Vorgaben der Datenschutzkonferenz:
So versenden Sie personenenbezogene Daten sicher per E-Mail

Die Datenschutzkonferenz DSK besteht aus den deutschen Landesdatenschutzbehörden und der Datenschutzbehörde des Bundes. Die Datenschutzkonferenz erstellt Vorgaben für die einheitliche Anwendung des europäischen und des deutschen Datenschutzrechts.

Update 26.05.2020:
Maßnahmen für den Schutz personenbezogener Daten im E-Mail-Versand

Die Datenschutzkonferenz DSK, das Gremium der deutschen Datenschutzaufsichtsbehörden, hat erstmals die technischen Anforderungen formuliert, wie E-Mails sicher und datenschutzkonform versendet werden können. Wichtige Vorgaben für jeden, der personenbezogene Daten verschickt.
Es handelt sich ebenfalls um starke Leitlinien für alle künftigen Auditierungen, Prüfverfahren und auch Bußgelderlasse.

Lesen Sie die Vorgaben im Original:
DSK: Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail

Für wen gelten die Beschlüsse der Datenschutzkonferenz?

Alle Behörden, Kommunen und öffentlichen Einrichtungen müssen sich an die Vorgaben der DSK halten. Für private Unternehmen ist es sehr empfehlenswert, sich ebenfalls an die Vorgaben der DSK zu halten und den Datenschutz im Einklang mit den Ansichten dieser Aufsichtsbehörde zu gestalten. Im Klage- oder Schadensfall ergibt sich daraus eine starke Verteidigungsposition. Denn auch Jahre nach Inkrafttreten der EU-DSGVO besteht große Rechtsunsicherheit über die praktische Umsetzung der Datenschutzanforderungen. Die Richtlinien der DSK sind eine wichtige Orientierungshilfe für jedes Unternehmen.

Dürfen personenbezogene Daten per E-Mail versendet werden?

Ja, öffentliche Einrichtungen, Behörden, Kommunen, Unternehmen, Arztpraxen, Kanzleien und Verbände dürfen personenbezogene Daten per E-Mail versenden. Das ist auch oftmals der einfachste, schnellste und günstigste Weg, um mit Mitarbeitern, Kunden, Patienten, Mandanten, Eltern oder Schülern zu kommunizieren. Dabei sind jedoch die Vorgaben für den Datenschutz zu beachten. Die personenbezogenen Daten dürfen nicht in falsche Hände geraten.

Was ist wichtig, was ist neu?

Bei den Anforderungen für den E-Mail-Versand wird nun grundsätzlich unterschieden zwischen „normalem Risiko“ und „hohem Risiko“ der personenbezogenen Daten für die betroffenen Personen. Darüber hinaus werden „geheim zu haltende Inhalte“ nach §203 StGB unterschieden.
Der E-Mail-Versand von Unternehmen fällt dabei häufig unter die Klassifizierung „hohes Risiko“. Dafür genügt es z.B. bereits, wenn per E-Mail Informationen über schützenswerte Personengruppen versandt werden, beginnend bei den eigenen Mitarbeitern. Doch genau für diese Klassifizierung „hohes Risiko“ fehlen bisher praktikable Anwendungen.

Was sind Beispiele für personenbezogene Daten mit hohem Risiko?

Hohes Risiko bedeutet, dass den betroffenen Personen hoher Schaden entstehen kann. Das sind nicht nur materielle oder monetäre Schäden, die man beziffern kann. Sondern ebenso physische und immaterielle Schäden, die durch Einschränkungen von persönlichen Rechten und Freiheiten, Diskriminierung, Diffamierung, Bloßstellung und gesellschaftliche Benachteiligung oder Behinderung eintreten. Naheliegende Beispiele für solche Grundrechtsverletzungen sind die nicht ausreichend geschützte Verarbeitung und der Versand von Gesundheitsdaten, Finanzdaten, Angaben zur religiösen oder sexuellen Orientierung, juristische oder Überwachungsdaten, Personenkenndaten geeignet zur Profilanlage, Informationen über besonders schützenswerte Personengruppen wie Kinder und Beschäftigte und vieles mehr.


Was können Datenschutzverantwortliche und Unternehmer tun?

Für Datenschutzverantwortliche und Unternehmer hat die technische Umsetzung der Datenschutzanforderungen im Sinne der DSGVO bisher zu zwei möglichen Konsequenzen geführt:

  1. ENTWEDER wird großer technischer und organisatorischer Aufwand betrieben: Die Ende-zu-Ende-Verschlüsselung per PGP oder S/MIME ist definitv sicher genug, aber viel zu wenig verbreitet. Vor allem im Klein- und Mittelstand und bei Privatpersonen. Unternehmen können sich auf diese Sicherheitsstandards also oftmals nicht verlassen. Was häufig als vermeintlicher Ausweg folgt, sind passwortbasierte Verfahren wie die PDF- oder ZIP-Verschlüsselung, der Versand über Webportale oder sogar die Rückkehr zum teuren Brief. Die Nachteile für alle Beteiligten liegen auf der Hand: Die eigenen Mitarbeiter haben mehr Pflichten und Aufwand beim E-Mail-Versand, die Empfänger erhalten keine normalen E-Mails mehr, müssen Passwörter verwalten und letztlich steigen damit Aufwände, Unzufriedenheit und Kosten.

  2. ODER es werden mangels guter Lösungen am Markt fälschlicherweise nur „normale Risiken“ für die gesamte E-Mail-Kommunikation angenommen. Die einfache Transportverschlüsselung ist nicht sicher "gegen Dritte [...], die aktiv in den Netzwerkverkehr eingreifen", schreibt die DSK - also gegen Angreifer. Zudem liegt sofort ein Datenschutzverstoß vor, wenn auf diesem Weg personenbezogene Daten hohen Risikos versendet werden.

Hohe Datenschutzanforderungen sind eine Belastung, wenn es keine guten Lösungen gibt.

Georg Nestmann
Geschäftsführer Produktmanagement

Es geht viel einfacher: Die qualifizierte Transportverschlüsselung für den personenbezogenen E-Mail-Versand

Denn die Datenschutzkonferenz DSK stellt auch klar: Mit einer technisch einwandfreien Transportverschlüsselung, der sogenannten qualifizierten Transportverschlüsselung, dürfen auch personenbezogene Daten mit hohem Risiko per E-Mail versendet werden. Dafür ist es wichtig, dass nicht nur eine starke Verschlüsselung gemäß den technischen Vorgaben des BSI sichergestellt wird, sondern auch eine strikte Authentizitätsprüfung erfolgt. Das heißt, die Transportverschlüsselung ist nur sicher und damit "qualifiziert", wenn sichergestellt werden kann, dass mit dem richtigen Empfängersystem kommuniziert wird und nicht mit einem unbefugten Dritten. Vereinfacht gesagt: Die qualifizierte Transportverschlüsselung überträgt eine E-Mail so sicher wie ein Einwurfeinschreiben.
Normale E-Mail-Server beherrschen dieses Verfahren nicht. Comcrypto stellt mit comcrypto MXG ein E-Mail-Gateway zur Verfügung, das die qualifizierte Transportverschlüsselung erstmals für die automatische und flächendeckende Nutzung möglich macht. Comcrypto MXG bildet die Grundlage für den 100% datenschutzkonformen E-Mail-Versand ohne unnötigen Mehraufwand.



Comcrypto MXG bietet sofort:

  1. Den umfassenden Schutz für alle Verantwortlichen im Sinne der DSGVO, die bisher keine Vorkehrungen für die E-Mail-Verschlüsselung getroffen haben,
  2. Die wichtige Schutzergänzung, wenn bisher nur einzelne E-Mails Ende-zu-Ende- bzw. Passwort-verschlüsselt werden. Comcrypto MXG schafft eine enorme Aufwandsminimierung bei Mitarbeitern und Empfängern.

Erfragen Sie gern, wie wir die strengen Anforderungen der Datenschutzkonferenz DSK und des Bundesamt für Sicherheit in der Informationstechnik BSI im Einzelnen umgesetzt haben. Wir zeigen Ihnen Beispiele, wie Sie comcrypto MXG in Ihre individuelle E-Mail-Infrastruktur integrieren können.


Das MXG von comcrypto durchlief erfolgreich unsere strenge Datenschutzprüfung. Unsere Kunden sind sehr zufrieden damit, die E-Mails der S-Factoring ohne Passwortprobleme empfangen zu können.

Uwe Sablotny
Geschäftsführer S-Factoring GmbH, Leipzig

Sie nutzen bereits eine andere E-Mail-Verschlüsselung?

MXG ist grundsätzlich mit anderen E-Mail-Verschlüsselungssystemen kompatibel. Beim Versand erkennt comcrypto MXG, wenn eine E-Mail bereits inhaltsverschlüsselt ist und stellt die Nachricht in diesem Fall ohne Weiteres zu. Die Methode der Inhaltsverschlüsselung (z.B. PGP oder S/MIME) wird DSGVO-konform zur Erfüllung der Nachweispflicht dokumentiert.
Wenn Sie bereits eine E-Mail-Verschlüsselung im Einsatz haben, dann vermutlich aus einem der folgenden Gründe:

  • Sie versenden per E-Mail regelmäßig sensible personenbezogene Daten und akzeptieren daher den Mehraufwand der häufig passwortbasierten Zustellung.
  • Sie gehören zu einer Berufsgruppe, die gesetzlich zur Geheimhaltung verpflichtet ist (§203 StGB). Diese gesetzliche Pflicht ist separat zur DSGVO zu betrachten und kann in einigen Fällen nicht durch eine Transportverschlüsselung (egal wie sicher) ersetzt werden.

Für alle genannten Fälle empfehlen wir: Prüfen Sie, wo der Mehraufwand der Ende-zu-Ende- oder Passwort-Verschlüsselung tatsächlich notwendig ist. Behalten Sie die bestehende Verschlüsselung für diese Fälle bei, aber ergänzen Sie zur Absicherung Ihres vollständigen E-Mail-Versands die qualifizierte Transportverschlüsselung mit MXG. So vermeiden Sie unnötigen Aufwand bei Ihren Mitarbeitern und Empfängern. Auch erreichen Sie mit dem comcrypto MXG E-Mail-Gateway endlich diejenigen Kommunikationspartner sicher per E-Mail, die keine Ende-zu-Ende- oder Passwort-Verschlüsselung nutzen können oder wollen.

100% datenschutzkonformer E-Mail-Versand? Mit MXG gelingt das sofort und ohne Zeitverlust.

Ronald Scholz
Leiter Unternehmensentwicklung