Schon heute schreibt das Bundesdatenschutzgesetz (BDSG) die Verschl\u00fcsselung von E-Mails mit personenbezogenen Daten vor. Ab dem 25. Mai 2018 versch\u00e4rft die Datenschutz-Grundverordnung (DSGVO) die Lage: E-Mail-Verschl\u00fcsselung wird endg\u00fcltig zur Pflicht.<\/p>\n
Es herrscht eine riesige Verunsicherung in Hinblick auf die DSGVO: Was ist jetzt noch zu tun? Welche Ma\u00dfnahmen k\u00f6nnen ergriffen werden, um sich vor den horrenden, existenzvernichtenden Bu\u00dfgeldern zu sch\u00fctzen? Viele Tipps haben wir bereits in verschiedenen Blogbeitr\u00e4gen<\/a> gegeben. Heute werfen wir einen Blick auf die E-Mail-Verschl\u00fcsselung.<\/p>\n Die Verschl\u00fcsselung wird explizit in Artikel 32 DSGVO<\/a> als Schutzma\u00dfnahme erw\u00e4hnt. Bedeutet f\u00fcr Euch: Setzt Ihr Verschl\u00fcsselung ein, habt Ihr bereits einen wichtigen Teil der Umsetzung der DSGVO geschafft. Die Verschl\u00fcsselung bringt dar\u00fcber hinaus einen gro\u00dfen Vorteil bez\u00fcglich der Benachrichtigungspflicht:<\/p>\n Artikel 33<\/a> und 34 DSGVO<\/a> erkl\u00e4ren, dass Unternehmen verpflichtet sind, Datenschutzverletzungen binnen 72 Stunden bei der zust\u00e4ndigen Aufsichtsbeh\u00f6rde zu melden. Daneben sind \u2013 wenn ein hohes Risiko besteht \u2013 auch die betroffenen Personen zu benachrichtigen. Waren jedoch die kompromittierten Daten verschl\u00fcsselt, k\u00f6nnt Ihr auf die Meldung bei den betroffenen Personen verzichten.<\/p>\n Verschl\u00fcsselt Ihr, sch\u00fctzt Ihr Euch gleichzeitig vor den horrenden Bu\u00dfgeldern. Denn Ihr habt Schutzvorkehrungen getroffen, die dem aktuellen Stand der Technik entsprechen. Somit erspart Ihr Eurer Organisation nicht nur viel Aufwand, sondern Ihr sch\u00fctzt auch Euren guten Ruf als datenschutzorientiertes Unternehmen.<\/p>\n Interessant ist die Tatsache, dass die Datenschutz-Grundverordnung nicht allzu viel in Bezug auf den E-Mail-Verkehr \u00e4ndert. Das Bundesdatenschutzgesetz verpflichtet auch schon heute Unternehmen dazu, E-Mails, die personenbezogene Daten enthalten, zu verschl\u00fcsseln. Tut Ihr das nicht, geht Ihr hohe Risiken ein: Sensible Daten k\u00f6nnen so in falsche H\u00e4nde gelangen oder Ihre Nachrichten k\u00f6nnen manipuliert werden.<\/p>\n Was sich jedoch \u00e4ndert, sind die Folgen f\u00fcr Unternehmen. Datenschutzverst\u00f6\u00dfe werden nach BDSG mit Bu\u00dfgeldern von bis zu 300.000 Euro belegt oder es folgen Freiheitsstrafen von bis zu zwei Jahren. In der Praxis hat es kaum einen Datenschutzversto\u00df gegeben, bei dem diese H\u00f6chststrafen eingesetzt wurden. Das wird sich mit der DSGVO \u00e4ndern: Der Gesetzgeber m\u00f6chte empfindlich treffen. Bei Sanktionen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (je nachdem, was h\u00f6her ist) d\u00fcrfte dies auch gelingen.<\/p>\n Man unterscheidet bei der Verschl\u00fcsselung von E-Mails grunds\u00e4tzlich zwei Wege: Die Transport- und die Inhaltsverschl\u00fcsselung.<\/p>\n Mithilfe einer Kombination aus Transport- und Inhaltsverschl\u00fcsselung w\u00e4hlt Ihr die gr\u00f6\u00dftm\u00f6gliche Sicherheitsstufe. Es empfiehlt sich, hierbei auf Standardprotokolle zu setzen. So bietet sich S\/MIME<\/a> f\u00fcr die Inhaltsverschl\u00fcsselung an; eine Alternative w\u00e4re OpenPGP. TLS (\u201eTransport Layer Security\u201c) ist das Standardprotokoll f\u00fcr die Transportverschl\u00fcsselung.<\/p>\n Es gibt noch weitere relevante Kriterien, die Ihr f\u00fcr eine praktikable Verschl\u00fcsselungsl\u00f6sung bedenken solltet. So sind beispielsweise Schnittstellen zu weiterer Sicherheitssoftware (z. B. Virenscanner) wichtig. Andernfalls k\u00f6nnt Ihr den Nachrichteninhalt nicht scannen und setzt euch unn\u00f6tigen Gefahren aus.<\/p>\n Dasselbe gilt f\u00fcr Euer E-Mail-Archiv: Um Eure E-Mails zu indizieren, sollte Euer Archivsystem auf E-Mail-Inhalte im Klartext zugreifen k\u00f6nnen. Andernfalls tut Ihr Euch sp\u00e4ter schwer, E-Mails wieder aufzufinden. Achtet zudem auf interne Nachrichten; Informationen dazu findet Ihr in unserem Artikel \u201eEU-DSGVO und die unternehmensinterne Kommunikation\u201c<\/a>.<\/p>\n Zwar sind Technologien wie S\/MIME oder PGP schon seit \u00fcber 25 Jahren auf dem Markt, jedoch fehlt es am fl\u00e4chendeckenden Einsatz. F\u00fcr das Nutzen dieser L\u00f6sungen sind Zertifikate sowie Schl\u00fcssel zwingende Voraussetzung. Dies setzt eine entsprechende Infrastruktur und zumindest ein wenig technisches Wissen voraus. Das bedeutet f\u00fcr Ihre Praxis: Ihr k\u00f6nnt leider nicht immer davon ausgehen, dass Eure Gespr\u00e4chspartner mit Technologien wie S\/MIME vertraut sind. Es lohnt sich, \u00fcber entsprechende Alternativen nachzudenken.<\/p>\n Daf\u00fcr bieten sich Gateway-L\u00f6sungen zur E-Mail-Verschl\u00fcsselung an. In unserem Beitrag \u201eGateway-L\u00f6sungen zur zentralen Verschl\u00fcsselung und digitalen Signatur von E-Mails\u201c<\/a> erfahrt Ihr weitere Details. Gateway-L\u00f6sungen k\u00f6nnen jedoch insbesondere f\u00fcr kleinere Unternehmen zum untragbaren Aufwand werden. Lasst Euch bitte individuell beraten, um die richtige L\u00f6sung f\u00fcr Eure Situation zu finden. Nehmt gerne Kontakt zu uns auf<\/a>!<\/p>\n Wie oben bereits erw\u00e4hnt, ist das Erkennen von Malware oder Spam sehr wichtig. Jedoch gibt es Situationen, in denen ausschlie\u00dflich Sender und Empf\u00e4nger den Inhalt einer E-Mail kennen sollten. Das k\u00f6nnte beispielsweise ein wichtiges Strategiepapier sein, \u00fcber das sich ausschlie\u00dflich die Gesch\u00e4ftsf\u00fchrung bespricht.<\/p>\n Obwohl eine Datenfluss- und Inhaltskontrolle dann nicht mehr m\u00f6glich ist, solltet Ihr in solchen F\u00e4llen auf die Ende-zu-Ende-Verschl\u00fcsselung setzen. Bedenkt diesen Punkt bitte bei der internen sowie bei der externen Kommunikation.<\/p>\n Bedenkt zudem den steigenden Einsatz mobiler Endger\u00e4te, auf denen ebenfalls E-Mails versendet und empfangen werden. Sucht Euch eine Verschl\u00fcsselungsl\u00f6sung, die auch die mobilen Endger\u00e4te wie Smartphone oder Tablet mit einbindet. Um flexibel zu bleiben und f\u00fcr die Zukunft ger\u00fcstet zu sein, setzt idealerweise auf ein System, welches mit vielen Betriebssystemen und Plattformen kompatibel ist.<\/p>\n Auf E-Mail-Verschl\u00fcsselung zu verzichten, ist schon jetzt keine gute M\u00f6glichkeit \u2013 mit der DSGVO wird der Verzicht auf Verschl\u00fcsselung richtig teuer. E-Mail-Verschl\u00fcsselung ist heutzutage praktikabel und mit verh\u00e4ltnism\u00e4\u00dfig geringem Aufwand implementiert. Gerne unterst\u00fctzen wir Euch bei der Auswahl und der Installation \u2013 nehmt einfach Kontakt zu uns auf<\/a>.<\/p>\n Die ideale E-Mail-Verschl\u00fcsselungsl\u00f6sung agiert unbemerkt im Hintergrund, sodass sich Mitarbeiter nicht gro\u00df umstellen m\u00fcssen und weitestgehend ihre g\u00e4ngigen Arbeitsabl\u00e4ufe nutzen k\u00f6nnen. Sie bietet nicht nur eine sichere Kommunikation mit externen Partnern, die wom\u00f6glich nicht firm beim Thema Verschl\u00fcsselung sind, sondern schafft auch intern eine sichere Basis. Ber\u00fccksichtigt Ihr all dies, seid Ihr der Umsetzung der Datenschutz-Grundverordnung bereits ein gro\u00dfes St\u00fcck n\u00e4hergekommen.<\/p>\n","protected":false},"excerpt":{"rendered":" Schon heute schreibt das Bundesdatenschutzgesetz (BDSG) die Verschl\u00fcsselung von E-Mails mit personenbezogenen Daten vor. Ab dem 25. Mai 2018 versch\u00e4rft die Datenschutz-Grundverordnung (DSGVO) die Lage: E-Mail-Verschl\u00fcsselung wird endg\u00fcltig zur Pflicht. E-Mail-Verschl\u00fcsselung sch\u00fctzt vor Bu\u00dfgeldern Es herrscht eine riesige Verunsicherung in Hinblick auf die DSGVO: Was ist jetzt noch zu tun? Welche Ma\u00dfnahmen k\u00f6nnen ergriffen werden, … <\/p>\nAktuelle Gesetzeslage schreibt ebenfalls E-Mail-Verschl\u00fcsselung vor<\/h3>\n
Unterschiedliche Arten der E-Mail-Verschl\u00fcsselung<\/h3>\n
\n
Worauf sollte au\u00dferdem geachtet werden?<\/h3>\n
Gateway-L\u00f6sungen zur E-Mail-Verschl\u00fcsselung<\/h3>\n
Bei Bedarf: H\u00f6chste Geheimhaltung<\/h3>\n
Sichere Kommunikation auf allen Endger\u00e4ten<\/h3>\n
E-Mail-Verschl\u00fcsselung: Abwarten ist keine Option<\/h3>\n