IMS Services Datenschutz
/

 


 

Grundsätze Datenschutz im Mailverkehr

Grundsätzlich gilt, dass die Datenschutzgrundverordnung (DSGVO) in Sachen E-Mail-Verkehr keine wesentlichen neuen Pflichten gebracht hat. Unternehmen wurde zuvor schon nach dem Bundesdatenschutzgesetz empfohlen, dass sie E-Mails mit personenbezogenen Daten an den E-Mail-Empfänger verschlüsseln. Eine gesetzliche Pflicht zum Verschlüsseln von E-Mails besteht aber nicht.

 

Personenbezogene Daten liegen vor, wenn Sie in der E-Mail den Namen und die Anschrift des Empfängers nennen. Aber auch andere Daten sind personenbezogen, beispielsweise:

 

  • sexuelle Orientierung,
  • ethnische Herkunft,
  • politische Meinung,
  • biometrische Daten,
  • religiöse Überzeugung,
  • Informationen über den Gesundheitszustand

Verschlüsseln Sie eine E-Mail mit personenbezogenen Daten nicht, gehen Sie das Risiko ein, dass andere Personen die E-Mail unbefugt mitlesen. Eine nicht verschlüsselte E-Mail ist ungefähr so öffentlich wie eine Postkarte. Folgende Unternehmensbereiche sollten auf E-Mail-Verschlüsselung setzen:

  • Arztpraxis
  • Anwaltskanzlei
  • Psychologen
  • Apotheker
  • Steuerberater

Für Unternehmen empfiehlt es sich, dass sie Dateien verschlüsseln. Verletzen Sie datenschutzrechtliche Vorgaben, müssen Sie die Datenschutzbehörden und die betroffenen Personen innerhalb von 72 Stunden darüber informieren. Versendeten Sie die E-Mails verschlüsselt, entfällt die Meldepflicht gegenüber der betroffenen Person.

Verschlüsselungsarten

Bei der E-Mail-Verschlüsselung gibt es die Transportverschlüsselung und die Inhaltsverschlüsselung.

Transportverschlüsselung

Sie schicken eine sichere E-Mail durch einen „verschlüsselten Tunnel“. Die E-Mail liegt bei Absender und Empfänger entschlüsselt vor, auf dem Weg, also bei der Übermittlung, ist sie aber unlesbar.

Inhaltsverschlüsselung (Ende-zu-Ende-Verschlüsselung)

Die Meta-Informationen der E-Mail, sprich Absender, Empfänger und Betreff, sind weiterhin lesbar. Ihr restlicher Inhalt ist verschlüsselt.

Informationen zu Verschlüsselungen

Bei einer Transportverschlüsselung ist die E-Mail nur auf dem Transportweg verschlüsselt. Sie befindet sich vor und nach dem Transport unverschlüsselt auf dem Server. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) weist deshalb darauf hin, dass die TLS-Verschlüsselung ein „notwendiger Baustein“ für die elektronische Kommunikation ist.

 

Bei der Inhaltsverschlüsselung ist das Standardprotokoll „OpenPGP“ für die „PGP Verschlüsselung“ sowie das Protokoll S/MIME Verschlüsselung gebräuchlich. Weit verbreitet sind auch die RMS (Microsoft Rights Management Services). Sie eignen sich für die Azure Cloud und für den „On-Premises-Einsatz“. Für die Transportverschlüsselung ist das Standardprotokoll TLS (Transport Layer Security) üblich. Dieses ist vielen noch unter dem früheren Namen SSL (Secure Socket Layer) geläufig (SSL-Verschlüsselung).

Sichere SSL/TSL Verschlüsselung

 

 

 

SSL/TSL ist eine sichere Datenschutz-Verschlüsselung für den E-Mailversand. Neben anderen wichtigen Schutzmaßnahmen schreibt die Datenschutzgrundverordnung vor, dass Sie die Verschlüsselung der personenbezogenen Daten nachweisen müssen.

(„Der Verantwortliche ist für die Einhaltung verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“)

 

 

Wir empfehlen Ihnen, dass Sie die Zertifikate von einem offiziellen Trustcenter ausstellen lassen. Ansonsten ist die E-Mail-Sicherheit durch „Man-in-the-Middle“-Angriffe gefährdet. Ist eine SSL/TLS-Zertifikat erst einmal eingerichtet, läuft es zuverlässig. In den folgenden Situationen ist die Verschlüsselung dann aber wieder unsicher:

  • Sie tauschen einen Server aus.
  • Sie oder eine Gegenstelle passen die Konfiguration an.
  • Ein Zertifikat verliert an Gültigkeit.
  • Die Gegenstelle erkennt ein Zertifikat nicht an

Stellen Sie bei besonders sensiblen Daten, etwa bei Betriebs- und Geschäftsgeheimnissen, eine hohe Geheimhaltung sicher. Es ist zwar wünschenswert, wenn Sie über Schnittstellen Spam, Malware & Co. erkennen. Allerdings sollten Sie vorrangig sicherstellen, dass niemand Kenntnis von den E-Mails erlangt. Dazu eignet sich eine Ende-zu-Ende-Verschlüsselung (Inhaltsverschlüsselung).

Anwendung für der Praxis

Die Mindestverschlüsselung SSL/TSL ist für alle Unternehmen eine Pflichtumsetzung. Ohne Verschlüsselung kommt es bei Fehlverhalten und Vorfällen zu Abmahnungen durch die Aufsichtsbehörden. SSL/TSL ist technischer Standard. Eine gesetzliche Pflicht zum Verschlüsseln von E-Mails besteht aber laut DSGVO nicht.

Zum Schutz vor Freigabe von Firmengeheimnisse und im Umgang von besonders zu schützenden Daten wird eine Inhaltsverschlüsselung (Ende-zu-Ende-Verschlüsselung) empfohlen.

Gerade bei der Ende-zu-Ende-Verschlüsselung gibt es in der Praxis und gerade bei älteren Personen Probleme bei Umsetzung, da dieser Personenkreis nicht über Sachkenntnis und Umsetzungsquellen (PC und Smartphone) verfügt, da die Informationen zum Lesen der Nachrichten nicht umgesetzt werden können.

Besonders Schützens würdige Daten sollten daher in erster Line persönlich vor Ort übergeben werden (Brief mit Kuvert; Datenträger), oder per Postversand (Brief per Post), oder per E-Mail mit Verschlüsselung (SSL/TSL; Inhaltsverschlüsselung (Ende-zu-Ende-Verschlüsselung) übermittelt werden. Diese Wege sind grundsätzlich zulässig und Praxis.

Bei der Datenübermittlung per Postversand und E-Mailversand sollte das Unternehmen unbedingt eine Einwilligung zum Datenschutz vom Kunden / Patienten einholen. Eine Einwilligung des Betroffenen im Rahmen seiner europäischen Grundrechte, die auch in die DSGVO ausstrahlen,  in eine für ihn gewollte, auch eventuell unsichere Datenverarbeitung erteilt werden kann, wenn diese wirksam, freiwillig und vorab informiert erfolgt.

Nutzung von Telefaxgeräten und Telefax-Dienste

Das reale Fax, das per Telefonleitung von einem Endgerät zum nächsten übertragen wird, erfüllt in der Tat auch heute noch den Datenschutzstandard. Das Problem ist jedoch, dass der Absender nicht mehr sicher wissen kann, ob der Empfänger noch ein reales Endgerät oder aber einen Telefax-Dienst verwendet. In letzterem Fall kann die sichere Übertragung etwa bei in E-Mails umgewandelten Faxen nicht mehr gewährleistet werden. Am Arbeitsplatz dürfte das Fax daher bald ausgedient haben. Die Übersendung besonderer Kategorien personenbezogener Daten über Telefax-Dienste ist untersagt.