DS-GVO: Anforderungen an den E-Mail-Versand

In einer aktuellen Mitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen werden die Grundbedingungen für den Versand von E-Mails aufgezeigt. Hiernach müssen E-Mails grundsätzlich geschützt sein, da bereits die Absender- und Empfängerangaben personenbezogen sein können. Ebenso können die Metadaten einen Personenbezug aufweisen. Weiter muss zwischen der Inhalts- und Transportebene unterschieden werden.

Die Inhaltsebene betrifft den eigentlichen Text(inhalt) und die Anhänge von E-Mails. Hierbei kommen vor allem die Standards S/MIME und OpenPGP in Betracht. Es handelt sich bei beiden Verfahren um eine Ende-zu-Ende-Verschlüsselung. Dies bedeutet, dass nur Absender und Empfänger die E-Mail im Klartext lesen können. Auch auf den Servern sind diese E-Mails verschlüsselt gespeichert. Die E-Mail ist auf dem gesamten Transportweg verschlüsselt und nicht im Klartext lesbar. Hingegen werden die Metadaten von dieser Verschlüsselung nicht erfasst. Eine Manipulation des Inhalts kann nachvollzogen werden, da beide Standards ebenfalls die Möglichkeit der digitalen Signatur unterstützen.

Die Transportebene erfasst die Verbindung zwischen den jeweiligen Mail-Servern. Bei einer solch verwendeten Verschlüsselungsmethode wird die E-Mail während dem Transport, also zwischen den Servern, verschlüsselt. Auf den jeweiligen Mail-Servern liegt die E-Mail jedoch im Klartext vor. Bei dieser Methode werden Meta- und Informationsdaten verschlüsselt zwischen den Servern übertragen. Viele E-Mail-Provider wenden diese Transportwegverschlüsselung bereits standardmäßig seit längerem an.

Der LDI empfiehlt für seinen Bereich (Nordrhein-Westfalen) folgende Punkte bei den technisch-organisatorischen Maßnahmen beim E-Mail-Versand zu beachten:

  • Es sollte mindestens eine Transportwegverschlüsselung vorliegen, die dem Sicherheitsstandard des BSI entsprechen sollte.
  • Für sensible Daten, z. B. Finanzierungsdaten, Daten zum Gesundheitszustand, Kontodaten, Beschäftigtendaten, usw., sollte der Einsatz einer Ende-zu-Ende-Verschlüsselung geprüft werden. Auch der Datenaustausch über gesicherte Verbindungen, z. B. Web-Portale (Verschlüsselungsart beachten!), ist denkbar.
  • Der Betreff einer E-Mail sollte keine personenbezogenen Daten enthalten.

Der LDI weist ebenfalls daraufhin, dass derzeit durch die Datenschutzkonferenz eine Empfehlung zur datenschutzkonformen E-Mail-Kommunikation erarbeitet wird. Die genannten Ausführungen stehen daher unter dem Vorbehalt späterer Anpassungen.

Heutzutage werden im privaten und geschäftlichen Bereich sehr häufig E-Mails mit personenbezogenen Daten ausgetauscht. In einer schnelllebigen Zeit bringt das der Alltag mit sich. Ein besonderes Augenmerk bietet daher der Schutz dieser übertragenen Daten zwischen Absender und Empfänger. Der LDI gibt hierzu ein paar Anhaltspunkte in welche Richtung es geht. Es bleibt nun die Empfehlung der Datenschutzkonferenz abzuwarten. Bis dahin sollten die genannten Punkte unbedingt beachtet werden, um datenschutzrechtlich korrekt zu handeln.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.