Gratis
23. März 2018 - Technischer Datenschutz

DSGVO-konformer E-Mail-Versand

Der Versand von E-Mails gehört zum Alltag in jedem Büro. Und kaum ein Mitarbeiter wird sich dabei Gedanken um den Datenschutz machen. Die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW (LDI) weist in einer aktuellen Mitteilung darauf hin, was gemäß der Datenschutz-Grundverordnung (DSGVO) zu berücksichtigen ist.

DSGVO-konformer E-Mail-Versand Die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW zeigt auf, welche technischen und organisatorischen Maßnahmen bei einem E-Mail-Versand laut DSGVO zu beachten sind. (Bild: h-komm / iStock / Thinkstock)

Wie sehen technische und organisatorische Maßnahmen beim Versenden von E-Mails aus, wenn personenbezogene Daten geschützt werden müssen? Diese Fragestellung bearbeitet die LDI in ihrer aktuellen Mitteilung.

Datenschutzrelevante E-Mail-Inhalte

Technisch besteht eine E-Mail aus ihrem eigentlichen Inhalt sowie Meta-Informationen:

  • Der Inhalt umfasst die Nachricht und eventuell beigefügte Dateianhänge.
  • Zu den Meta-Informationen gehören die Adressen der Absender und Empfänger, das Datum und der Betreff der Nachricht.

Beide Inhaltsebenen können personenbezogene Daten umfassen. Deswegen müssen beide Ebenen in die datenschutzrechtliche Beurteilung einbezogen werden, so die LDI.

Nutzer sensibilisieren

Ob der Versender eine E-Mail verschlüsseln muss, hängt vom Schutzbedarf der übertragenen Daten ab.

Geht es um Daten, die nach Art. 9 Abs. 1 DSGVO einen sehr hohen Schutzbedarf haben, ist eine Ende-zu-Ende-Verschlüsselung notwendig.

Diese chiffriert den Inhalt der E-Mail. Allerdings erfasst sie nicht die Metainformationen.

Deswegen müssen die Nutzer dafür sensibilisiert werden, für den Betreff einer Nachricht einen neutralen Text zu wählen, der nicht zu viel über den Inhalt verrät.

Möglichkeiten der Verschlüsselung

Für die Verschlüsselung der Inhalte bieten sich in erster Linie die beiden Verfahren S/MIME und OpenPGP an.

Beide Standards unterstützen digitale Signaturen. Sie können Manipulationen auf dem Transportweg entdecken.

Da beide Verfahren nicht die Meta-Ebene der Mail verschlüsseln können, kann eine Verschlüsselung auf Transportebene notwendig und sinnvoll sein.

Dabei werden die E-Mails auf der Verbindung zwischen Mailprogrammen und auf dem Weg zwischen verschiedenen Mail-Servern verschlüsselt.

Ohne Ende-zu-Ende-Verschlüsselung liegen die Inhalte auf den beteiligten Servern im Klartext vor.

Stand der Technik

Für die sichere Implementierung einer Verschlüsselung auf Transportebene hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine neue technische Richtlinie herausgegeben.

Die Richtlinie BSI TR-03108-1: Sicherer E-Mail-Transport gilt unter datenschutzrechtlichen Aspekten als aktueller Stand der Technik.

Das bedeutet, dass die Umsetzung der Richtlinie die notwendige Voraussetzung für die datenschutzkonforme Kommunikation per E-Mail ist.

Stephan Lamprecht