< zurück zum Blog

Ist die Versendung von E-Mails und Faxe datenschutzrechtlich überhaupt noch zulässig?

17.11.2020

Eine E-Mail und/oder ein Fax versenden geht so schön schnell und ist auch recht einfach. Daher haben mittlerweile fast alle Unternehmen den Hauptteil ihrer Kommunikation auf E-Mail umgestellt. Doch ist das überhaupt zulässig und was muss dabei beachtet werden?

Ungesicherte E-Mail ist mit dem Versenden einer Postkarte vergleichbar

Das Versenden von ungesicherten E-Mails kann man gut mit dem Verschicken einer Postkarte vergleichen, denn die E-Mails können eingesehen, verändert oder verfälscht werden, die Authentizität des Absenders ist nicht gewährleistet und die Inhalte können missbräuchlich verwendet werden.

Telefax mit einer ungesicherten E-Mail vergleichbar

Früher galt ein Telefax als sichere Methode, um auch sensible Daten zu übermitteln, da beim Versand von Faxen exklusive Ende-zu-Ende Telefonleitungen genutzt wurden. Dies ist heutzutage leider nicht mehr der Fall, denn mittlerweile werden die Daten paketweise in Netzen transportiert, die auf Internet-Technologien beruhen.

Darüber hinaus unterhalten viele Unternehmen kein reales Faxgerät mehr, sondern nutzen Systeme, bei denen ankommende Faxe direkt in E-Mails umgewandelt und an die entsprechenden E-Mail-Postfächer weitergeleitet werden.

Daher hat das Fax mittlerweile das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail, so dass die Landesbeauftragte für Datenschutz Bremen eine solche Übermittlung von personenbezogenen Daten in der Regel für ungeeignet hält, insbesondere bei besonders sensiblen Daten gem. Art. 9 Abs. 1 DSGVO.

Wie können E-Mails datenschutzkonform versendet werden?

Der Art. 32 DSGVO bestimmt, dass bei dem Transport von E-Mails über das Internet ein angemessenes Schutzniveau sichergestellt werden muss. Doch was ist ein angemessenes Schutzniveau? Hier kommt es darauf an, welche personenbezogenen Daten im Rahmen einer E-Mail übermittelt werden sollen. Handelt es sich um eher allgemeine Daten, die kein hohes Risiko für die Rechte und Freiheiten der Betroffen bergen, dann reicht nach Ansicht des Bayerischen Landesamt für Datenschutz eine (opportunistische) Transportverschlüsselung aus. Dies gelingt in der Regel durch eine einfache Einstellung am Mail-Server.

Werden jedoch personenbezogene Daten übermittelt, die ein hohes Risiko für den Betroffenen bergen, wie bspw. Gesundheitsdaten, dann ist neben der Transportverschlüsselung auf jeden Fall zusätzlich eine Inhaltsverschlüsselung zu verwenden. Nur so kann sichergestellt werden, dass diese Daten ausreichend geschützt sind.

Sollte eine Inhaltsverschlüsselung technisch nicht möglich oder zu aufwändig sein, dann besteht natürlich auch die Möglichkeit, Daten in eine hochsichere Cloud zu laden und dem Empfänger hierzu die Zugangsdaten zu geben. Bei der Auswahl der Cloud ist aber darauf zu achten, dass hier nicht nur eine Verschlüsselung beim Hoch- und Runterladen der Dateien gegeben ist, sondern die Daten auch verschlüsselt auf dem Server liegen.

Weitere Gefahrenquellen im Rahmen der E-Mail-Kommunikation

Im Rahmen der E-Mail-Kommunikation lauern aber weitere Gefahren. Hier wollen wir insbesondere auf die Gefährdung durch den Empfang von Viren und Trojanern hinweisen. Diese sind häufig in Anhängen versteckt und werden aktiv, sobald die Anhänge geöffnet werden.

Schnell wird eine E-Mail auch an einen falschen Empfänger geschickt oder aber es werden mehrere Empfänger anstatt in Blind Copy in den offenen Verteiler gestellt.

Datenschutzrechtliche Maßnahmen

Um die E-Mail-Kommunikation im Unternehmen datenschutzkonform betreiben zu können, sollten also folgende Punkte beachtet bzw. umgesetzt werden:

• E-Mails sollten immer nur mit einer Transportverschlüsselung, ggfs. sogar mit einer Inhaltsverschlüsselung versendet werden
• Es sollte ein Anti-Viren-Programm verwendet werden, welches stets auf aktuellem Stand zu halten ist
• Innerhalb von Unternehmen sollte es klare Regelungen für die E-Mail-Nutzung geben, in der ausführliche Anweisungen zum Umgang mit E-Mails gegeben werden.
• Es sollte auf jeden Fall ein Datensicherungskonzept vorhanden sein, welches auch tatsächlich umgesetzt und regelmäßig getestet wird.

Zum Aktivieren der eingebetteten Karte bitte auf den Link klicken. Durch das Aktivieren werden Daten an den jeweiligen Anbieter übermittelt. Weitere Informationen können unserer Datenschutzerklärung entnommen werden

Inhalt anzeigen

Ihr direkter Kontakt zu uns

SiDIT GmbH
Langgasse 20
97261 Güntersleben

Bürozeiten:
Montag bis Freitag von 8-16 Uhr.