Die aktuellen Datenschutz-Anforderungen für den E-Mail-Versand von Unternehmen

Wenn Unternehmen oder öffentliche oder kirchliche Einrichtungen Daten per E-Mail an externe Empfänger versenden, sind Anforderungen an die Sicherheit der Übertragung einzuhalten. Neben gesetzlichen Anforderungen an erhöhte Vertraulichkeit für einige Berufsgruppen (z.B. Berufsgeheimnisträger), gilt übergreifend für alle Unternehmen sowie öffentliche und kirchliche Einrichtungen der gesetzliche Datenschutz (BDSG, EU DS-GVO, DSG-EKD, KDG).

Welche technischen oder organisatorischen Anforderungen sich aus den gesetzlichen Pflichten des BDSG und der europäischen DS-GVO ergeben, hat die Deutsche Datenschutzkonferenz (DSK), also das gemeinsame Gremium der Datenschutzaufsichts-Behörden der Länder und des Bundes, in Ihrer Orientierungshilfe zusammengefasst:

Zusammengefasst:

E-Mail-Nachrichten mit personenbezogenen Daten müssen verschlüsselt übertragen werden, mit dem Ziel eine angemessene Risikominderung für die Betroffenen zu erreichen.

Entscheidender Bestandteil ist dabei eine Risikobetrachtung, bei der zwischen E-Mail-Nachrichten mit normalen Risiken für die Betroffenen (z.B. E-Mails mit Namen, Anschriften, E-Mail-Adressen) und E-Mail-Nachrichten mit hohen Risiken für die Betroffenen (z.B. E-Mails mit Finanzdaten, Gesundheitsdaten) unterschieden wird.

Die Klassifizierung zwischen „normalen“ und „hohen“ Risiken sowie der generelle Umgang mit dem Begriff des Risikos ist im Kurzpapier Nr. 18 der DSK definiert.

Unterschiedliche technische Maßnahmen je Risiko-Stufe

Die DSK hat in ihrer im Mai 2020 erstmalig veröffentlichten Orientierungshilfe (überarbeitet am 26.06.2021) definiert, welche technischen Maßnahmen ein angemessenes Sicherheitslevel für die jeweiligen Risikogruppen bereitstellen.

Abhängig vom vorliegenden Risiko können die

geeignete technische Maßnahmen für die Absicherung von personenbezogenen Daten bei der Übertragung per E-Mail sein.

Nicht geeignet ist jedoch das „Standard-TLS“ zwischen E-Mail-Servern, die sog. "Opportunistische" Transportverschlüsselung.

Siehe dazu auch: Das eigentliche Sicherheitsproblem der E-Mail-Welt.

Die Praxis-Probleme der sicheren Transport- und Inhaltsverschlüsselung

So schön die Theorie, so schwierig die Umsetzung in der Praxis. Mit Standard E-Mail-Systemen ist es nur mit großem Aufwand für die IT-Administratoren möglich, je Kommunikationspartner eine geeignete TLS-Policy (obligatorische oder qualifizierte Transportverschlüsselung) einzurichten. Häufig passiert dies daher nur auf explizite Anforderung für einzelne E-Mail-Empfänger, bleibt also die Ausnahme, im Verhältnis zum gesamten E-Mail-Aufkommen.

Andererseits bedingt eine Inhaltsverschlüsselung stets großen Aufwand auf Seite der Absender und Empfänger. Je nach Verfahren sind im Vorhinein Zertifikate auszutauschen oder Passwörter zu vereinbaren und verschlüsselte Datei-Anhänge zu erzeugen bzw. beim Empfänger wieder zu entschlüsseln. Die Inhaltsverschlüsselung stellt also auch nur für Einzelfälle eine praktikable Lösung dar.

Adaptive Verschlüsselung für automatische Sicherheit

Die Lösung liegt in der adaptiven Verschlüsselung, also der automatisierten Verknüpfung von Transport- und Inhaltsschutz, bei der die jeweilige Sicherheitsmaßnahme je nach Verfügbarkeit automatisiert angewendet wird.

Sie möchten mehr erfahren?

Hohe Datenschutzanforderungen sind keine Belastung mehr, wenn sie automatisiert erfüllt werden können.

Georg Nestmann CEO