Alles gut mit TLS? Anforderungen an die E-Mail-Verschlüsselung

Fachbeitrag

Regelmäßig werden wir im Berateralltag mit der Frage konfrontiert, ob man jetzt „alle“ E-Mails verschlüsseln müsse. Manche Unternehmen verweisen für die Kommunikation mit Kunden oder anderen Unternehmen oft gerne auf TLS-Verschlüsselung. Erfüllt diese mögliche Anforderungen der DSGVO? Einige Anmerkungen.

Werdegang der E-Mail

Vieles ist zu dem Thema bereits diskutiert und geschrieben wurden (auch bei uns, u.a. zu den Begrifflichkeiten oder für Besonderheiten bei Berufsgeheimnisträgern), rechtlich aber noch nicht abschließend geklärt und oft auch eine Frage des Einzelfalls.

E-Mails enthalten typischerweise eine Vielzahl von Informationen. Neben den Inhaltsdaten (Textinhalte und ggf. Anlagen) auch Metadaten wie Absender, Datum und Betreff. Beide können dabei personenbezogene Daten enthalten und unterliegen insoweit den Anforderungen der DSGVO.

Als die E-Mail in der 80ern eingeführt wurde, standen Themen wie Informationssicherheit und Datenschutzrecht nicht oben auf der Agenda. Alternativen in der Kommunikation zum Trotz wird die E-Mail aufgrund ihrer Interoperabilität gleichwohl noch immer geschätzt und in der Wirtschaft vielfältig genutzt. Zunehmend hat sich nun aber die Erkenntnis durchgesetzt, dass geltende Anforderungen an Integrität und Vertraulichkeit dabei nicht angemessen berücksichtigt werden. Ein Abfangen und Manipulieren der Nachrichten ist möglich und Verifizierungen des Absenders nur schwer möglich.

Müssen alle E-Mails verschlüsselt werden?

Kurz: Nein. Für personenbezogene Daten, die per E-Mail versendet werden, gibt es keine speziellen Vorgaben, insbesondere keine unbedingte Pflicht zur Verschlüsselung. Ob der Versender eine E-Mail verschlüsseln muss, hängt zunächst vom Schutzbedarf der übertragenen Daten ab.

Ausgangspunkt der Diskussion ist Art. 32 DSGVO, wonach ein angemessenes Schutzniveau bei der Verarbeitung personenbezogener Daten zu gewährleisten ist. Soweit ein Bestandteil der Kommunikation kein Austausch sensibler Informationen ist, es z.B. nur eine rein organisatorische Abstimmung geht, kann auf eine Verschlüsselung durchaus verzichtet werden. Die Grenze der „Harmlosigkeit“ ist aber schnell und nicht immer trennscharf überschritten. Dann sind Maßnahmen der Verschlüsselung zu ergreifen.

Grundsätzlich wird beim Versand von E-Mails getrennt zwischen einer Verschlüsselung auf der Inhaltsebene und der Transportebene. Bei einer Transportverschlüsselung mittels TLS wird die E-Mail (Meta- als auch Inhaltsdaten) auf dem Weg zum Empfänger verschlüsselt. Genau genommen aber eigentlich nur zwischen dem Absender und dessen Mailserver, ggf. weiteren beteiligten Mailservern, und am Ende dem Mailserver des Empfängers respektive dem Empfänger selbst. Hier liegt die Krux, denn auf den jeweiligen Mailservern liegt die E-Mail weiterhin unverschlüsselt im Klartext vor.

Aufgrund der Historie der E-Mail (Schwerpunkt auf der Zustellung und nicht der Sicherheit) kann es zudem passieren, dass die involvierten Mailserver auf einem reduzierten Niveau ihren Dienst verrichten (z.B. Optional TLS statt Mandatory TLS; veraltete TLS-Versionen u.a.).

Entsprechend hat bspw. auch die Aufsichtsbehörde NRW jüngst ihre Anforderungen an technische und organisatorische Maßnahmen beim E-Mail-Versand veröffentlicht, die für eine Orientierung dienlich sind. Diese trennt dabei auch zwischen der Inhalts- und der Transportebene bei der Übermittlung einer E-Mail. Im Ergebnis

„sollte die Transportverschlüsselung entsprechend der Technischen Richtlinie „BSI TR-03108 Sicherer E-Mail-Transport“ implementiert sein. In Abhängigkeit vom Schutzbedarf der versendeten Daten und dem Risiko können Abweichungen von der Richtlinie statthaft sein.“

Unternehmen als Sender

Was bedeutet das nun für ein Unternehmen? Zunächst die Erkenntnis, dass eine TLS-Verschlüsselung nicht per se den Anforderungen der DSGVO genügt. Der DSGVO liegt hinsichtlich ihrer Schutzziele beim technischen Datenschutz ein risikobasierter Ansatz zugrunde. In diesem Bereich sind zum Schutze der Rechte und Freiheiten der betroffenen Personen entsprechende technische und organisatorische Maßnahmen zu treffen, wobei ausdrücklich das Tatbestandsmerkmal „Stand der Technik“ zu berücksichtigen ist. Soweit den E-Mails nur ein eingeschränkter Schutz (oder überhaupt keiner) eingeräumt wird, ist zumindest die Einwilligung der betroffenen Person in die Verarbeitung geboten, welche insbesondere in informierter Weise erfolgen muss. Zum Teil wird aber auch die Rechtsansicht vertreten, dass eine Einwilligung zum Versand unverschlüsselter E-Mails nicht möglich sei.

Gerade beim Versand von besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO), wie z.B. Gesundheitsdaten, wird aber ein strengerer Maßstab anzulegen sein. Bei Berufsgeheimnisträgern, wie der Rechtsanwaltschaft, werden die Anforderungen hitzig diskutiert und die österreichische Datenschutzaufsicht hat sich jüngst mit der Einwilligung zum unverschlüsselten Versand von Gesundheitsdaten beschäftigt.

Unternehmen als Empfänger

In einigen Szenarien geht die konkrete Kommunikation aber nicht vom Unternehmen aus, sondern dieses ist der Empfänger. Beispielsweise fordern Unternehmen oftmals im jeweiligen Karriereportal zum Versand der Bewerbungsunterlagen per E-Mail auf. In Hinblick auf die zuvor genannten Erwägungen sollten hier Optionen zur Verschlüsselung angeboten werden. Das BayLDA ist dem vor einiger Zeit bereits im Rahmen einer Großprüfung nachgegangen.

Handlungsempfehlungen

E-Mail-Verschlüsselungen sind spätestens mit Anwendbarkeit der DSGVO in einer Vielzahl der Einsatzszenarien obligatorisch. Als Mindeststandard wird man dabei die hier skizzierte Transportverschlüsselung mittels TLS sehen müssen, wobei der bestmögliche Schutz durch eine Kombination mit einer Ende-zu-Ende-Verschlüsselung erlangt wird.

Ist in der Praxis eine solche E-Mail-Verschlüsselung nicht möglich, kann alternativ der sensible Inhalt als verschlüsselter Anhang versendet werden. Kompressionsprogramme wie 7-Zip oder WinZip bieten angemessene Verschlüsselungsverfahren an. Dann darf die E-Mail natürlich keine schützenswerten Inhaltsdaten enthalten. Ebenso ist ein sicheres Passwort zu wählen, welches natürlich über einen anderen Kommunikationskanal auszutauschen ist, beispielsweise mittels SMS. Eine Lösung mit vielen Vorteilen kann gerade in Bereichen des Kredit-, Gesundheits- oder Inkassowesens auch kann der Unterhalt eines Webportals sein, in welchem sich die betroffenen Personen die Nachrichten zugriffsgeschützt herunterladen können.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.