Die einen sagen, dass die Zeit der Nutzung der E-Mail sich bereits dem Ende zuneigt und zukünftig nicht mehr als Kommunikationsmittel verwendet wird. Die anderen sind gerade erst darauf gekommen, dass eine Kommunikation per E-Mail einige Vorteile gegenüber dem Fax- und Postversand bietet. So lange also die E-Mail (noch) für die Kommunikation eingesetzt wird, sind hier auch die datenschutzrechtlichen Anforderungen zu beachten. Hierzu hat die DSK (Deutsche Datenschutzkonferenz) eine aktualisierte Orientierungshilfe (Stand: 16. Juni 2021) herausgegeben.
Transportverschlüsselung und Ende-zu-Ende-Verschlüsselung
Muss ich denn jede E-Mail verschlüsselt versenden? Nein, muss man nicht. Aber sobald sich personenbezogene Daten in einer E-Mail befinden, dann ist eine Verschlüsselung notwendig. Welcher Grad der Verschlüsselung notwendig ist, hängt jedoch wieder von den Risiken für die Vertraulichkeit der Nachricht ab.
In diesem Blogbeitrag haben wir uns bereits u.a. mit E-Mail-Verschlüsselung befasst: https://sidit.de/blog/ist-die-versendung-von-emails-und-faxe-datenschutzrechtlich-uberhaupt-noch-zulassig
Die Transportverschlüsselung stellt nur eine einfache Verschlüsselung dar, also einen „Basis“-Schutz. Sie ist als Mindeststandard nach den datenschutzrechtlichen Anforderungen zu sehen, sobald sich personenbezogene Daten in der Mail befinden. Diese wird bei „Standard“-Mails in denen sich nicht besonders schützenswerte Daten befinden, ausreichen. Sie reduziert die Erfolgswahrscheinlichkeit passiver Abhörmaßnahmen von Dritten auf ein geringes Maß. Daher ist sie ein geeignetes Mittel für die Kommunikation per Mail.
Eine Ende-zu-Ende-Verschlüsselung ist immer dann notwendig, wenn die übertragenen personenbezogenen Daten besonders schützenswert sind bzw. die Vertraulichkeit einem hohen Risiko ausgesetzt ist. Bei der Ende-zu-Ende-Verschlüsselung wird nicht nur der Transportweg, sondern auch die ruhenden Daten geschützt. Die üblichen Standards sind hier S/MIME und OpenPGP.
Der Absender ist doch allein für die Verschlüsselung verantwortlich!
Nein, das stimmt so leider nicht. Der Sender ist zwar verpflichtet, die Nachrichten entsprechend zu verschlüsseln, der Empfänger muss jedoch sicherstellen, dass bei ihm die Voraussetzungen für einen sicheren Empfang von E-Mail-Nachrichten über einen verschlüsselten Kanal erfüllt sind. Je nachdem, ob bei einem Bruch der Vertraulichkeit ein normales oder hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht, sind andere Anforderungen von dem Empfänger zu erfüllen.
Der Empfänger muss also den Aufbau von TLS-Verbindungen ermöglichen und darf nur die in der BSI TR 02102-2 aufgeführten Algorithmen verwenden. Darüber hinaus sollten die DKIM-Signaturen geprüft werden und bei fehlgeschlagenen Prüfungen die entsprechenden Nachrichten zurückgewiesen werden. Bei einem hohen Risiko muss die bestehende PGP- oder S/MIME-Signatur entsprechend qualifiziert geprüft werden.
Versand von Nachrichten durch Berufsgeheimnisträger
Besonders bei Berufsgeheimnisträgern ist zu beachten, dass aufgrund ihrer Eigenschaft bereits ein hohes Risiko angenommen werden kann. Dies bedeutet nicht, dass tatsächlich in jeder E-Mail, die bspw. ein Rechtsanwalt verschickt, ein hohes Risiko steckt. Wer aber möchte in jedem Einzelfall entscheiden, ob das nun zutrifft und dementsprechend eine Verschlüsselung wählen? Mehr zu diesem Thema können Sie uns unserem Blogartikel lesen.
Einfacher und in der heutigen Zeit nicht mehr wirklich aufwändig ist die Einrichtung einer Ende-zu-Ende-Verschlüsselung für alle versendeten E-Mails. So kann man sicher sein, dass notwendige Verschlüsselungsniveau und somit die Vertraulichkeit gewahrt zu haben.
Fazit mit Praxistipps
Wer grundsätzlich Nachrichten verschickt, die keinem hohen Risiko ausgesetzt sind, für den ist die Wahl der Transportverschlüsselung ausreichend. Sollten in einem Einzelfall doch Daten verschickt werden, die einem höheren Risiko ausgesetzt sind, sollten diese nur im Rahmen eines Anhangs verschickt und dieser Anhang nochmals mit Passwort verschlüsselt werden. Dieses Passwort sollte selbstverständlich nicht in der gleichen E-Mail versendet werden, sondern in einer separaten E-Mail oder in einem Telefonat o.ä. übermittelt werden.
Wenn jedoch Nachrichten versandt werden, für die immer wieder auch ein hohes Risiko für den Bruch der Vertraulichkeit besteht, sollte grundsätzlich auch eine Ende-zu-Ende-Verschlüsselung zurückgegriffen werden.
Haben Sie noch Fragen in diesem Bereich, benötigen einen Datenschutzbeauftragten oder datenschutzrechtliche Beratung? Kontaktieren Sie uns gerne unter 0931-780 877-0 oder info@sidit.de.
Weiterführende Linkshttps://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf
[…] Beim Versand von E-Mails ist es genauso. Wenn Sie E-Mails versenden, die nicht verschlüsselt sind, sind diese prinzipiell von Jedermann lesbar – genau wie bei der Postkarte. In diesem Blogbeitrag erfahren Sie mehr dazu: https://sidit.de/blog/fluch-und-segen-von-e-mails/ […]