DSGVO: E-Mail-Verschlüsselung ist Pflicht

DSGVO: E-Mail-Verschlüsselung ist Pflicht

Schon heute schreibt das Bundesdatenschutzgesetz (BDSG) die Verschlüsselung von E-Mails mit personenbezogenen Daten vor. Ab dem 25. Mai 2018 verschärft die Datenschutz-Grundverordnung (DSGVO) die Lage: E-Mail-Verschlüsselung wird endgültig zur Pflicht.

Verschlüsselung schützt vor Bußgeldern

Es herrscht eine riesige Verunsicherung in Hinblick auf die DSGVO: Was ist jetzt noch zu tun? Welche Maßnahmen können ergriffen werden, um sich vor den horrenden, existenzvernichtenden Bußgeldern zu schützen? Viele Tipps haben wir bereits in verschiedenen Blogbeiträgen gegeben. Heute werfen wir einen Blick auf die E-Mail-Verschlüsselung.

Die Verschlüsselung wird explizit in Artikel 32 DSGVO als Schutzmaßnahme erwähnt. Bedeutet für Sie: Setzen Sie Verschlüsselung ein, haben Sie bereits einen wichtigen Teil der Umsetzung der DSGVO geschafft. Die Verschlüsselung bringt darüber hinaus einen großen Vorteil bezüglich der Benachrichtigungspflicht:

Artikel 33 und 34 DSGVO erklären, dass Unternehmen verpflichtet sind, Datenschutzverletzungen binnen 72 Stunden bei der zuständigen Aufsichtsbehörde zu melden. Daneben sind – wenn ein hohes Risiko besteht – auch die betroffenen Personen zu benachrichtigen. Waren jedoch die kompromittierten Daten verschlüsselt, können Sie auf die Meldung bei den betroffenen Personen verzichten.

Verschlüsseln Sie, schützen Sie sich gleichzeitig vor den horrenden Bußgeldern. Denn Sie haben Schutzvorkehrungen getroffen, die dem aktuellen Stand der Technik entsprechen. Somit ersparen Sie Ihrer Organisation nicht nur viel Aufwand, sondern Sie schützen auch Ihren guten Ruf als datenschutzorientiertes Unternehmen.

Aktuelle Gesetzeslage schreibt ebenfalls E-Mail-Verschlüsselung vor

Interessant ist die Tatsache, dass die Datenschutz-Grundverordnung nicht allzu viel in Bezug auf den E-Mail-Verkehr ändert. Das Bundesdatenschutzgesetz verpflichtet auch schon heute Unternehmen dazu, E-Mails, die personenbezogene Daten enthalten, zu verschlüsseln. Tun Sie das nicht, gehen Sie hohe Risiken ein: Sensible Daten können so in falsche Hände gelangen oder Ihre Nachrichten können manipuliert werden.

Was sich jedoch ändert, sind die Folgen für Unternehmen. Datenschutzverstöße werden nach BDSG mit Bußgeldern von bis zu 300.000 Euro belegt oder es folgen Freiheitsstrafen von bis zu zwei Jahren. In der Praxis hat es kaum einen Datenschutzverstoß gegeben, bei dem diese Höchststrafen eingesetzt wurden. Das wird sich mit der DSGVO ändern: Der Gesetzgeber möchte empfindlich treffen. Bei Sanktionen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (je nachdem, was höher ist) dürfte dies auch gelingen.

Unterschiedliche Arten der E-Mail-Verschlüsselung

Man unterscheidet bei der Verschlüsselung von E-Mails grundsätzlich zwei Wege: Die Transport- und die Inhaltsverschlüsselung.

  • Transportverschlüsselung: Die E-Mail-Nachrichten werden durch einen verschlüsselten Tunnel geschickt. Jedoch liegen die E-Mails nicht nur bei Absender und Empfänger im Klartext vor, sondern auch auf dazwischenliegenden Knoten. Nachrichten können also mitgelesen werden.
  • Inhaltsverschlüsselung: Hierbei wird der E-Mail-Inhalt verschlüsselt. Jedoch bleiben die sogenannten Metadaten (Absender, Betreff der Nachricht, Empfänger usw.) unverschlüsselt und damit lesbar.

Mithilfe einer Kombination aus Transport- und Inhaltsverschlüsselung wählen Sie die größtmögliche Sicherheitsstufe. Es empfiehlt sich, hierbei auf Standardprotokolle zu setzen. So bietet sich S/MIME für die Inhaltsverschlüsselung an; eine Alternative wäre OpenPGP. TLS („Transport Layer Security“) ist das Standardprotokoll für die Transportverschlüsselung.

Worauf sollte außerdem geachtet werden?

Es gibt noch weitere relevante Kriterien, die Sie für eine praktikable Verschlüsselungslösung bedenken sollten. So sind beispielsweise Schnittstellen zu weiterer Sicherheitssoftware (z. B. Virenscanner) wichtig. Andernfalls können Sie den Nachrichteninhalt nicht scannen und setzen sich unnötigen Gefahren aus.

Dasselbe gilt für Ihr E-Mail-Archiv: Um Ihre E-Mails zu indizieren, sollte Ihr Archivsystem auf E-Mail-Inhalte im Klartext zugreifen können. Andernfalls tun Sie sich später schwer, E-Mails wieder aufzufinden. Achten Sie außerdem auf interne Nachrichten; Informationen dazu finden Sie in unserem Artikel „EU-DSGVO und die unternehmensinterne Kommunikation“.

Gateway-Lösungen zur E-Mail-Verschlüsselung

Zwar sind Technologien wie S/MIME oder PGP schon seit über 25 Jahren auf dem Markt, jedoch fehlt es am flächendeckenden Einsatz. Für das Nutzen dieser Lösungen sind Zertifikate sowie Schlüssel zwingende Voraussetzung. Dies setzt eine entsprechende Infrastruktur und zumindest ein wenig technisches Wissen voraus. Das bedeutet für Ihre Praxis: Sie können leider nicht immer davon ausgehen, dass Ihre Gesprächspartner mit Technologien wie S/MIME vertraut sind. Es lohnt sich, über entsprechende Alternativen nachzudenken.

Dafür bieten sich Gateway-Lösungen zur E-Mail-Verschlüsselung an. In unserem Beitrag „Gateway-Lösungen zur zentralen Verschlüsselung und digitalen Signatur von E-Mails“ erfahren Sie weitere Details. Gateway-Lösungen können jedoch insbesondere für kleinere Unternehmen zum untragbaren Aufwand werden. Lassen Sie sich bitte individuell beraten, um die richtige Lösung für Ihre Situation zu finden. Nehmen Sie gerne Kontakt zu uns auf!

Bei Bedarf: Höchste Geheimhaltung

Wie oben bereits erwähnt, ist das Erkennen von Malware oder Spam sehr wichtig. Jedoch gibt es Situationen, in denen ausschließlich Sender und Empfänger den Inhalt einer E-Mail kennen sollten. Das könnte beispielsweise ein wichtiges Strategiepapier sein, über das sich ausschließlich die Geschäftsführung bespricht.

Obwohl eine Datenfluss- und Inhaltskontrolle dann nicht mehr möglich ist, sollten Sie in solchen Fällen auf die Ende-zu-Ende-Verschlüsselung setzen. Bedenken Sie diesen Punkt bitte bei der internen sowie bei der externen Kommunikation.

Sichere Kommunikation auf allen Endgeräten

Bedenken Sie zudem den steigenden Einsatz mobiler Endgeräte, auf denen ebenfalls E-Mails versendet und empfangen werden. Suchen Sie sich eine Verschlüsselungslösung, die auch die mobilen Endgeräte wie Smartphone oder Tablet mit einbindet. Um flexibel zu bleiben und für die Zukunft gerüstet zu sein, setzen Sie idealerweise auf ein System, welches mit vielen Betriebssystemen und Plattformen kompatibel ist.

E-Mail-Verschlüsselung: Abwarten ist keine Option

Auf E-Mail-Verschlüsselung zu verzichten, ist schon jetzt keine gute Möglichkeit – mit der DSGVO wird der Verzicht auf Verschlüsselung richtig teuer. E-Mail-Verschlüsselung ist heutzutage praktikabel und mit verhältnismäßig geringem Aufwand implementiert. Gerne unterstützen wir Sie bei der Auswahl und der Installation – nehmen Sie einfach Kontakt zu uns auf.

Die ideale E-Mail-Verschlüsselungslösung agiert unbemerkt im Hintergrund, sodass sich Mitarbeiter nicht groß umstellen müssen und weitestgehend ihre gängigen Arbeitsabläufe nutzen können. Sie bietet nicht nur eine sichere Kommunikation mit externen Partnern, die womöglich nicht firm beim Thema Verschlüsselung sind, sondern schafft auch intern eine sichere Basis. Berücksichtigen Sie all dies, sind Sie der Umsetzung der Datenschutz-Grundverordnung bereits ein großes Stück nähergekommen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*