Melden Sie sich zu unserem Newsletter an!
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Jetzt anmelden!© Torsten Dettlaff, Pexels
Datenschutz bei E-Mail-Versand: Das sollten Sie beachten
E-Mails gelten als die Postkarten des Internets. Ohne geeignete Schutzmaßnahmen können sie problemlos mitgelesen werden. Daher hat die Datenschutzkonferenz (DSK) vor wenigen Wochen eine Orientierungshilfe zum Schutz personenbezogener Daten bei der Übermittlung von E-Mails veröffentlicht. Die Orientierungshilfe klärt, welche Anforderungen an die Verfahren zum Versand und Empfang von E-Mails bestehen.
Wir haben für Sie zusammengefasst, worauf Sie bei der Auswahl eines E-Mail-Dienst-Anbieters achten sollten, wie eine Risikoanalyse als Basis Ihrer Maßnahmen dient und welche Maßnahmen Sie bei den verschiedenen Risikostufen umsetzen sollten.
Auswahl eines Anbieters
Bereits bei der Auswahl des E-Mail-Dienst-Anbieters ist einiges zu berücksichtigen. Denn Sie unterliegen bei der Auswahl des richtigen E-Mail-Dienstanbieters einer Sorgfaltspflicht. Dabei ist besonders darauf zu achten, dass die Dienstanbieter hinreichend Garantien für die Einhaltung der DSGVO und insbesondere der technischen Richtlinie 03108-1 des Bundesamts für Sicherheit in der Informationstechnik (BSI) bieten können. Die Auswahl eines geeigneten E-Mail-Dienst-Anbieters ist ein erster Schritt auf dem Weg zur Datenschutzkonformität.
Risikoanalyse als Basis
Wenn Sie E-Mails versenden, enthalten diese aller Wahrscheinlichkeit nach personenbezogene Daten. Damit liegt die Verantwortlichkeit grundsätzlich bei Ihnen. Empfangen Sie jedoch gezielt personenbezogene Daten, etwa durch eine ausdrückliche Vereinbarung (Autragsverabeitungsvertrag), sind Sie laut DSK dazu verpflichtet, mit den Absender:innen zusammenzuarbeiten. Welche Schutzmaßnahmen einzusetzen sind, hängt dabei von dem jeweiligen Risiko für die Betroffenen ab.
Das Risiko wird durch die Wahrscheinlichkeit eines Schadenseintritts und durch die Folgen des Schadens für die Betroffenen bestimmt. Die Eintrittswahrscheinlichkeit berechnet sich aus verschiedenen Faktoren, die herangezogen werden müssen. Ein erster Hinweis für ein hohes Risiko kann sich aus den Kategorien der Daten gemäß Art. 9 DSGVO (z.B. sensible Daten wie Gesundheitsdaten) ergeben.
Sie können sich u.a. folgende Fragen stellen: Wie hoch ist das Interesse unbefugter Dritter, die betroffenen Daten z.B. für einen Identitätsbetrug zu nutzen oder zu manipulieren?
Wie hoch ist der notwendige technische Aufwand, um die Zugangsberechtigungen auszuspähen? Diese Faktoren können Sie mit „gering“, „normal“ und „hoch“ bewerten. Grundlage für dieses Verfahren kann ein Schutzstufenkonzept sein. Durch den Mittelwert aller Bewertungen ergibt sich dann ein Gesamtwert. Dieser ist maßgeblich für die jeweiligen Schutzmaßnahmen.
Maßnahmen bei normalem Risiko
Ergibt Ihre Risikoanalyse ein normales Risiko für die Betroffenen, müssen Sie die Voraussetzungen für einen sicheren Versand und Empfang schaffen. Dafür eignet sich ein verschlüsselter Kanal, bei dem der Empfangsserver mindestens den Aufbau von TLS-Verbindungen (mittlerweile Standard TLS1.2 und TLS1.3) ermöglicht. Hierbei sollten Sie die Empfehlungen aus der technischen Richtlinie TR-02102-2 des BSI beachten und veraltete kryptographische Verfahren deaktivieren. Denn diese gelten als kompromittiert.
Ein weiteres Hilfsmittel für den sicheren Versand sind SPF-Einträge im Domain-Setup des DNS-Servers. Dadurch kann Ihr Mailserver den Mailserver, von dem die E-Mail versandt wurde, überprüfen. Wenn dieser nicht im SPF-Eintrag auftaucht, geht Ihr Mailserver davon aus, dass die E-Mail von einem nicht autorisierten Mailserver stammt. Dadurch kann eine Mail leichter als Spam klassifiziert werden. Für den Großteil der Spam-E-Mails reicht diese Methode aus. Zumal E-Mail-Anbieter ihre Spam-Regeln kontinuierlich weiterentwickeln.
Eine weitere Absicherung ist die Nutzung von DKIM (DomainKeys Identified Mail) im Setup der Domain des DNS-Servers. Dies wird realisiert, indem die Administration auf dem eigenen Mailserver ein Schlüsselpaar generiert. Dabei wird der öffentliche Schlüssel der Domain per DNS-Eintrag beigefügt. Nun wird jeder Mail eine mit dem privaten Schlüssel eigens berechnete Signatur mitgegeben, welche vom empfangenden Mailserver mittels veröffentlichter Schlüssel der Domain abgeglichen werden kann. Fällt die Überprüfung positiv aus, ist die Mail von dem berechtigten Server versendet worden.
Maßnahmen bei hohem Risiko
Würde der Bruch der Vertraulichkeit zu einem hohen Risiko für die Betroffenen führen, sollten Sie eine Ende-zu-Ende-Verschlüsselung und eine qualifizierte Transportverschlüsselung einsetzen. Auf der anderen Seite haben Empfänger:innen bestehende Signaturen (PGP-/S/MIME) zu prüfen.
Eine Ende-zu-Ende Verschlüsselung erfolgt hierbei zumeist unter Nutzung einer Public-Key-Infrastruktur (PKI). Dabei werden entsprechende Zertifikate erstellt und durch eine unabhängige dritte Instanz geprüft. Die PKI erstellt und verwaltet die public und private Keys. Diese werden für die Ver- und Entschlüsselung der Mails benötigt.
Die PKI können Sie entweder selber betreiben oder einen Dienstleister beauftragen. Im geschäftlichen Bereich setzt sich das S/Mime-Verfahren stärker durch als die klassische PGP-Umsetzung, da hierbei weniger Aufwand anfällt und die Nutzung einfacher ist.
Berufsgeheimnisträger:innen unterliegen grundsätzlich immer einem hohen Risiko. Dies leitet sich aus Erwägungsgrund 75 DSGVO ab.
Somit müssen nach Ansicht des DSK Berufsgeheimnisträger die soeben genannten Anforderungen erfüllen.
Bei der Frage nach der richtigen Verschlüsselungstechnik müssen Verantwortliche stets das Risiko für die Betroffenen betrachten und angemessene Schutzmaßnahmen nach Art. 32 DSGVO einsetzen. Hierzu kann das DSK-Papier als Orientierung dienen.
Sie haben Fragen zum sicheren E-Mail-Versand?
Quellen
Datenschutzkonferenz (2021): „Orientierungshilfe er Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 27. Mai 2021“, 16. Juni 2021, https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf, letzter Zugriff am 12. Juli 2021.
Datenschutzticker.de (2021): „Neue Orientierungshilfe der DSK zur Sicherheit bei der E-Mail-Übermittlung“, 28. Juni 2021, https://www.datenschutzticker.de/2021/06/neue-orientierungshilfe-der-dsk-zur-sicherheit-bei-der-e-mail-uebermittlung/, letzter Zugriff am 12. Juli 2021.
Oldewurtel, Foko (2021): „DSK-Papier zum E-Mail-Versand und Verschlüsselung“, Dr. Datenschutz, 25. Juni 2021, https://www.dr-datenschutz.de/dsk-papier-zum-e-mail-versand-und-verschluesselung/, letzter Zugriff am 12. Juli 2021.
Externer Datenschutz – Datenschutz und Datensicherheit – Datenschutzschulungen
Impressum | Datenschutzerklärung