E-Mail & Datenschutz im Unternehmen

In diesem Blogbeitrag werfen wir einen Blick auf verschiedene Anwendungsfälle rund um das Thema Email-Verschlüsselung. Welche organisatorische Maßnahmen muss das Unternehmen dabei vorsehen?

https://youtu.be/6bWGZ3-qXA8

Nun, eine eindeutige Antwort kann es dabei nicht gegeben werden.

Ob eine E-Mail verschlüsselt werden muss, hängt nach heutigem Kenntnisstand vom Schutzbedarf der übermittelten Daten ab. Auch der Begriff "Verschlüsseln" ist nicht eindeutig definiert. Denn dieser hängt stark davon ab, ob die Verschlüsselung auf Inhaltsebene oder auf Transportebene erfolgt.

Inhaltsverschlüsselung

Bei der Inhaltsverschlüsselung wird alles bis auf die Metadaten, d.h. Absender, Empfänger und Betreff, verschlüsselt. Für die Verschlüsselung des Textes einer E-Mail und der Anhänge werden in erster Linie die Standards S/MIME und OpenPGP verwendet. Beide Standards unterstützen auch digitale Signaturen, um Manipulationen auf dem Übertragungsweg erkennen zu können. Dieses Verfahren wird als Ende-zu-Ende-Verschlüsselung bezeichnet. Wie der Name schon sagt, wird die Nachricht auf dem Server des Absenders verschlüsselt und auf dem Server des Empfängers entschlüsselt. Vorsicht ist geboten: Denn die Metadaten werden nicht von der Verschlüsselung erfasst und sind während der Übertragung im Klartext verfügbar. Wir empfehlen keine personenbezogenen Daten in die Betreffzeile mit aufzunehmen.

• Beispiel: Max Mustermann darf nicht im Betreff beinhaltet sein.

Transportverschlüsselung

Bei der Transportverschlüsselung werden sowohl Meta- als auch Inhaltsdaten während des Transports verschlüsselt. Die Transportverschlüsselung stellt sicher, dass die E-Mail während des Transports nicht von Dritten gelesen werden kann. Sobald die E-Mail empfangen wird, stehen die Daten dem Empfänger unverschlüsselt zur Verfügung. Der Empfänger muss daher sicherstellen, dass die Sicherheit der Daten gewährleistet ist. Für die Transportverschlüsselung kann das Standardprotokoll TLS verwendet werden. Deshalb muss sichergestellt sein, dass die Option "Mandatory TLS" aktiviert ist. Wenn diese nicht aktiviert ist, verschlüsselt die Software die E-Mail nicht und es besteht die Gefahr, dass unverschlüsselte Mails verschickt werden. Es ist auch wichtig, dass die Verschlüsselung, falls erforderlich, auf allen Geräten funktioniert. Es nützt wenig, wenn wir die Verschlüsselung nur auf dem Desktop einrichten und unverschlüsselte Mails mit unseren mobilen Geräten verschicken.

Empfehlung der Aufsichtsbehörde

Die Aufsichtsbehörde in Nordrhein-Westfalen empfiehlt folgende technische und organisatorische Maßnahmen:

• Die Kommunikation per E-Mail bedarf mindestens der Transport-Verschlüsselung, wie sie von den namhaften europäischen Providern standardmäßig angeboten wird.
• Die Transportverschlüsselung sollte entsprechend der Technischen Richtlinie „BSI TR-03108 Sicherer E-Mail-Transport“ implementiert sein. In Abhängigkeit vom Schutzbedarf der versendeten Daten und dem Risiko können Abweichungen von der Richtlinie statthaft sein.
• Es ist zu berücksichtigen, dass bei einer Transportverschlüsselung die E-Mails auf den E-Mail-Servern im Klartext vorliegen und grundsätzlich einsehbar sind.
• Bei besonders schützenswerten Daten (z.B. Kontobewegungsdaten, Finanzierungsdaten, Daten zum Gesundheitszustand, Mandantendaten von Rechtsanwälten und Steuerberatern, Beschäftigtendaten) ist eine alleinige Transportverschlüsselung möglicherweise nicht ausreichend. Zusätzliche technische und organisatorische Maßnahmen, wie z. B. eine Ende-zu-Ende-Verschlüsselung können notwendig sein. Sollte dies nicht gewährleistet werden können, sind ggf. alternative Übertragungswege denkbar:
• Hierzu zählen der elektronische Austausch über eine gesicherte Verbindung (Web-Portal des Verantwortlichen mit Zugangsbeschränkungen) oder
• die klassische postalische Zusendung.

Wir empfehlen bei der Umsetzungen einen Datenschutzbeauftragten hinzuzuziehen.