Datenschutz im E-Mail-Versand:
Dürfen personenbezogene Daten per E-Mail versendet werden?

Ja, denn letztlich enthält jede geschäftliche E-Mail personenbezogene Daten. Einzige Auflage: Es ist zwingend eine verschlüsselte Übertragung notwendig.
Auch zum Beispiel Rechnungen, Gesundheitsdaten, Finanzdaten oder Sozialdaten dürfen per E-Mail versendet werden. Das erlaubt in vielen Unternehmen, in der öffentlichen Verwaltung, im Gesundheitswesen, in der Versicherungswirtschaft und im Sozialwesen erhebliche Kosteneinsparungen durch schnellere und einfache Kommunikation.

Das MXG von comcrypto durchlief erfolgreich unsere strenge Datenschutzprüfung. Unsere Kunden sind sehr zufrieden damit, die E-Mails der S-Factoring ohne Passwortprobleme empfangen zu können.

Uwe Sablotny
Geschäftsführer S-Factoring GmbH, Leipzig

S-Factoring sorgt mit MXG für bessere Kundenkommunikation

Das müssen Sie tun für den Datenschutz

Durch die Verschlüsselung entweder der E-Mail selbst (Inhaltsverschlüsselung bzw. Ende-zu-Ende-Verschlüsselung) oder der sicheren Übertragung der E-Mail (Transportverschlüsselung) werden die Datenschutzanforderungen der DSGVO und der deutschen Datenschutzkonferenz (DSK) erfüllt. Den Datenschutz einzuhalten ermöglicht, rechtskonform per E-Mail zu kommunizieren. Ohne Umwege über Briefe, Portale oder Apps.

Hoher Aufwand oder hohe Unsicherheit?

Ende-zu-Ende-Verschlüsselung mit PGP oder S/MIME ist sehr sicher, aber auch sehr aufwändig. Mit einzelnen Empfängern kann das funktionieren. In der Breite und bei großen E-Mail-Mengen aber übersteigt der Aufwand schnell das Menschenmögliche. Also Transportverschlüsselung? Bisher leidet die E-Mail-Welt daran, dass der Schutz des Transportkanals nicht konsequent umgesetzt wird und dann auch keine verlässliche Sicherheit bietet.

Transportverschlüsselung muss richtig angewendet werden

Die sichere Transportverschlüsselung kennen Sie aus jedem aktuellen Internet-Browser. Online-Banking, Online-Shopping und der Austausch selbst von sensiblen Daten ist sicher möglich, weil die Browser vor dem eigentlichen Datenaustausch die Sicherheit jeder Verbindung prüfen und bei Sicherheitsproblemen sofort warnen:
TLS-Zertifikatsprüfung im Browser Firefox

Das Problem in der E-Mail-Welt

Obwohl zwischen E-Mail-Systemen die gleiche Art von Verschlüsselung zum Einsatz kommt, wie zwischen Browser und Webserver, führen die E-Mail-Server untereinander die Sicherheitsprüfung leider nicht durch und warnen den Nutzer auch nicht vor entsprechenden Problemen. Ob eine E-Mail beim Empfänger-System ankommt, ohne dass sie von Dritten gelesen wurde, ist damit reine Glückssache und für die Nutzer im Nachhinein auch nicht mehr nachvollziehbar.


Vergewissern Sie sich selbst und machen den Vergleich

Öffnen Sie diese Website im Browser: https://evaluation.comcrypto.de

  • Mit aktuellen Browsern erhalten Sie eine deutliche Warnung, dass die Verbindung unsicher ist und nicht erfolgen sollte.

Schreiben Sie jetzt bitte eine E-Mail an: test@evaluation.comcrypto.de

  • Die E-Mail wird sehr wahrscheinlich ohne Prüfung versendet, obwohl das hinterlegte E-Mail-System dieselben gravierenden Sicherheitsdefizite aufweist.

Fehlende Sicherheitsmaßnahmen zwischen E-Mail-Servern

Unsichere Empfänger bergen ein hohes Schadensrisiko

Wenn Sie eine Antwort vom Testsystem erhalten haben, hat Ihr E-Mail-Server die E-Mail und damit Ihre Daten trotz Sicherheitsproblemen an unseren Testserver übertragen. Dies ist ein Beleg dafür, dass Ihre E-Mail-Systeme auf dem Transportweg bisher keine ausreichende Sicherheit gewährleisten.

Was bedeutet das für Sie?

Um E-Mails datenschutzkonform zu übertragen, könnten Sie bisher nur auf S/MIME, PGP oder verschlüsselte Datei-Anhänge zurückgreifen, die sehr aufwändig anzuwenden sind.


Qualifizierte Transportverschlüsselung (qTLS) macht den Unterschied

Die Lösung in der Breite ist die qualifizierte Transportverschlüsselung, die verlässliche Sicherheit und datenschutzkonforme E-Mail-Übertragung selbst im sogenannten „hohen Risiko“ ermöglicht. Sie ist für bisherige E-Mail-Systeme durch die Erweiterung mit comcrypto MXG umsetzbar. MXG wird einfach als letzte Prüfinstanz für die ausgehende E-Mail-Kommunikation hinter Ihrem E-Mail-Server installiert.




Hohe Datenschutzanforderungen sind keine Belastung mehr, wenn sie einfach erfüllt werden können.

Georg Nestmann
Geschäftsführer Produktmanagement

Sicher in der Praxis: 100% Datenschutz mit comcrypto MXG

Mit dem MXG E-Mail-Gateway erfüllen Sie alle Datenschutz-Pflichten für den E-Mail-Versand in Ihrem Unternehmen, Ihrer Behörde, kommunalen Einrichtung oder Verband. MXG erlaubt über wenige Eingaben, das Datenschutz-Risiko in Ihrer E-Mail-Kommunikation zu klassifizieren. Für jede E-Mail-Übertragung findet eine automatische Sicherheitsprüfung statt.


Qualifizierten Transportschutz (qTLS) nutzen und Aufwand sparen

Nutzen Sie die qualifizierte Transportverschlüsselung in der Breite und beschränken Sie die Anwendung von aufwändiger Inhaltsverschlüsselung auf die Fälle, für die sie tatsächlich notwendig ist (z.B. bei Geheimhaltungspflichten gegenüber Mandanten).



So funktioniert das comcrypto MXG

Datenschutzkonferenz: Maßnahmen für den E-Mail-Versandschutz

Die Datenschutzkonferenz DSK, das Gremium der deutschen Datenschutzaufsichtsbehörden, hat im Mai 2020 erstmals die technischen Anforderungen formuliert, wie E-Mails datenschutzkonform versendet werden können. Wichtige Vorgaben für jeden, der personenbezogene Daten verschickt.
Es handelt sich ebenfalls um starke Leitlinien für alle künftigen Auditierungen, Prüfverfahren und auch Bußgelderlasse.

Lesen Sie die Vorgaben im Original:
DSK: Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail

Was ist wichtig, was ist neu?

Bei den Anforderungen für den E-Mail-Versand wird nun grundsätzlich unterschieden zwischen „normalem Risiko“ und „hohem Risiko“ der personenbezogenen Daten für die betroffenen Personen. Darüber hinaus werden „geheim zu haltende Inhalte“ nach §203 StGB unterschieden.
Der E-Mail-Versand von Unternehmen fällt dabei häufig unter die Klassifizierung „hohes Risiko“. Dafür genügt es z.B. bereits, wenn per E-Mail Informationen über schützenswerte Personengruppen versandt werden, beginnend bei den eigenen Mitarbeitern. Doch genau für diese Klassifizierung „hohes Risiko“ fehlen bisher praktikable Anwendungen.

Für wen gelten die Beschlüsse der Datenschutzkonferenz?

Alle Behörden, Kommunen und öffentlichen Einrichtungen müssen sich an die Vorgaben der DSK halten. Für private Unternehmen ist es sehr empfehlenswert, sich ebenfalls an die Vorgaben der DSK zu halten und den Datenschutz im Einklang mit den Ansichten dieser Aufsichtsbehörde zu gestalten. Im Klage- oder Schadensfall ergibt sich daraus eine starke Verteidigungsposition. Denn auch Jahre nach Inkrafttreten der EU-DSGVO besteht große Rechtsunsicherheit über die praktische Umsetzung der Datenschutzanforderungen. Die Richtlinien der DSK sind eine wichtige Orientierungshilfe für jedes Unternehmen.

100% datenschutzkonformer E-Mail-Versand? Mit MXG gelingt das sofort und ohne Zeitverlust.

Ronald Scholz
Leiter Unternehmensentwicklung