollte diese deshalb auch Schnittstellen für Journal- und Archivsysteme bieten.

6. Sonderfälle: Hier lauern DSGVO-Fallen

marketingseo15

Stellen Sie bei besonders sensiblen Daten, etwa bei Betriebs- und Geschäftsgeheimnissen, eine hohe Geheimhaltung sicher. Es ist zwar wünschenswert, wenn Sie über Schnittstellen Spam, Malware & Co. erkennen. Allerdings sollten Sie vorrangig sicherstellen, dass niemand Kenntnis von den E-Mails erlangt. Dazu eignet sich eine Ende-zu-Ende-Verschlüsselung (Inhaltsverschlüsselung).

Wir haben Sie bereits darauf hingewiesen, dass die gewählte Verschlüsselungslösung auch die Cloud und mobile Endgeräte wie Smartphones und Tablets einbeziehen soll. Beachten Sie, dass nicht nur Menschen E-Mails versenden. Es gibt Applikationen, die E-Mails automatisch versenden. In diesen E-Mails befinden sich manchmal personenbezogene Daten, die Sie schützen müssen. Dabei handelt es sich beispielsweise um automatisierte Rechnungen, Lieferscheine und Lohnabrechnungen. Die meisten Applikationen sind nicht darauf ausgelegt, E-Mails zu verschlüsseln. Einige Anbieter bieten DSGVO-konforme Updates an, bei der Software anderer Anbieter müssen Sie manuell nachbessern.

7. Checkliste

Sie möchten eine E-Mail-Verschlüsselung einrichten? Dann beherzigen Sie die folgenden Ratschläge:

Eine E-Mail-Verschlüsselung ist empfehlenswert, sollten Sie personenbezogene Daten übermitteln.

Eine kombinierte Inhalts- und Transportverschlüsselung bietet eine bestmögliche Verschlüsselung.

Geheimnisträger, die E-Mails unverschlüsselt versenden, gehen besondere Risiken ein.

Die 12 wichtigsten Fragen zur DSGVO und E-Mail Verschlüsselung

1. DSGVO: Ist eine E-Mail Verschlüsselung Pflicht?

Nach der DSGVO ist eine E-Mail-Verschlüsselung empfehlenswert, sollten Sie personenbezogene Daten versenden. Es gibt aber keine allgemeine Pflicht, die Ihnen auferlegt, dass Sie E-Mails verschlüsseln.

2. Was ist bezüglich der verschiedenen Endgeräte zu beachten?

Eine Verschlüsselung ist relativ nutzlos, sollte diese nur am Desktop funktionieren. Die Verschlüsselung sollte für den konformen DSGVO E-Mail-Versand auch eine Cloud und mobile Endgeräte wie Tablets und Smartphones einbinden. Denken Sie daran, dass manche Programme automatisch E-Mails versenden. Die Verschlüsselungslösung sollte immer funktionieren – egal, welches Endgerät der Mitarbeiter einsetzt.

3. Was bedeutet Optional TLS?

Wenn Sie die Funktion „Optional TLS“ aktivieren, verschlüsselt die Software die E-Mail nur, wenn dies technisch möglich ist. Das bedeutet im Endeffekt: Die Software versendet die E-Mail oft unverschlüsselt. Wählen Sie deshalb besser die Option „Mandatory TLS“.

4. Was müssen Sie hinsichtlich des Empfängers bedenken?

Wählen Sie für eine E-Mail eine Verschlüsselung, die mit möglichst vielen Plattformen und Betriebssystemen kompatibel ist. Damit stellen Sie sicher, dass der Empfänger der E-Mail diese auch tatsächlich öffnen kann.

5. Welche Art von Verschlüsselung ist empfehlenswert?

Es gibt die Inhaltsverschlüsselung und die Transportverschlüsselung. Bei der Transportverschlüsselung verschlüsseln Sie die E-Mail während dem Versand, bei Absender und Empfänger liegt die E-Mail im Klartext vor. Bei der Inhaltsverschlüsselung ist der gesamte Inhalt verschlüsselt. Die Transportverschlüsselung reicht zumeist aus. Bei besonders sensiblen Daten sollten Sie zusätzlich eine Inhaltsverschlüsselung implementieren.

6. Müssen Sie die interne Kommunikation mit einem Schlüssel sichern?

Die DSGVO empfiehlt, dass Sie den gesamten Transportweg einer E-Mail verschlüsseln. Darunter fällt im Zweifelsfall auch die interne Kommunikation. Deshalb sollten Sie auch diese verschlüsseln.

7. Welche konkreten Neuerungen bringt die DSGVO mit sich?

Das Bundesdatenschutzgesetz empfiehlt, dass Sie E-Mails mit personenbezogenen Daten verschlüsseln. Die DSGVO bringt deshalb nicht sonderlich viel Neues mit sich.

8. Wie wirkt sich eine Verschlüsselung auf die Suchfunktion aus?

Verschlüsseln Sie eine E-Mail, kann dieser Vorgang die Suchfunktion beeinträchtigen. Die Suchfunktion benötigt den Klartext von E-Mails – ansonsten funktioniert diese nicht. Wählen Sie deshalb eine Verschlüsselungslösung, die die Suchfunktion einbezieht.

9. Ist eine Verschlüsselung bei einer Datenpanne vorteilhaft?

Ja, in der Tat. Nach einer Datenpanne müssen Sie die Datenschutzbehörden und die betroffenen Personen nach spätestens 72 Stunden über den Vorfall informieren. War die betroffene E-Mail verschlüsselt, entfällt die Meldepflicht gegenüber der betroffenen Person.

10. Welche Standardprotokolle sind üblich?

Wir empfehlen Ihnen bei einer Inhaltsverschlüsselung, dass Sie die Standardprotokolle S/MIME und OpenPGP sowie die Microsoft Rights Management Services (RMS) einsetzen. Bei der Transportverschlüsselung ist das Standardprotokoll TLS (ehemals SSL) gebräuchlich.

11. Wie sieht es mit Sicherheitsmaßnahmen aus?

Denken Sie daran, dass Virenscanner nicht auf verschlüsselte E-Mails zugreifen können. Richten Sie deshalb Schnittstellen für Ihre Sicherheitssoftware ein.

12. Wie wirkt sich die Verschlüsselung auf mein Archivsystem aus?

Die Suchfunktion ist bei verschlüsselten E-Mails sinnlos, da sie den Klartext der E-Mails benötigt. Achten Sie darauf, dass Sie eine Verschlüsselungslösung wählen, die einen Zugriff auf das Archivsystem gewährt.

Anzeige
Mario
Wie sieht es mit der Informationspfl icht nach Art. 14 bei der Verwendung von public keys aus öffentliche n Quellen aus? Wir planen in der Signaturzeile die Angaben zu ergänzen. In der Praxis macht das bisher aber kaum jemand.
0
Martin Löser
Noch einfacher und vor allem voll-automatisch für 100% Datenschutz im gesamten E-Mail-Versand geht es mit comcrypto MXG und der qualifizierten Transportversch lüsselung. Das Verfahren wurde am 26.05.2020 von der Datenschutzkonf erenz der Landesdatenschu tzbehörden und des Bundes veröffentlicht und ist ab sofort verfügbar.
7
Ralf S. Müller
Der Knackpunkt beim Thema E-Mail-Verschlüsselung ist ja häufig der Unwille oder das mangelnde technische Verständnis des Anwenders. Als Lösung und Alternative kann man die Open Source Software Ciphermail (ciphermail.info) einsetzen. Dabei handelt es sich um eine Gateway-Lösung, die kompatibel zu jedem SMTP-Server ist, PGP und SMIME für die E-Mail-Verschlüsselung bietet und keine Installation von Software beim Client erfordert.
7
Tanne
hallo, mich interessiert, wenn privat auf einen (großen) Mailverteiler "an alle" geantwortet wird, kann das Konsequenzen für den Sender nach sich ziehen?
4
PGP-Fan
Wenn Sie Ihre Nachrichten selbst verschlüsseln, sollte dies in der Regel nicht def Fall sein, es sei denn die Provider haben hochintelligent e Mitarbeiter bei sich, die Passwörter knacken können. Privat nutze ich gerne PGP bzw. GPG auf Linux.
6
PGP-Fan
Das Problem mit Verschlüsselungen ist leider, daß die Verschlüsselung nicht allen kommuniziert werden kann, da relativ wenige sich damit auskennen. Die meisten haben wahrscheinlich eine gewise Phobie vor Verschlüsselungen, weil sie sich ja dann zuästzliche Passwörter oder Phrasen merken müssen. Ich fürchte, bei E-Mailverkehr mit NICHT-IT affinen Menschen muß ich leider auf die Verschlüsselung verzichten.
4
pit
ich würde gerne wissen ob die Provider die verschlüsselte Email Inhalte/ Anhänge entschlüsseln um zu lesen?
2
Thomas F.
Nach meinem Verständnis ist eine E-Mail-Adresse an sich kein personenbezogen es Datum. Versende ich eine E-Mail, die sich nicht auf deren Besitzer bezieht und durch die ich diesen also nicht identifizieren kann, sind es ergo weiterhin keine personenbezogen en Daten, denn es geht ja um "Informationen, die sich auf eine identifizierte oder identifizierbar e natürliche Person beziehen." (https://dsgvo-gesetz.de/themen/personenbezogen e-daten/).Wieso wird dann Jemand zu einem Bußgeld verurteilt, der eine E-Mail mit einem nicht personenbezogen en Inhalt an ~100 E-Mail-Adressen verschickt, wobei die Adressen mit in der E-Mail stehen? -> https://www.firstlex.de/verstoss-gegen-die-dsgvo-in-dubio-pro-bcc/
0
Mario
Eine E-Mail die einer natürlichen Person zuzuordnen ist, ist zweifelsfrei ein personenbezogen es Datum. Der Schutzbedarf hingegen hängt davon ab, ob diese E-Mail-Adresse z.B. öffentlich kommuniziert wurde (z.B. auf Webseiten, in sozialen Medien).

Doch auch bei der Verwendung von Daten aus öffentliche n Quellen trifft einen die Informationspfl icht nach Art. 14, z.B. meines Erachtens auch bei der Verwendung öffentliche r Schlüssel.

Zweck des Datenschutzes ist ja die informationelle Selbstbestimmun g. Daher muss ich immer informiert, wer meine Daten verarbeitet um die Betroffenenrech te ausüben zu können - im Beispiel Aktualisierung oder Widerruf von Schlüsseln. Leider gibt es hier bei PGP im Gegensatz zu S/MIME kein allgemein funktionierende s Erneuerungs- oder Widerrufsverfah ren.
0
Gustav Wall
> Ich würde gerne wissen, welche Programme oder anderen Lösungen konkret zur Verfügung stehen.Um eine zielführende Antwort zu bekommen, wäre es hilfreich zu wissen, für welche Zwecke Sie ein Programm bzw. eine Lösung brauchen. Wenn es darum geht, zeitsparend und abhörsicher die Nachrichten und Dokumente, Dateien in einem Team, in einer Einrichtung zu übermitteln , lohnt es sich einen Blick auf dezentrale Lösungen wie Hubzilla https://zotlabs.org/page/hubzilla/hubzilla-project , Mastodon https://de.wikipedia.org/wiki/Mastodon_(Software) oder Diaspora https://de.wikipedia.org/wiki/Diaspora_(Software) zu werfen und mit einem Experten in Sachen IT-Sicherheit Rücksprache zu halten.
0
Weitere Kommentare anzeigen
Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Facebook, Google, Foren & Co.: So löschen Sie Ihren Account
Weiterlesen...
Chatbots und die DSGVO: Wie setze ich Chatbots DSGVO-konform ein?
Weiterlesen...
Firmenwebsite: Wann können Mitarbeiter Informationen über sich löschen lassen?
Weiterlesen...
Oft vergessen, aber Pflicht für jeden Unternehmer: Das DSGVO Verarbeitungsverzeichnis
Weiterlesen...
IT-Sicherheit: Wie SSL-Zertifikate vor den Gefahren im Internet schützen
Weiterlesen...
DSGVO und Datenschutzmanagement: Darauf müssen Sie bei der Wahl Ihrer Datenschutzsoftware achten
Weiterlesen...
Kein DSL: Wieviel Schadensersatz können Kunden für einen 12-tägigen Internetausfall verlangen?
Weiterlesen...
CYBERLAW in Südafrika - E-Commerce, Verbraucherschutz, Datenschutz und Haftung
Weiterlesen...
Social Media Plugins: Haftung für den Facebook Like-Button
Weiterlesen...
Coronavirus und Verdienstausfall: die 18 häufigsten Fragen zu Quarantäne, Krankschreibung und Kurzarbeit
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details