" [ * 1 4 A B C D E F G H I J K L M N O P R S T U V W X Z
Da Db De Dh Di Do Dr Ds Du Dy
Dsgvo-C Dsgvo-K Dsgvo-T

DSGVO / Mail-Verschlüsselung / MIME und OpenPGP was geht mit WEBWARE und BüroWARE?

 

Nachdem häufig Unklarheit über den Umgang mit Mails in Zusammenhang mit der DSGVO aufgetreten ist, möchten wir hier einen Text zitieren, den der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen veröffentlicht hat.

Technische Anforderungen an technische und organisatorische Maßnahmen beim E-Mail-Versand

Laptop

Wie ist die Datenschutz-Grundverordnung (DS-GVO) in Bezug auf den unverschlüsselten Versand von E-Mails zu interpretieren?

E-Mails enthalten zusätzlich zu den Inhaltsdaten (d.h. dem Text der Mail und etwaigen Anhängen) auch Metadaten wie Absender und Empfänger, das Datum und den Betreff.

Sowohl Inhalts- als auch Metadaten können personenbezogene Daten beinhalten. Daher sind bei der datenschutzrechtlichen Beurteilung beide Datenarten zu berücksichtigen.

Nach Art. 32 DS-GVO sind geeignete und angemessene Maßnahmen zu treffen, um die Sicherheit der Verarbeitung personenbezogener Daten und damit auch deren Vertraulichkeit sicherzustellen. Das Bundesdatenschutzgesetz (BDSG) und das Datenschutzgesetz Nordrhein-Westfalen in der jeweils bis zum 24.05.2018 gültigen Fassung stellen vergleichbare Anforderungen. Die in Art. 32 Abs. 1 lit. a) genannten Maßnahmen „Pseudonymisierung“ und „Verschlüsselung“ sind als Beispiele für Standardmaßnahmen zu verstehen, d.h. sofern ihr Einsatz möglich und angemessen ist, sind sie grundsätzlich umzusetzen.

Bei der Übermittlung von E-Mails ist grundsätzlich zwischen einer Verschlüsselung auf Inhaltsebene und einer Verschlüsselung auf Transportebene zu unterscheiden.

Inhaltsebene
Für die Verschlüsselung des Textes einer E-Mail sowie von Anhängen kommen in erster Linie die Standards S/MIME und OpenPGP infrage. Beide Standards unterstützen darüber hinaus digitale Signaturen, um Manipulationen auf dem Übertragungsweg entdecken zu können.

Mit S/MIME und OpenPGP ist eine Ende-zu-Ende-Verschlüsselung möglich, d.h. die Nachricht wird auf dem System des Absenders verschlüsselt und auf dem System des Empfängers entschlüsselt und liegt auf dem Übertragungsweg niemals im Klartext vor.

Die Metadaten werden von der Inhaltsverschlüsselung jedoch nicht erfasst, sie liegen auf den an der Übertragung beteiligten Servern im Klartext vor.

Transportebene
Bei einer Verschlüsselung auf Transportebene werden sowohl Meta- als auch Inhaltsdaten auf der Verbindung zwischen Mail-Client und Server bzw. zwischen verschiedenen Mail-Servern verschlüsselt. Dadurch ist sichergestellt, dass die E-Mail während des Transports über unsichere Netze wie dem Internet von Dritten nicht mitgelesen werden kann. Auf den beteiligten Mail-Servern liegt die E-Mail jedoch im Klartext vor.

Bezüglich der sicheren Implementierung der Transportebene hat das Bundesamt für Sicherheit in der Informationstechnologie die Technische Richtlinie „BSI TR-03108-1: Secure E-Mail Transport“ herausgegeben.

Unter datenschutzrechtlichen Gesichtspunkten ist diese Richtlinie als Stand der Technik zu betrachten, so dass ihre Umsetzung eine notwendige Voraussetzung für die datenschutzkonforme E-Mail-Kommunikation ist.

Anmerkung dazu:

Um DSGVO-konform Mails zu versenden sollte also diese Verschlüsselung angewandt werden. Diese Kommunikation ist sowohl bei WEBWARE,BüroWARE, wie auch beim Einsatz in Verbindung mit Exchange gewährleistet.
Unabhängig davon sollten die Inhalte der Mail keine hochsensiblen Daten, wie beispielsweise Gesundheitsdaten, Lohnabrechnungen etc. in unverschlüsselter Form enthalten. Hier möchten wir als eine mögliche Variante auf das gotomaxx-Portal und die Möglichkeit, verschlüsselte PDF-Dateien mit Hilfe des PDF-Mailers zu versenden, hinweisen.

Weiter im Artikel:

Fazit
Eine umfassende Absicherung der E-Mail-Kommunikation setzt den Einsatz von sowohl Transport- als auch Inhaltsverschlüsselung voraus.

Bei der Entscheidung, ob eine Ende-zu-Ende-Verschlüsselung erforderlich ist, sind der Schutzbedarf der übertragenen Daten sowie die Angemessenheit der Maßnahme zu berücksichtigen. Sollen Daten mit hohem oder sehr hohem Schutzbedarf, insbesondere die in Art. 9 Abs. 1 DS-GVO genannten besonderen Kategorien personenbezogener Daten übermittelt werden, ist eine Ende-zu-Ende-Verschlüsselung erforderlich. Da Metadaten einer E-Mail nicht durch Ende-zu-Ende-Verschlüsselung geschützt werden, ist sicherzustellen, dass sie keine Daten mit hohem oder sehr hohem Schutzbedarf enthalten. Insbesondere ist der Betreff neutral zu wählen, beispielsweise „Unser Gespräch am 01.02.“ statt „Ihre Blutwerte“.

Bei der Übermittlung personenbezogener Daten mit normalem Schutzbedarf besteht die Möglichkeit, dass im Einzelfall der Verzicht auf eine Ende-zu-Ende-Verschlüsselung der Inhaltsdaten statthaft ist.
Ein ausdrücklicher Wunsch des Empfängers nach Ende-zu-Ende-Verschlüsselung sollte jedoch in jedem Fall berücksichtigt werden.
Als Mindeststandard ist auch bei der Übermittlung personenbezogener Daten mit normalem Schutzbedarf eine Transportverschlüsselung erforderlich. Dazu ist beim Aufbau einer eigenen E-Mail-Infrastruktur die o.g. BSI-Richtlinie einzuhalten bzw. die Einhaltung der Richtlinie bei der Auswahl des E-Mail-Providers als obligatorisches Kriterium zu berücksichtigen.

In Abhängigkeit von der Art und dem Umfang der per E-Mail versandten Daten kann im Einzelfall die vorherige Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO erforderlich sein.

Quelle:
https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Technische-Anforderungen-an-technische-und-organisatorische-Massnahmen-beim-E-Mail-Versand/Technische-Anforderungen-an-technische-und-organisatorische-Massnahmen-beim-E-Mail-Versand.html

LEAVE A COMMENT