Durch die EU-DSGVO ist E-Mail-Verschlüsselung Pflicht für Unternehmen
DSGVO: E-Mail-Verschlüsselung ist Pflicht

DSGVO: E-Mail-Verschlüsselung ist Pflicht

Schon heute schreibt das Bundesdatenschutzgesetz (BDSG) die Verschlüsselung von E-Mails mit personenbezogenen Daten vor. Ab dem 25. Mai 2018 verschärft die Datenschutz-Grundverordnung (DSGVO) die Lage: E-Mail-Verschlüsselung wird endgültig zur Pflicht.

E-Mail-Verschlüsselung schützt vor Bußgeldern

Es herrscht eine riesige Verunsicherung in Hinblick auf die DSGVO: Was ist jetzt noch zu tun? Welche Maßnahmen können ergriffen werden, um sich vor den horrenden, existenzvernichtenden Bußgeldern zu schützen? Viele Tipps haben wir bereits in verschiedenen Blogbeiträgen gegeben. Heute werfen wir einen Blick auf die E-Mail-Verschlüsselung.

Die Verschlüsselung wird explizit in Artikel 32 DSGVO als Schutzmaßnahme erwähnt. Bedeutet für Euch: Setzt Ihr Verschlüsselung ein, habt Ihr bereits einen wichtigen Teil der Umsetzung der DSGVO geschafft. Die Verschlüsselung bringt darüber hinaus einen großen Vorteil bezüglich der Benachrichtigungspflicht:

Artikel 33 und 34 DSGVO erklären, dass Unternehmen verpflichtet sind, Datenschutzverletzungen binnen 72 Stunden bei der zuständigen Aufsichtsbehörde zu melden. Daneben sind – wenn ein hohes Risiko besteht – auch die betroffenen Personen zu benachrichtigen. Waren jedoch die kompromittierten Daten verschlüsselt, könnt Ihr auf die Meldung bei den betroffenen Personen verzichten.

Verschlüsselt Ihr, schützt Ihr Euch gleichzeitig vor den horrenden Bußgeldern. Denn Ihr habt Schutzvorkehrungen getroffen, die dem aktuellen Stand der Technik entsprechen. Somit erspart Ihr Eurer Organisation nicht nur viel Aufwand, sondern Ihr schützt auch Euren guten Ruf als datenschutzorientiertes Unternehmen.

Aktuelle Gesetzeslage schreibt ebenfalls E-Mail-Verschlüsselung vor

Interessant ist die Tatsache, dass die Datenschutz-Grundverordnung nicht allzu viel in Bezug auf den E-Mail-Verkehr ändert. Das Bundesdatenschutzgesetz verpflichtet auch schon heute Unternehmen dazu, E-Mails, die personenbezogene Daten enthalten, zu verschlüsseln. Tut Ihr das nicht, geht Ihr hohe Risiken ein: Sensible Daten können so in falsche Hände gelangen oder Ihre Nachrichten können manipuliert werden.

Was sich jedoch ändert, sind die Folgen für Unternehmen. Datenschutzverstöße werden nach BDSG mit Bußgeldern von bis zu 300.000 Euro belegt oder es folgen Freiheitsstrafen von bis zu zwei Jahren. In der Praxis hat es kaum einen Datenschutzverstoß gegeben, bei dem diese Höchststrafen eingesetzt wurden. Das wird sich mit der DSGVO ändern: Der Gesetzgeber möchte empfindlich treffen. Bei Sanktionen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (je nachdem, was höher ist) dürfte dies auch gelingen.

Unterschiedliche Arten der E-Mail-Verschlüsselung

Man unterscheidet bei der Verschlüsselung von E-Mails grundsätzlich zwei Wege: Die Transport- und die Inhaltsverschlüsselung.

  • Transportverschlüsselung: Die E-Mail-Nachrichten werden durch einen verschlüsselten Tunnel geschickt. Jedoch liegen die E-Mails nicht nur bei Absender und Empfänger im Klartext vor, sondern auch auf dazwischenliegenden Knoten. Nachrichten können also mitgelesen werden.
  • Inhaltsverschlüsselung: Hierbei wird der E-Mail-Inhalt verschlüsselt. Jedoch bleiben die sogenannten Metadaten (Absender, Betreff der Nachricht, Empfänger usw.) unverschlüsselt und damit lesbar.

Mithilfe einer Kombination aus Transport- und Inhaltsverschlüsselung wählt Ihr die größtmögliche Sicherheitsstufe. Es empfiehlt sich, hierbei auf Standardprotokolle zu setzen. So bietet sich S/MIME für die Inhaltsverschlüsselung an; eine Alternative wäre OpenPGP. TLS („Transport Layer Security“) ist das Standardprotokoll für die Transportverschlüsselung.

Worauf sollte außerdem geachtet werden?

Es gibt noch weitere relevante Kriterien, die Ihr für eine praktikable Verschlüsselungslösung bedenken solltet. So sind beispielsweise Schnittstellen zu weiterer Sicherheitssoftware (z. B. Virenscanner) wichtig. Andernfalls könnt Ihr den Nachrichteninhalt nicht scannen und setzt euch unnötigen Gefahren aus.

Dasselbe gilt für Euer E-Mail-Archiv: Um Eure E-Mails zu indizieren, sollte Euer Archivsystem auf E-Mail-Inhalte im Klartext zugreifen können. Andernfalls tut Ihr Euch später schwer, E-Mails wieder aufzufinden. Achtet zudem auf interne Nachrichten; Informationen dazu findet Ihr in unserem Artikel „EU-DSGVO und die unternehmensinterne Kommunikation“.

Gateway-Lösungen zur E-Mail-Verschlüsselung

Zwar sind Technologien wie S/MIME oder PGP schon seit über 25 Jahren auf dem Markt, jedoch fehlt es am flächendeckenden Einsatz. Für das Nutzen dieser Lösungen sind Zertifikate sowie Schlüssel zwingende Voraussetzung. Dies setzt eine entsprechende Infrastruktur und zumindest ein wenig technisches Wissen voraus. Das bedeutet für Ihre Praxis: Ihr könnt leider nicht immer davon ausgehen, dass Eure Gesprächspartner mit Technologien wie S/MIME vertraut sind. Es lohnt sich, über entsprechende Alternativen nachzudenken.

Dafür bieten sich Gateway-Lösungen zur E-Mail-Verschlüsselung an. In unserem Beitrag „Gateway-Lösungen zur zentralen Verschlüsselung und digitalen Signatur von E-Mails“ erfahrt Ihr weitere Details. Gateway-Lösungen können jedoch insbesondere für kleinere Unternehmen zum untragbaren Aufwand werden. Lasst Euch bitte individuell beraten, um die richtige Lösung für Eure Situation zu finden. Nehmt gerne Kontakt zu uns auf!

Bei Bedarf: Höchste Geheimhaltung

Wie oben bereits erwähnt, ist das Erkennen von Malware oder Spam sehr wichtig. Jedoch gibt es Situationen, in denen ausschließlich Sender und Empfänger den Inhalt einer E-Mail kennen sollten. Das könnte beispielsweise ein wichtiges Strategiepapier sein, über das sich ausschließlich die Geschäftsführung bespricht.

Obwohl eine Datenfluss- und Inhaltskontrolle dann nicht mehr möglich ist, solltet Ihr in solchen Fällen auf die Ende-zu-Ende-Verschlüsselung setzen. Bedenkt diesen Punkt bitte bei der internen sowie bei der externen Kommunikation.

Sichere Kommunikation auf allen Endgeräten

Bedenkt zudem den steigenden Einsatz mobiler Endgeräte, auf denen ebenfalls E-Mails versendet und empfangen werden. Sucht Euch eine Verschlüsselungslösung, die auch die mobilen Endgeräte wie Smartphone oder Tablet mit einbindet. Um flexibel zu bleiben und für die Zukunft gerüstet zu sein, setzt idealerweise auf ein System, welches mit vielen Betriebssystemen und Plattformen kompatibel ist.

E-Mail-Verschlüsselung: Abwarten ist keine Option

Auf E-Mail-Verschlüsselung zu verzichten, ist schon jetzt keine gute Möglichkeit – mit der DSGVO wird der Verzicht auf Verschlüsselung richtig teuer. E-Mail-Verschlüsselung ist heutzutage praktikabel und mit verhältnismäßig geringem Aufwand implementiert. Gerne unterstützen wir Euch bei der Auswahl und der Installation – nehmt einfach Kontakt zu uns auf.

Die ideale E-Mail-Verschlüsselungslösung agiert unbemerkt im Hintergrund, sodass sich Mitarbeiter nicht groß umstellen müssen und weitestgehend ihre gängigen Arbeitsabläufe nutzen können. Sie bietet nicht nur eine sichere Kommunikation mit externen Partnern, die womöglich nicht firm beim Thema Verschlüsselung sind, sondern schafft auch intern eine sichere Basis. Berücksichtigt Ihr all dies, seid Ihr der Umsetzung der Datenschutz-Grundverordnung bereits ein großes Stück nähergekommen.

14 Replies to “DSGVO: E-Mail-Verschlüsselung ist Pflicht”

  1. Sehr geehrte Damen und Herren,

    E-Mail-Verschlüsselung war und ist nicht kategorisch Pflicht, sondern (aktuell) „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ (Artikel 32 DSGVO).

    Indem Sie etwas anderes behaupten, tragen Sie zu der von Ihnen selbst beklagten verbreiteten Verunsicherung bei; so auch bei unseren Mitarbeitern, daher fordere ich Sie auf, das zu unterlassen.

    Im Übrigen schaffen Sie sich so eine Nachfrage für Ihre Dienste, die Sie an derselben Stelle anbieten.

    In diesem Zusammenhang weise ich auf § 5 UW hin: Unlauter handelt, wer eine irreführende geschäftliche Handlung vornimmt, die geeignet ist, den Verbraucher oder sonstigen Marktteilnehmer zu einer geschäftlichen Entscheidung zu veranlassen, die er andernfalls nicht getroffen hätte. Eine geschäftliche Handlung ist irreführend, wenn sie unwahre Angaben enthält oder sonstige zur Täuschung geeignete Angaben über folgende Umstände enthält: die Notwendigkeit einer Leistung.

    Mit freundlichen Grüßen

    Philipp Köster
    Stadtwerke Hilden GmbH

    1. Sehr geehrter Herr Köster,

      vielen Dank für Ihren Hinweis. Verunsicherung oder falsche Aussagen zu verbreiten ist und war nie unser Ziel. Auch war es nicht unser Ziel mit dem Artikel zum Kauf unserer Produkte anzuregen. Unser Anliegen ist es vor allem unsere Leser zu informieren und natürlich im Bereich Informationssicherheit zu sensibilisieren. Unser Artikel bezeichnet die Verschlüsselung als Pflicht, weil wir den „Stand der Technik“ nach der Handreichung der TeleTrusT interpretiert haben. https://www.teletrust.de/fileadmin/docs/fachgruppen/ag-stand-der-technik/TeleTrusT-Handreichung_Stand_der_Technik_-_Ausgabe_2018.pdf

      1. Grundverständnis des Dokumentes
      Diese Handreichung soll den anwendenden Unternehmen und Anbietern (Herstellern, Dienstleistern) gleichermaßen Hilfestellung zur Bestimmung des „Standes der Technik“ im Sinne
      des IT-Sicherheitsgesetzes (IT-SiG) und der Datenschutz-Grundverordnung (DSGVO) geben. Das Dokument kann dabei als Referenz für vertragliche Vereinbarungen, Vergabeverfahren
      bzw. für die Einordnung implementierter Sicherheitsmaßnahmen dienen.

      Das IT-SiG und die DSGVO fordern die Einhaltung oder mindestens die Berücksichtigung des Standes der Technik von technischen und organisatorischen Maßnahmen. Eine weitere Konkretisierung
      der relevanten Systeme und Komponenten erfolgt seitens des Gesetzgebers nicht. Daher muss von der Einhaltung des Standes der Technik alle relevanten Komponenten der Datenverarbeitung, einschließlich
      aller Datenübertragungs-, Datenspeicherungsmöglichkeiten, ausgegangen werden.

      Hier wird die Verschlüsselung als eine Maßnahme genannt, die dem Stand der Technik entspricht:

      Welche Maßnahme (Verfahren, Einrichtungen oder Betriebsweisen) wird in diesem Abschnitt beschrieben?
      Verschlüsselte Übertragung von E-Mails (Transportverschlüsselung); TLS
      Verschlüsselung der Inhalte von E-Mails; S/MIME oder PGP

      Ich möchte Sie bitten, diese Handreichung zu lesen. Falls Sie dennoch der Meinung sind, dass wir Falschaussagen publizieren, werden wir unseren Artikel zur Prüfung an einen unabhängigen Anwalt geben und ggf. anpassen.

      Viele Grüße

      Dipl. -Inf. (FH) Patrycja Tulinska
      Leitung Marketing, ISO 9001-/ISO 27001-Auditorin

  2. Guten Tag!

    Habe eben Ihre Seite in der Google-Suche gefunden. Können Sie mir bitte einmal mitteilen, an welcher Stelle genau in der DS-GVO die zwingende Verschlüsselung jeder Email steht? Bitte keine langen Ausführungen wie man zu diesem Ergebnis kommen könnte, sondern bitte mit Artikel-Angabe.

    Vielen Dank
    Roland Knop

    1. Guten Tag Herr Knop,

      die DSGVO fordert in Art. 32 Abs. 1 (https://dsgvo-gesetz.de/art-32-dsgvo/), personenbezogene Daten „unter Berücksichtigung des Stands der Technik“ sowie der „Schwere des Risikos“ zu schützen.
      Zugegeben: Diese Formulierung gibt Spielraum für Interpretationen. In Art. 32 wird jedoch auch ganz konkret das Pseudonymisieren und Verschlüsseln personenbezogener Daten gefordert – und das lässt keinerlei Raum mehr für Interpretationen. Da beim E-Mail-Versand immer personenbezogene Daten die Organisation verlassen, ergibt sich eine Verschlüsselungspflicht.

      Art. 83 Abs. 2 lit. c) DSGVO zeigt, dass Aufsichtsbehörden, die die Höhe einer Sanktion entscheiden müssen, Verschlüsselung positiv zu berücksichtigen haben.

      Wir hoffen, unsere Informationen konnten Ihnen weiterhelfen – ganz ohne weitere Ausführungen ging es leider nicht.

      Beste Grüße vom
      PSW GROUP Consulting-Redaktionsteam

      1. Sorry, aber ich sehe das wie die beiden Vorredner. Der Kern ist „treffen […] geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“.

        Jetzt müssen sie zeigen, dass alle personenbezogenen Daten eine solche „Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ mit sich bringen, dass die Inhaltsverschlüsselung das angemessene Schutzniveau darstellt.
        Der Stand der Technik ist in diesem Umfeld dann zu berücksichtigen. Ist ja auch klar, ich kann ja nicht zu der Erkenntnis kommen, dass die Daten die ich versende das Leben des Empfängers gefährden und deswegen den Inhalt mit einer Caesar Chiffre verschlüsseln.

        Mit freundlichen Grüßen
        Thomas Anderson

        1. Hallo Herr Anderson,

          vielen Dank für Ihren Kommentar.

          Sowohl dem Verantwortlichen als auch dem Auftragsverarbeiter wird gemäß Art. 32 Abs. 1 DSGVO auferlegt, geeignete technische & organisatorische Maßnahmen zum Sichern der personenbezogenen Daten zu treffen. Neben dem Stand der Technik sind die Implementierungskosten, Art, Umfang, Umstände und Zweck der Verarbeitung zu berücksichtigen. Mit einzubeziehen sind, wie Sie schon schreiben, die unterschiedlichen Eintrittswahrscheinlichkeiten sowie die Schwere des Risikos für die Rechte & Freiheiten von Betroffenen.

          Im nicht abschließenden Katalog des Art. 32 Abs. 1 DSGVO wird explizit die Verschlüsselung als eine solche Maßnahme angeführt. Aufsichtsbehörden haben bei der Entscheidung, ob und in welcher Höhe Bußgelder verhängt werden, eine erfolgte Verschlüsselung positiv zu berücksichtigen (Art. 82 Abs. 2 lit. c) DSGVO).

          Auf die Verschlüsselung als Möglichkeit, personenbezogene Daten effektiv zu schützen, weist die DSGVO mehrfach hin: Art. 6 DSGVO Rechtmäßigkeit der Verarbeitung (https://dsgvo-gesetz.de/art-6-dsgvo/), Art. 32 DSGVO Sicherheit der Verarbeitung (https://dsgvo-gesetz.de/art-32-dsgvo/), Art. 34 DSGVO Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (https://dsgvo-gesetz.de/art-34-dsgvo/) sowie Erwägungsgrund 83 Sicherheit der Verarbeitung (https://dsgvo-gesetz.de/erwaegungsgruende/nr-83/).

          Auf die Verschlüsselung für die Sicherheit der Verarbeitung nach DSGVO weist auch der Landesbeauftragte für Datenschutz & Informationsfreiheit Rheinland-Pfalz hin: https://www.datenschutz.rlp.de/de/themenfelder-themen/sicherheit-der-verarbeitung-nach-dsgvo/

          Als Partner von TeleTrusT haben wir uns für unsere Ausführungen zudem an der „Handreichung zum ‚Stand der Technik'“ orientiert: https://www.teletrust.de/fileadmin/docs/fachgruppen/ag-stand-der-technik/TeleTrusT-Handreichung_Stand_der_Technik_-_Ausgabe_2018.pdf

          Beste Grüße vom
          PSW GROUP Consulting-Redaktionsteam

          1. Das Ende zu Ende Verschlüsselung das Non-Plus Ultra darstellt und man damit sicher sein kann, alle Anforderungen zu erfüllen, stellt ja niemand in Frage. Ebenfalls unstrittig ist ihre besondere rechtliche Stellung und dass sie, wenn sie richtig durchgeführt wird, dem Stand der Technik entspricht.

            Den Beweis, dass alle personenbezogenen Daten eine solche „Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ mit sich bringen, dass einzig die Inhaltsverschlüsselung das angemessene Schutzniveau darstellt, bleiben Sie trotz der zahlreichen Paragrafen schuldig.

            Wenn es so wäre, könnte sich keine Firma in Deutschland vor Abmahnungen retten. Jede Rechnung auf der eine Adresse steht, jeder Kostenvoranschlag der per E-Mail verschickt wird, jedes mal wenn man auf eine E-Mail antwortet ohne die Signatur mit Namen und Adresse des ursprünglichen Absender zu löschen… alles wären schwere Verstöße, nach ihrer Auslegung.

            Also ist dieser Artikel vor allem eins: Panikmache. Ich rechne Ihnen aber hoch an, dass Sie die Kritik stehen lassen.

    1. Danke für Ihren Kommentar, Herr Bode – wir verwenden, wie Sie, das „Sie“. Werden wir mit einem höflich-respektvollen „Du“ angesprochen, antworten wir ebenso. Das war jedoch hier nirgends der Fall, weshalb wir selbstverständlich beim „Sie“ geblieben sind.

      Beste Grüße vom
      PSW GROUP Consulting-Redaktionsteam

    2. Etwas old school das „Sie“. Kommen wir doch mal in der moderen Welt an, in der es nicht um „respektvolle“ Anrede, sondern um den Menschen geht. Wenn ich Dich nun mit Du anrede und trotzdem Respekt erweise, ist das doch nicht wild, oder Heinz-Peter?

  3. Liebe „Mitkomentatoren“, wo genau liegt das Problem, Zertifikate zu implementieren?? Ich benutze die – auch privat – seit über 15 Jahren.
    Was mich stört ist , dass es keine kostenlose Class 1 Zertifikate für „breite Massen“ mehr gibt. Wissen Sie übrigens, dass man mit Zertifizierten E-Mails sehr erfolgreich Spam bekämpft? Weltweit?

    Schöne Grüße
    Petar Trkulja

  4. Ich überlege in meinem Betrieb eine Mitarbeiterschulung zum Thema Datenschutz anzubieten. Unsere Kundenanzahl steigert sich rapide und ich möchte, dass keine Informationen nach außen dringen können. Gut zu wissen, dass die DSGVO schon einige Dinge vorgibt, wie zum Beispiel die Verschlüsselung von Mails.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*