E-Mails und der Datenschutz: 4 Tipps für mehr Sicherheit

E-Mails gehören längst zum Arbeitsalltag. Durch die hohe Verbreitung sind sie allerdings auch in den Fokus von Cyberattacken gerückt. Angriffe werden immer ausgetüftelter und fallen nicht unbedingt sofort auf.

Auch abseits der IT-Sicherheit bergen E-Mails Risiken – z. B. in Bezug auf den Datenschutz. Werden E-Mails und die darin enthaltenen Daten sorglos behandelt, kann es schnell zu Datenschutzvorfällen kommen.

Diese Risiken lassen sich allerdings durch den richtigen Umgang mit E-Mails reduzieren. Wir zeigen, wie das gelingt. 

Bereits bei der Auswahl des E-Mail-Dienst-Anbieters ist einiges zu berücksichtigen. Denn Sie unterliegen bei der Auswahl einer Sorgfaltspflicht. Dabei ist besonders darauf zu achten, dass die Dienstanbieter hinreichend Garantien für die Einhaltung der DSGVO und insbesondere der technischen Richtlinie 03108-1 des Bundesamts für Sicherheit in der Informationstechnik (BSI) bieten können. Die Auswahl eines geeigneten E-Mail-Dienst-Anbieters ist ein erster Schritt auf dem Weg zur Datenschutzkonformität.

Wenn Sie E-Mails versenden, enthalten diese aller Wahrscheinlichkeit nach personenbezogene Daten. Damit liegt die Verantwortlichkeit grundsätzlich bei Ihnen. Empfangen Sie jedoch gezielt personenbezogene Daten, etwa durch eine ausdrückliche Vereinbarung (Auftragsverarbeitungsvertrag), sind Sie laut Datenschutzkonferenz (DSK) dazu verpflichtet, mit den Absender:innen zusammenzuarbeiten. Welche Schutzmaßnahmen einzusetzen sind, hängt dabei von dem jeweiligen Risiko für die Betroffenen ab.

Das Risiko wird durch die Wahrscheinlichkeit eines Schadenseintritts und durch die Folgen des Schadens für die Betroffenen bestimmt. Die Eintrittswahrscheinlichkeit berechnet sich aus verschiedenen Faktoren, die herangezogen werden müssen. Ein erster Hinweis für ein hohes Risiko kann sich aus den Kategorien der Daten gemäß Art. 9 DSGVO (z. B. sensible Daten wie Gesundheitsdaten) ergeben.

Sie können sich u. a. folgende Fragen stellen: Wie hoch ist das Interesse unbefugter Dritter, die betroffenen Daten z. B. für einen Identitätsbetrug zu nutzen oder zu manipulieren? Wie hoch ist der notwendige technische Aufwand, um die Zugangsberechtigungen auszuspähen? Diese Faktoren können Sie mit „gering“, „normal“ und „hoch“ bewerten. Grundlage für dieses Verfahren kann ein Schutzstufenkonzept sein. Durch den Mittelwert aller Bewertungen ergibt sich dann ein Gesamtwert. Dieser ist maßgeblich für die jeweiligen Schutzmaßnahmen. 

Ergibt Ihre Risikoanalyse ein normales Risiko für die Betroffenen, müssen Sie die Voraussetzungen für einen sicheren Versand und Empfang schaffen. Dafür eignet sich ein verschlüsselter Kanal, bei dem der Empfangsserver mindestens den Aufbau von TLS-Verbindungen (mittlerweile Standard TLS1.2 und TLS1.3) ermöglicht.

Ein weiteres Hilfsmittel für den sicheren Versand sind SPF-Einträge im Domain-Setup des DNS-Servers. Dadurch kann Ihr Mailserver den Mailserver überprüfen, von dem die E-Mail versandt wurde. Eine weitere Absicherung ist die Nutzung von DKIM (DomainKeys Identified Mail) im Setup der Domain des DNS-Servers.

Würde der Bruch der Vertraulichkeit zu einem hohen Risiko für die Betroffenen führen, sollten Sie eine Ende-zu-Ende-Verschlüsselung und eine qualifizierte Transportverschlüsselung einsetzen. Berufsgeheimnisträger:innen unterliegen grundsätzlich immer einem hohen Risiko. Dies leitet sich aus Erwägungsgrund 75 DSGVO ab.

Bei der Frage nach der richtigen Verschlüsselungstechnik müssen Verantwortliche stets das Risiko für die Betroffenen betrachten und angemessene Schutzmaßnahmen nach Art. 32 DSGVO einsetzen.  

Der Datenschutz gelingt nur, wenn alle Beteiligten mitmachen und wissen, was zu tun ist. Folgende Tipps sollten Sie daher natürlich selbst beachten, aber auch bei der Sensibilisierung Ihrer Mitarbeitenden berücksichtigen: 

Über das Internet verschickte E-Mails sind wie Postkarten. Im Grunde können alle mitlesen. Daher ist es wichtig, E-Mails zu verschlüsseln. Aber selbst bei einer Verschlüsselung, bleibt der Header mit der Betreffzeile und Informationen über Empfänger:in und Sender:in auf dem Transportweg zeitweise sichtbar.

Deshalb sollten Sie Betreffzeilen unverfänglich formulieren und keine personenbezogenen Daten aufnehmen. Für eine eindeutige Zuordnung reichen hier die Fallnummer oder das Aktenzeichen vollkommen aus. Alternativ können Sie auch neutrale Formulierungen wie „Prüfung eines Sachverhalts“ oder „Abrechnungsvorgang“ wählen. 

In den meisten Mailing-Programmen werden E-Mail-Adressen basierend auf der bisherigen Nutzung automatisch vervollständigt. Aber Achtung: Hier besteht Verwechslungsgefahr. Bei ähnlich klingenden oder gleichen Namen ist eine E-Mail schnell an die falsche Person verschickt. Je nach Inhalt der Mail kann das eine Datenschutzverletzung darstellen.

Daher sollten Sie Name und E-Mail-Adresse der empfangenden Person immer kontrollieren, bevor Sie eine E-Mail versenden. Außerdem empfiehlt es sich, Einträge mit ähnlichen oder gleichen Namen direkt so einzupflegen, dass der Unterschied ersichtlich ist – z. B. indem Sie die Organisation angeben. 

E-Mail-Adressen zählen als personenbezogene Daten nach DSGVO (Artikel 4 Nr. 1) und KDG (§ 4 Nr. 1). Werden personenbezogene Daten weitergegeben, liegt eine Datenverarbeitung vor. Diese ist jedoch nur dann erlaubt, wenn sie sich auf eine Rechtsgrundlage stützt. Für die Offenlegung der Empfänger:innen eines Verteilers, bei dem sich die Empfänger:innen nicht kennen, gibt es in der Regel keine entsprechende Rechtsgrundlage. Demnach verstoßen Sie bei der Nutzung offener Mailverteiler gegen den Datenschutz und es erfolgt eine unbefugte und nicht notwendige Offenlegung von E-Mail-Adressen. Haben Sie eine derartige E-Mail an Ihre Kund:innen verschickt, können Sie in der Regel davon ausgehen, dass es sich um eine meldepflichtige Datenschutzverletzung handelt.

Anstatt in das „An“- oder „Cc“-Feld sollten die E-Mail-Adressen bei Verteilern daher immer in das „Bcc“-Feld eingetragen werden. „Bcc“ steht hierbei für „Blind carbon copy“ und bedeutet, dass die Empfänger:innen nicht einsehen können, an wen die E-Mail noch gegangen ist. Die Empfangsliste wird also nicht aufgelöst.

Achtung: Auch für Sie anonym wirkende Verteiler wie „Alle Kund:innen“ sollten Sie immer in das „Bcc“-Feld nutzen. Derartige Namen für Mailverteiler dienen Ihnen lediglich zur Orientierung und Organisation, werden aber für die Empfänger:innen aufgelöst.

Doch wer haftet nun? Das kommt darauf an, wie Ihr Unternehmen mit dem Thema umgeht. Gibt es kein Datenschutzkonzept mit konkreten Arbeitsanweisungen oder Richtlinien zum Umgang mit personenbezogenen Daten – inklusive Regelungen zu offenen Mailverteilern – haftet das Unternehmen.

Verstoßen jedoch einzelne Mitarbeitende gegen die vorgeschriebenen Arbeitsanweisungen, werden diese zur Verantwortung gezogen und können durch das Unternehmen in Regress genommen werden. Außerdem drohen arbeitsrechtliche Konsequenzen. Im Übrigen können auch gegen Einzelpersonen Bußgelder verhängt werden. Diese werden allerdings anders bemessen und fallen längst nicht so hoch aus wie Bußgelder für Unternehmen. 

Je weniger (personenbezogene) Daten, desto besser – das besagt heruntergebrochen der Grundsatz der Datenminimierung. Diesen sollten Sie auch im Mailverkehr berücksichtigen. Ihre E-Mails sollten sich dabei auf die notwendigen Informationen beschränken und so wenige personenbezogene Daten wie möglich enthalten.

Vor allem bei sensiblen Daten gilt besondere Vorsicht. Derartige Datenkategorien sollten Sie nur verschicken, wenn eine vollständige Ende-zu-Ende-Verschlüsselung gewährleistet ist (das sollte in Ihren Regelungsdokumenten festgehalten sein). Dokumente mit sensiblen Daten sollten Sie zudem mit einem Passwort schützen oder geschützte Datenschutzportale nutzen. Alternativ können Sie natürlich immer auf Briefe oder das persönliche Gespräch zurückgreifen, um sensible Daten zu übermitteln. 

Personenbezogene Daten dürfen Sie ohne gesetzliche Grundlage nicht an Dritte weitergeben. Das gilt auch für E-Mail-Adressen. Das sollten Sie berücksichtigen, wenn Sie E-Mails weiterleiten möchten. Prüfen Sie, ob es eine gesetzliche Grundlage gibt und holen Sie sich ggf. eine Einwilligung ein.

Besondere Vorsicht gilt auch bei E-Mails mit historischem Verlauf, bei dem potentiell eine Vielzahl an Daten sichtbar ist. Vor der Weiterleitung sollten Sie abwägen, ob alle Informationen benötigt werden und übermittelt werden dürfen.

Auch bei automatischen Weiterleitungen bei Abwesenheit sollten Sie aufpassen. Ohne Einwilligung werden die Interessen der Absender:innen nicht ausreichend berücksichtigt und geschützt. Während der Abwesenheit sollten Sie daher auf automatische Weiterleitungen verzichten und Auto-Antworten, in denen Sie auf Ihre Vertretung und das Ende Ihrer Abwesenheit hinweisen, aktivieren. 

Wenn Sie fälschlicherweise E-Mails mit sensiblen Daten empfangen, handelt es sich vermutlich um meldepflichtige Datenschutzvorfälle. In diesem Fall sollten Sie unbedingt die Absender:innen darüber informieren und ihnen mitteilen, dass sie die E-Mail umgehend und endgültig (auch aus dem Papierkorb) löschen. Das sollten Sie dann natürlich auch tun.

Wenn Sie selbst E-Mails an falsche oder unbefugte Empfänger:innen senden, sollten Sie zunächst einmal die Ruhe bewahren und die Lage genau überprüfen. War die falsch adressierte E-Mail inklusive Anhang verschlüsselt und auch der Betreff neutral formuliert, sind keine Rückschlüsse auf die betroffene Person möglich, besteht kein Grund zur Sorge, da der Inhalt nicht lesbar ist. Andernfalls sollten Sie zur Fristwahrung unbedingt die Verantwortlichen informieren. Darüber hinaus müssen Sie als Absender:in aktiv versuchen, durch eine Kontaktaufnahme den Missbrauch der Daten zu verhindern. Das sollte allerdings in Absprache mit den Verantwortlichen erfolgen. 

Merkwürdige E-Mails mit dubiosen Inhalten gehören mittlerweile zum Alltag – auch bei geschäftlichen E-Mail-Adressen. Wenn Ihnen eine E-Mail komisch vorkommt, sollten Sie Absender:in und Inhalt genau prüfen. Wirkt der Betreff plausibel? Ist Ihnen die Person bekannt? Wenn ja, nutzt sie dieselbe E-Mail-Adresse wie bei der bisherigen Kommunikation? Falls nicht, sollten Sie mit der E-Mail vorsichtig umgehen.

Das heißt: nicht antworten, nicht auf Links klicken und keine Anhänge öffnen. Durch Hovern mit der Maus (Cursor auf den Link bewegen ohne zu klicken) können Sie bei Hyperlinks sehen, wohin diese gehen. Kommt Ihnen der Link komisch vor oder passt er nicht zu den Absender:innen, sollten Sie auf kleinen Fall auf den Link klicken. Bei E-Mails von Ihnen angeblich bekannten Personen lohnt es sich, einfach mal nachzufragen, bevor Sie weitere Informationen angeben. Spam-Mail sollten Sie außerdem als solche markieren, damit der Filter dazulernt. Die E-Mails sollten Sie erst nach einiger Zeit (automatisiert) löschen.