Die aktuellen Datenschutz-Anforderungen

Neben gesetzlichen Anforderungen an erhöhte Vertraulichkeit für einige Berufsgruppen (z.B. Berufsgeheimnisträger), gilt übergreifend für alle Unternehmen sowie öffentliche und kirchliche Einrichtungen der gesetzliche Datenschutz (BDSG, EU DS-GVO, DSG-EKD, KDG). Dieser geht davon aus, dass E-Mail-Nachrichten mit personenbezogenen Daten verschlüsselt übertragen werden müssen, mit dem Ziel eine angemessene Risikominderung für die Betroffenen zu erreichen. Entscheidender Bestandteil ist dabei eine Risikobetrachtung, bei der zwischen E-Mail-Nachrichten mit normalen Risiken für die Betroffenen (z.B. E-Mails mit Namen, Anschriften, E-Mail-Adressen) und E-Mail-Nachrichten mit hohen Risiken für die Betroffenen (z.B. E-Mails mit Finanzdaten, Gesundheitsdaten) unterschieden wird. Die Klassifizierung zwischen „normalen“ und „hohen“ Risiken sowie der generelle Umgang mit dem Begriff des Risikos ist im Kurzpapier Nr. 18 der DSK definiert.

Unterschiedliche technische Maßnahmen je Risiko-Stufe

Im Mai 2020 hat die Deutsche Datenschutzkonferenz, also das gemeinsame Gremium der Datenschutzaufsichts-Behörden der Länder und des Bundes, eine Orientierungshilfe veröffentlicht (überarbeitet am 26.06.2021). Diese definiert, welche technischen Maßnahmen ein angemessenes Sicherheitslevel für die jeweiligen Risikogruppen bereitstellen.

Anforderung der Datenschutzbehörden für den E-Mail-Versand mit personenbezogenen Daten


Abhängig vom vorliegenden Risiko können die

geeignete technische Maßnahmen für die Absicherung von personenbezogenen Daten bei der Übertragung per E-Mail sein. Nicht geeignet ist jedoch das „Standard-TLS“ zwischen E-Mail-Servern, die sog. "Opportunistische" Transportverschlüsselung. Siehe dazu auch: Das eigentliche Sicherheitsproblem der E-Mail-Welt. Vergleich der unterschiedlichen Arten von Transportverschlüsselung

Die Praxis-Probleme der sicheren Transport- und Inhaltsverschlüsselung

So schön die Theorie, so schwierig die Umsetzung in der Praxis. Mit Standard E-Mail-Systemen ist es nur mit großem Aufwand für die IT-Administratoren möglich, je Kommunikationspartner eine geeignete TLS-Policy (obligatorische oder qualifizierte Transportverschlüsselung) einzurichten. Häufig passiert dies daher nur auf explizite Anforderung für einzelne E-Mail-Empfänger, bleibt also die Ausnahme, im Verhältnis zum gesamten E-Mail-Aufkommen. Andererseits bedingt eine Inhaltsverschlüsselung stets großen Aufwand auf Seite der Absender und Empfänger. Je nach Verfahren sind im Vorhinein Zertifikate auszutauschen oder Passwörter zu vereinbaren und verschlüsselte Datei-Anhänge zu erzeugen bzw. beim Empfänger wieder zu entschlüsseln. Die Inhaltsverschlüsselung stellt also auch nur für Einzelfälle eine praktikable Lösung dar.

Adaptive Verschlüsselung für automatische Sicherheit

Die Lösung liegt in der adaptiven Verschlüsselung, also der automatisierten Verknüpfung von Transport- und Inhaltsschutz, bei der die jeweilige Sicherheitsmaßnahme je nach Verfügbarkeit automatisiert angewendet wird. Sie möchten mehr erfahren?

Oder erfahren Sie mehr zu

Hohe Datenschutzanforderungen sind keine Belastung mehr, wenn sie automatisiert erfüllt werden können.

Georg Nestmann
Geschäftsführer Produktmanagement