< zurück zum Blog

Fluch und Segen von E-Mails

14.09.2021

Die einen sagen, dass die Zeit der Verwendung von E-Mails sich bereits dem Ende zuneigt und zukünftig nicht mehr als Kommunikationsmittel verwendet wird. Die anderen sind gerade erst darauf gekommen, dass eine Kommunikation per E-Mail einige Vorteile gegenüber dem Fax- und Postversand bietet.

So lange also die E-Mail (noch) für die Kommunikation eingesetzt wird, sind hier auch die datenschutzrechtlichen Anforderungen zu beachten. Hierzu hat die DSK (Deutsche Datenschutzkonferenz) eine aktualisierte Orientierungshilfe (Stand: 16. Juni 2021) herausgegeben.

Transportverschlüsselung und Ende-zu-Ende- Verschlüsselung

Muss ich denn jede E-Mail verschlüsselt versenden? Nein, muss man nicht. Aber sobald sich personenbezogene Daten in einer E-Mail befinden, dann ist eine Verschlüsselung notwendig. Welcher Grad der Verschlüsselung notwendig ist, hängt jedoch wieder von den Risiken für die Vertraulichkeit der Nachricht ab.

In diesem Blogbeitrag haben wir uns bereits u.a. mit E-Mail-Verschlüsselung befasst: https://sidit.de/blog/ist-die-versendung-von-emails-und-faxe-datenschutzrechtlich-uberhaupt-noch-zulassig

Die Transportverschlüsselung stellt nur eine einfache Verschlüsselung dar, also einen „Basis“-Schutz und ist als Mindeststandard nach den datenschutzrechtlichen Anforderungen zu sehen, sobald sich personenbezogene Daten in der Mail befinden. Diese wird bei „Standard“-Mails in denen sich nicht besonders schützenswerte Daten befinden, ausreichen. Sie reduziert die Erfolgswahrscheinlichkeit passiver Abhörmaßnahmen von Dritten auf ein geringes Maß und ist daher ein geeignetes Mittel für die Kommunikation per Mail.

Eine Ende-zu-Ende-Verschlüsselung ist immer dann notwendig, wenn die übertragenen personenbezogenen Daten besonders schützenswert sind bzw. die Vertraulichkeit einem hohen Risiko ausgesetzt ist. Bei der Ende-zu-Ende-Verschlüsselung wird nicht nur der Transportweg, sondern auch die ruhenden Daten geschützt. Die üblichen Standards sind hier S/MIME und OpenPGP.

Der Absender ist doch allein für die Verschlüsselung verantwortlich!

Nein, das stimmt so leider nicht. Der Sender ist zwar verpflichtet, die Nachrichten entsprechend zu verschlüsseln, der Empfänger muss jedoch sicherstellen, dass bei ihm die Voraussetzungen für einen sicheren Empfang von E-Mail-Nachrichten über einen verschlüsselten Kanal erfüllt sind. Je nachdem, ob bei einem Bruch der Vertraulichkeit ein normales oder hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht, sind andere Anforderungen von dem Empfänger zu erfüllen.

Der Empfänger muss also den Aufbau von TLS-Verbindungen ermöglichen und darf nur die in der BSI TR 02102-2 aufgeführten Algorithmen verwenden. Darüber hinaus sollten die DKIM-Signaturen geprüft werden und bei fehlgeschlagenen Prüfungen die entsprechenden Nachrichten zurückgewiesen werden. Bei einem hohen Risiko muss die bestehende PGP- oder S/MIME-Signatur entsprechend qualifiziert geprüft werden.

Versand von Nachrichten durch Berufsgeheimnisträger

Bei dem Versand von Nachrichten durch Berufsgeheimnisträger ist zu beachten, dass bereits die Eigenschaft des Berufsgeheimnisträger dazu führt, dass ein hohes Risiko angenommen werden kann. Dies bedeutet zwar nicht, dass tatsächlich in jeder E-Mail, die bspw. ein Rechtsanwalt verschickt, ein hohes Risiko steckt, wer aber möchte in jedem Einzelfall entscheiden, ob das so ist oder nicht und dementsprechend eine Verschlüsselung wählen?

Zur Frage der E-Mail-Verschlüsselung bei Berufsgeheimnisträgern: https://sidit.de/blog/aktuelle-gerichtsentscheidung-sicherheit-beim-emailversand

Einfacher und in der heutigen Zeit nicht mehr wirklich aufwändig ist die Einrichtung einer Ende-zu-Ende-Verschlüsselung für alle versendeten E-Mails. So kann man sicher sein, dass notwendige Verschlüsselungsniveau und somit die Vertraulichkeit gewahrt zu haben.

Fazit mit Praxistipps

Wer grundsätzlich Nachrichten verschickt, die keinem hohen Risiko ausgesetzt sind, für den ist die Wahl der Transportverschlüsselung ausreichend. Sollten in einem Einzelfall doch Daten verschickt werden, die einem höheren Risiko ausgesetzt sind, sollten diese nur im Rahmen eines Anhangs verschickt und dieser Anhang nochmals mit Passwort verschlüsselt werden. Dieses Passwort sollte selbstverständlich nicht in der gleichen E-Mail versendet werden, sondern in einer separaten E-Mail oder in einem Telefonat o.ä. übermittelt werden.

Wenn jedoch Nachrichten versandt werden, für die immer wieder auch ein hohes Risiko für den Bruch der Vertraulichkeit besteht, sollte grundsätzlich auch eine Ende-zu-Ende-Verschlüsselung zurückgegriffen werden.

Haben Sie noch Fragen in diesem Bereich, benötigen einen Datenschutzbeauftragten oder datenschutzrechtliche Beratung? Kontaktieren Sie uns gerne unter 0931-780 877-0 oder info@sidit.de.

Weiterführende Links

https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf

Zum Aktivieren der eingebetteten Karte bitte auf den Link klicken. Durch das Aktivieren werden Daten an den jeweiligen Anbieter übermittelt. Weitere Informationen können unserer Datenschutzerklärung entnommen werden

Inhalt anzeigen

Ihr direkter Kontakt zu uns

SiDIT GmbH
Langgasse 20
97261 Güntersleben

Bürozeiten:
Montag bis Freitag von 8-16 Uhr.