Ratgeber
/ 06. April 2023

E-Mail-Verschlüsselung: Was fordert der Datenschutz?

Die DSGVO nennt Verschlüsselung als eine Maßnahme, um die Sicherheit bei der Verarbeitung personenbezogener Daten zu gewährleisten. Müssen Datenschutzbeauftragte daher den Verantwortlichen raten, alle E-Mails zu verschlüsseln? Das kommt darauf an - auf die E-Mails und die Art der Verschlüsselung.

Was sagt die DSGVO zur Verschlüsselung?

Die Datenschutz-Grundverordnung (DSGVO) wäre an sich schon Grund genug, den Anteil der Unternehmen, die Verschlüsselung aus Compliance-Gründen einsetzen, deutlich zu erhöhen.

So nennt die DSGVO in Art. 32 nicht nur ausdrücklich die Verschlüsselung als eine der Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten. Auch in Art. 34 DSGVO heißt es im Zusammenhang mit der Meldepflicht bei Datenpannen:

„(3) Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
a) der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung, (…).“JTA5JTBBJTBBJTVCaGlud2Vpc2JveCUyMG5hbWUlM0QlMjJOZXdzbGV0dGVyJTIwQmFubmVyJTIwZ3Jvc3MlMjIlNUQ=

Ist E-Mail-Verschlüsselung im Datenschutz also grundsätzlich Pflicht?

Verschiedene Anbieter von IT-Sicherheitssoftware nutzen die Anforderungen und Konsequenzen der DSGVO, um für ihre Produkte zu werben.

Dabei ist die Forderung nach einer Verschlüsselung nicht neu. Verschlüsselte Kommunikation hatte und hat eine wichtige Stellung. Sie trägt wesentlich dazu bei, das Schutzziel „Vertraulichkeit“ im Datenschutz zu erreichen, und hilft, Daten auf Integrität und Echtheit zu prüfen.

Allerdings gilt: Geeignete technische und organisatorische Maßnahmen sollen ein Schutzniveau für personenbezogene Daten gewährleisten, das dem Risiko angemessen ist.

Das heißt für die Datenschutz-Beratung: Machen Sie als Datenschutzbeauftragte/-r den Verantwortlichen klar, dass sie die technischen und organisatorischen Maßnahmen „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ auswählen müssen.

Daraus folgt, dass die Verschlüsselung von E-Mails im Datenschutz nicht automatisch Pflicht ist. Nicht alle E-Mail-Nachrichten müssen also vom Absender bis zum Empfänger verschlüsselt sein (Ende-zu-Ende-Verschlüsselung).

Was sagen die Aufsichtsbehörden zur E-Mail-Verschlüsselung?

Bedeutet das nun, dass E-Mail-Verschlüsselung freiwillig ist? Die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen schreibt beispielsweise, dass Maßnahmen wie Verschlüsselung als Beispiele für Standardmaßnahmen zu verstehen sind.

Das heißt: Soweit ihr Einsatz möglich und angemessen ist, sind sie im Datenschutz grundsätzlich umzusetzen.

Zentral: Angemessenheit und Schutzbedarf

Es kommt also auf die Angemessenheit und damit auf den Schutzbedarf an. Sensibilisieren Sie als Datenschutzbeauftragte/-r (DSB) dafür, dass Daten mit hohem oder sehr hohem Schutzbedarf wie etwa Gesundheitsdaten eine Ende-zu-Ende-Verschlüsselung erforderlich machen, wenn sie jemand per E-Mail versendet.

Da diese Verschlüsselung die Betreffzeile der E-Mail nicht schützt, muss der Absender darauf achten, dass der Betreff keine Daten mit hohem oder sehr hohem Schutzbedarf enthält.

Übermittelt der Absender personenbezogene Daten mit normalem Schutzbedarf, besteht die Möglichkeit, im Einzelfall auf eine Ende-zu-Ende-Verschlüsselung der Inhaltsdaten zu verzichten.

Mindeststandard: Transportverschlüsselung

Als Mindeststandard ist bei der Übermittlung personenbezogener Daten mit normalem Schutzbedarf eine Transportverschlüsselung erforderlich, so die Aufsichtsbehörde. Auch die Datenschutzkonferenz (DSK) hat sich in ihrer Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ entsprechend positioniert.

Praxis-Tipp
Es zeigt sich: Es kommt auf den Schutzbedarf der personenbezogenen Daten und die Art der Verschlüsselung an. Alle E-Mails zu verschlüsseln, fordert der Datenschutz also nicht.

Datenschutz-Management kompakt online

Datenschutz-Management kompakt ist die umfassende Lösung für die effiziente und rechtssichere Umsetzung der gesetzlichen Datenschutz-Vorgaben.

Profitieren Sie von den Erläuterungen und Umsetzungstipps zahlreicher erfahrener Datenschutzbeauftragter und Fachanwälten zum Datenschutzrecht.

 

Wie setzen Sie die E-Mail-Verschlüsselung richtig um?

Neben der angeblich grundsätzlichen Pflicht, alle E-Mails komplett zu verschlüsseln, gab es in der Vergangenheit auch Meldungen, E-Mail-Verschlüsselung sei nicht mehr sicher. Hier heißt es, genauer hinzusehen. Denn E-Mail-Verschlüsselung ist eine Lösung aus vielen Komponenten. Das ist wichtig zu bedenken, wenn Sie als DSB die möglichen Sicherheitslücken richtig einschätzen wollen.

Ein Beispiel: Im Mai 2018 hatten Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der Universität Leuven (Belgien) schwerwiegende Schwachstellen in den weitverbreiteten E-Mail-Verschlüsselungsstandards OpenPGP und S/MIME gefunden. Die Forschenden informierten das Bundesamt für Sicherheit in der Informationstechnik (BSI) darüber.

Angreifer konnten demnach verschlüsselte E-Mails so manipulieren, dass sie den Inhalt der Nachrichten im Klartext erhielten, nachdem der eigentliche Empfänger den Text entschlüsselt hatte.

Die genannten E-Mail-Verschlüsselungs-Standards lassen sich nach Einschätzung des BSI allerdings weiterhin sicher einsetzen, wenn sie korrekt implementiert und sicher konfiguriert sind.

Um die Schwachstellen auszunutzen, musste ein Angreifer Zugriff auf den Transportweg, den Mail-Server oder das E-Mail-Postfach des Empfängers haben, stellte das BSI klar. Zusätzlich mussten auf Empfängerseite aktive Inhalte erlaubt sein, also etwa das Ausführen von Html-Code und insbesondere das Nachladen externer Inhalte.

Das BSI empfahl entsprechend:

  • Verantwortliche müssen aktive Inhalte im E-Mail-Client deaktivieren. Dazu zählen die Ausführung von Html-Code und das Nachladen externer Inhalte, die oftmals aus gestalterischen Gründen erlaubt sind.
  • E-Mail-Server und E-Mail-Clients müssen gegen unberechtigte Zugriffsversuche abgesichert sein.
Datendiebstahl, Spionage und Sabotage können jedes Unternehmen treffen und zu einer existenziellen Bedrohung werden. Dennoch nutzen Unternehmen viele mögliche Sicherheitsmaßnahmen noch nicht, so der Digitalverband Bitkom: Nur 41 Prozent verschlüsseln beispielsweise ihren E-Mail-Verkehr.

Gleichzeitig berichten 68 Prozent der von Datendiebstahl betroffenen Unternehmen, dass die Angreifer Kommunikationsdaten wie E-Mails entwendet haben (2021: 63 Prozent).

Welche Maßnahmen sorgen für mehr E-Mail-Verschlüsselung?

Auch wenn die Mitarbeiterinnen und Mitarbeiter nicht jede E-Mail verschlüsseln müssen und E-Mail-Verschlüsselung nicht vor Sicherheitslücken gefeit ist: Raten Sie als Datenschutzbeauftragter den Unternehmen, deutlich mehr zu tun, um vertrauliche E-Mails zu schützen.

Prüfen Sie dabei die Maßnahmen ab, die diese Tabellenübersicht aufführt.

Beispiel
Informationen für die Geschäftsleitung

Um die Geschäftsleitung als verantwortliche Stelle zu informieren und für den Datenschutz zu sensibilisieren, sind Studien und Umfragen hilfreich, die die Notwendigkeit von Verschlüsselung unterstreichen.

  • Eine aufschlussreiche Studie hierzu ist z.B. der  Digitalisierungsindex Mittelstand. Ihre mobilen Arbeitsplätze für ausreichend gesichert halten demnach nur 43 Prozent der befragten Beschäftigten. Vor allem die Sicherheit bei E-Mails und Technologien zur Verschlüsselung will der Mittelstand künftig ausbauen.
  • Die Studie „Einsatz von elektronischer Verschlüsselung – Hemmnisse für die Wirtschaft“ im Auftrag des Bundesministeriums für Wirtschaft und Energie stellt in diesem Zusammenhang klar: Der Einsatz von Verschlüsselungs-Lösungen, etwa für E-Mails und Datenträger, ist ein wichtiger Faktor, um die IT-Sicherheit von Unternehmen zu erhöhen und Gefahren durch Angriffe zu minimieren.

Obwohl die erforderlichen Lösungen alle auf dem Tisch zu liegen scheinen, kommt der flächendeckende Einsatz von E-Mail-Verschlüsselung nicht recht voran. Dabei sind Informationen in einer unverschlüsselten E-Mail genauso schlecht geschützt wie auf einer Postkarte.

Zusammenfassung: E-Mail-Verschlüsselung – warum und wie?

Die Verschlüsselung von E-Mails schützt vor folgenden Datenrisiken:

  • Verlust der Vertraulichkeit und Integrität beim Versand von E-Mails
  • Verlust der Vertraulichkeit und Integrität bei der Speicherung von E-Mails

Verfahren der E-Mail-Verschlüsselung:

  • Verschlüsselte Übertragung von E-Mails (Transportverschlüsselung): TLS (Transport Layer Security)
  • Verschlüsselung der Mail-Inhalte (Ende-zu-Ende-Verschlüsselung): S/MIME (Secure/Multipurpose Internet Mail Extensions) oder PGP (Pretty Good Privacy)

Oliver Schonschek