Melden Sie sich zu unserem Newsletter an!
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Jetzt anmelden!© Solen Feyissa, Unsplash
Risiken reduzieren: 8 Tipps zum richtigen Umgang mit E-Mails
E-Mails gehören längst zum Arbeitsalltag. Durch die hohe Verbreitung sind sie allerdings auch in den Fokus von Cyberattacken gerückt. Angriffe werden immer ausgetüftelter und Fallen nicht unbedingt sofort auf.
Auch abseits der IT-Sicherheit bergen E-Mails Risiken – z. B. in Bezug auf den Datenschutz. Werden E-Mails und die darin enthaltenen Daten sorglos behandelt, kann es schnell zu Datenschutzvorfällen kommen.
Diese Risiken lassen sich allerdings durch den richtigen Umgang mit E-Mails reduzieren. Wie das gelingt, zeigen wir anhand von 8 Tipps.
1. Betreffzeilen unverfänglich formulieren
Über das Internet verschickte E-Mails sind wie Postkarten. Im Grunde können alle mitlesen. Daher ist es wichtig, E-Mails zu verschlüsseln. Aber selbst bei einer Verschlüsselung, bleibt der Header mit der Betreffzeile und Informationen über Empfänger:in und Sender:in auf dem Transportweg zeitweise sichtbar.
Deshalb sollten Sie Betreffzeilen unverfänglich formulieren und keine personenbezogenen Daten aufnehmen. Für eine eindeutige Zuordnung reichen hier die Fallnummer oder das Aktenzeichen vollkommen aus. Alternativ können Sie auch neutrale Formulierungen wie „Prüfung eines Sachverhalts“ oder „Abrechnungsvorgang“ wählen.
2. Bei automatischer Adressvervollständigung vorsichtig sein
In den meisten Mailing-Programmen werden E-Mail-Adressen basierend auf der bisherigen Nutzung automatisch vervollständigt. Aber Achtung: Hier besteht Verwechslungsgefahr. Bei ähnlich klingenden oder gleichen Namen ist eine E-Mail schnell an die falsche Person verschickt. Je nach Inhalt der Mail kann das eine Datenschutzverletzung darstellen.
Daher sollten Sie Name und E-Mail-Adresse der empfangenden Person immer kontrollieren, bevor Sie eine E-Mail versenden. Außerdem empfiehlt es sich, Einträge mit ähnlichen oder gleichen Namen direkt so einzupflegen, dass der Unterschied ersichtlich ist – z. B. indem Sie die Organisation angeben.
3. Bcc nutzen
Bei Rundmails und Infoschreiben gilt besondere Vorsicht bei der Nutzung von Verteilern. Denn: Offene Verteiler (über das Cc-Feld) sind nur erlaubt, wenn alle in die Weitergabe ihrer E-Mail-Adresse eingewilligt haben. Gerade bei E-Mails an Kundinnen und Kunden ist das aber oft nicht der Fall.
Auf der sicheren Seite sind Sie hingegen, wenn Sie das Feld für Bcc (Blind Carbon Copy) nutzen. Hier ist nicht sichtbar, welche weiteren Personen die E-Mail erhalten. Wenn Sie sich unsicher sind, ob die benötigten Einwilligungen vorliegen, sollten Sie immer auf die Blindkopie (Bcc) zurückgreifen. Eventuell bietet es sich an, im Betreff oder der Ansprache kenntlich zu machen, dass es sich um eine Rundmail handelt.
4. Inhalt beschränken und Daten minimieren
Je weniger (personenbezogene) Daten, desto besser – das besagt heruntergebrochen der Grundsatz der Datenminimierung. Diesen sollten Sie auch im Mailverkehr berücksichtigen. Ihre E-Mails sollten sich dabei auf die notwendigen Informationen beschränken und so wenige personenbezogene Daten wie möglich enthalten.
Vor allem bei sensiblen Daten gilt besondere Vorsicht. Derartige Datenkategorien sollten Sie nur verschicken, wenn eine vollständige Ende-zu-Ende-Verschlüsselung gewährleistet ist (das sollte in Ihren Regelungsdokumenten festgehalten sein). Dokumente mit sensiblen Daten sollten Sie zudem mit einem Passwort schützen oder geschützte Datenschutzportale nutzen. Alternativ können Sie natürlich immer auf Briefe oder das persönliche Gespräch zurückgreifen, um sensible Daten zu übermitteln.
5. Bei Weiterleitungen aufpassen
Personenbezogene Daten dürfen Sie ohne gesetzliche Grundlage nicht an Dritte weitergeben. Das gilt auch für E-Mail-Adressen. Das sollten Sie berücksichtigen, wenn Sie E-Mails weiterleiten möchten. Prüfen Sie, ob es eine gesetzliche Grundlage gibt und holen Sie sich ggf. eine Einwilligung ein.
Besondere Vorsicht gilt auch bei E-Mails mit historischem Verlauf, bei dem potentiell eine Vielzahl an Daten sichtbar ist. Vor der Weiterleitung sollten Sie abwägen, ob alle Informationen benötigt werden und übermittelt werden dürfen.
Auch bei automatischen Weiterleitungen bei Abwesenheit sollten Sie aufpassen. Ohne Einwilligung werden die Interessen der Absender:innen nicht ausreichend berücksichtigt und geschützt. Während der Abwesenheit sollten Sie daher auf automatische Weiterleitungen verzichten und Auto-Antworten, in denen Sie auf Ihre Vertretung und das Ende Ihrer Abwesenheit hinweisen, aktivieren.
6. Mit fälschlich empfangenen und versendeten E-Mails richtig umgehen
Wenn Sie fälschlicherweise E-Mails mit sensiblen Daten empfangen, handelt es sich vermutlich um meldepflichtige Datenschutzvorfälle. In diesem Fall sollten Sie unbedingt die Absender:innen darüber informieren und ihnen mitteilen, dass sie die E-Mail umgehend und endgültig (auch aus dem Papierkorb) löschen. Das sollten Sie dann natürlich auch tun.
Wenn Sie selbst E-Mails an falsche oder unbefugte Empfänger:innen senden, sollten Sie zunächst einmal die Ruhe bewahren und die Lage genau überprüfen. War die falsch adressierte E-Mail inklusive Anhang verschlüsselt und auch der Betreff neutral formuliert, sind keine Rückschlüsse auf die betroffene Person möglich, besteht kein Grund zur Sorge, da der Inhalt nicht lesbar ist. Andernfalls sollten Sie zur Fristwahrung unverzüglich die Verantwortlichen informieren. Darüber hinaus müssen Sie als Absender:in aktiv versuchen, durch eine Kontaktaufnahme den Missbrauch der Daten zu verhindern. Das sollte allerdings in Absprache mit den Verantwortlichen erfolgen.
7. Auf Spam-Mails und Phishing achten
Merkwürdige E-Mails mit dubiosen Inhalten gehören mittlerweile zum Alltag – auch bei geschäftlichen E-Mail-Adressen. Wenn Ihnen eine E-Mail komisch vorkommt, sollten Sie Absender:in und Inhalt genau prüfen. Wirkt der Betreff plausibel? Ist Ihnen die Person bekannt? Wenn ja, nutzt sie dieselbe E-Mail-Adresse wie bei der bisherigen Kommunikation? Falls nicht, sollten Sie mit der E-Mail vorsichtig umgehen.
Das heißt: nicht antworten, nicht auf Links klicken und keine Anhänge öffnen. Durch Hovern mit der Maus (Cursor auf den Link bewegen ohne zu klicken) können Sie bei Hyperlinks sehen, wohin diese gehen. Kommt Ihnen der Link komisch vor oder passt er nicht zu den Absender:innen, sollten Sie auf kleinen Fall auf den Link klicken. Bei E-Mails von Ihnen angeblich bekannten Personen lohnt es sich, einfach mal nachzufragen, bevor Sie weitere Informationen angeben. Spam-Mail sollten Sie außerdem als solche markieren, damit der Filter dazulernt. Die E-Mails sollten Sie erst nach einiger Zeit (automatisiert) löschen.
8. Geschäftliche E-Mail-Adressen nicht privat nutzen
Geschäftliche E-Mail-Adressen sind – wie der Name schon sagt – für geschäftliche Zwecke und sollten nicht privat genutzt werden. Durch eine private Nutzung erhöht sich das Risiko für Datenschutzverletzungen und IT-Sicherheitsvorfälle. E-Mail-Adressen können beispielsweise abgegriffen und weitergenutzt werden. Das kann sogar so weit gehen, dass Adressen im Darknet zum Verkauf eingestellt und für Cyberattacken genutzt werden.
Organisationen sind daher gut beraten, die private Nutzung von E-Mail-Adressen grundsätzlich nicht zu gestatten. Derartige Regelungen sind schriftlich festzuhalten.
Fazit
Die Methoden, um per E-Mail Daten abzugreifen oder Malware zu verbreiten, werden immer ausgetüftelter und täuschend echt. Deshalb sollten sowohl Privatpersonen als auch Organisationen achtsam sein und ein gesundes Misstrauen an den Tag legen.
Um die eigenen Systeme zu schützen, sollten Organisationen in jedem Fall eine Richtlinie zum Umgang mit E-Mails aufstellen und die Mitarbeitenden regelmäßig sensibilisieren – das gilt auch in Bezug auf den Datenschutz beim E-Mail-Verkehr. Denn auch hier besteht ein Risiko, das bis zu meldepflichtigen Datenschutzvorfällen reichen kann.
Wir unterstützen Sie!
Sie möchten Ihre Belegschaft zum richtigen Umgang mit E-Mails sensibilisieren? Wir unterstützen Sie! Neben unserem E-Learning zu Datenschutz-Grundlagen schulen wir Ihre Mitarbeitenden gerne individuell nach Ihren Bedürfnissen – bei Ihnen vor Ort oder online. Auch bei der Erstellung von Richtlinien zum datenschutzkonformen und sicheren Umgang mit E-Mails unterstützen wir Sie und beraten Sie umfassend.