Die aktuellen Datenschutz-Anforderungen für den E-Mail-Versand von Unternehmen

Sichere E-Mail-Übertragung ist nicht nur wünschenswert, sondern seit Inkrafttreten gesetzlicher Regelungen wie beispielsweise der europäischen Datenschutz-Grundverordnung (EU-DSGVO) sogar verpflichtend. Wenn Unternehmen sowie öffentliche oder kirchliche Einrichtungen Daten per E-Mail an externe Empfänger versenden, sind Anforderungen an die Sicherheit der Übertragung einzuhalten.

Neben gesetzlichen Anforderungen an erhöhte Vertraulichkeit für einige Berufsgruppen (z.B. Berufsgeheimnisträger), gilt übergreifend für alle Unternehmen sowie öffentliche und kirchliche Einrichtungen der gesetzliche Datenschutz (BDSG, EU DSGVO, DSG-EKD, KDG).

Welche technischen oder organisatorischen Anforderungen sich aus den gesetzlichen Pflichten des BDSG und der europäischen DSGVO ergeben, hat die Deutsche Datenschutzkonferenz (DSK), also das gemeinsame Gremium der Datenschutzaufsichts-Behörden der Länder und des Bundes, in Ihrer erstmalig im Mai 2020 veröffentlichten Orientierungshilfe (überarbeitet am 26.06.21) zusammengefasst.

E-Mail-Nachrichten mit personenbezogenen Daten müssen verschlüsselt übertragen werden, mit dem Ziel eine angemessene Risikominderung für die Betroffenen zu erreichen.

Entscheidender Bestandteil ist dabei eine Risikobetrachtung, bei der zwischen E-Mail-Nachrichten mit normalen Risiken für die Betroffenen (z.B. E-Mails mit Namen, Anschriften, E-Mail-Adressen) und E-Mail-Nachrichten mit hohen Risiken für die Betroffenen (z.B. E-Mails mit Finanzdaten, Gesundheitsdaten) unterschieden wird.

Die Klassifizierung zwischen „normalen“ und „hohen“ Risiken sowie der generelle Umgang mit dem Begriff des Risikos ist im Kurzpapier Nr. 18 der DSK definiert.

Bei den herkömmlichen Verschlüsselungsmethoden wird im Allgemeinen zwischen der Transportverschlüsselung und der Inhaltsverschlüsselung unterschieden. Der Stand der Dinge im Bereich E-Mail-Verschlüsselung war bisher folgender:

Die Inhaltsverschlüsselung umfasst zwei Bereiche. Zum einen kann die eigentliche E-Mail verschlüsselt werden. Dafür geeignet sind z. B. S/MIME oder PGP. Zum anderen können auch Dateianhänge wie PDF- oder ZIP-Dateien verschlüsselt werden.

Für Inhaltsverschlüsselung ist ein hoher Schulungsbedarf für die Mitarbeiter notwendig und zusätzlich oftmals eine Mitarbeit des Empfängers (z. B. Erzeugung/Austausch eines Zertifikats, Festlegen eines Passworts oder Anlegen eines Accounts).

Unter Transportverschlüsselung versteht man verschiedene Verfahren, die auf dem Verschlüsselungsprotokoll TLS (Transport Layer Security) aufbauen. Die bisher standardmäßig eingesetzte Opportunistische Transportverschlüsselung ist für die Übermittlung von Informationen mit Personenbezug schlichtweg nicht geeignet.

Aber auch die Obligatorische Transportverschlüsselung ist bisher nur in Einzelfällen einsetzbar, da bei einem pauschalen Mindest-Sicherheitslevel der E-Mail-Kanal für einige Empfänger nicht mehr verfügbar wäre. Diese wäre der Fall, wenn der E-Mail-Server des Empfängers keine oder nur eine veraltete TLS-Verschlüsselung anbietet, was tatsächlich sehr häufig vorkommt.

Bisher haben wir den Status Quo der Entwicklungen betrachtet. Ein neuer, durch die DSK in der oben genannten Orientierungshilfe definierter Begriff, ist die Qualifizierte Transportverschlüsselung. Bei dieser werden in der Kommunikation zwischen den Servern zuerst strikte TLS-Sicherheitsprüfungen angewendet, bevor es zur Übertragung einer E-Mail kommt. Im Bereich von Web-Browsern sind solche Verfahren längst Standard und ohne sie wären viele Online-Services gar nicht möglich.

Die DSK kommt in ihrer Orientierungshilfe zu dem Ergebnis, dass es vom Inhalt der versendeten E-Mail – genauer von dem davon ausgehenden Risiko für die betroffenen Personen – abhängig ist, welche technische Maßnahmen ergriffen werden müssen, um ein angemessenes Sicherheitslevel bereitzustellen. Ziel ist die Erreichung einer Risikominderung für die betroffenen Personen. Dabei wird eine Aufteilung in 3 Fallgruppen vorgenommen:

Abhängig vom vorliegenden Risiko können die Obligatorische Transportverschlüsselung, die Qualifizierte Transportverschlüsselung und die Inhaltsverschlüsselung geeignete technische Maßnahmen für die Absicherung von personenbezogenen Daten bei der Übertragung per E-Mail sein.

So schön die Theorie, so schwierig die Umsetzung in der Praxis. Mit Standard E-Mail-Systemen ist es nur mit großem Aufwand für die IT-Administratoren möglich, je Kommunikationspartner eine geeignete TLS-Policy (obligatorische oder qualifizierte Transportverschlüsselung) einzurichten. Häufig passiert dies daher nur auf explizite Anforderung für einzelne E-Mail-Empfänger, bleibt also die Ausnahme, im Verhältnis zum gesamten E-Mail-Aufkommen.

Andererseits bedingt eine Inhaltsverschlüsselung stets großen Aufwand auf Seite der Absender und Empfänger. Je nach Verfahren sind im Vorhinein Zertifikate auszutauschen oder Passwörter zu vereinbaren und verschlüsselte Datei-Anhänge zu erzeugen bzw. beim Empfänger wieder zu entschlüsseln. Die Inhaltsverschlüsselung stellt also auch nur für Einzelfälle eine praktikable Lösung dar.

Einen Ausweg bietet die adaptive Verschlüsselung mit dem comcrypto MXG E-Mail-Gateway. Erstmalig werden die Ebenen der Transport- und Inhaltsverschlüsselung miteinander verknüpft und können so automatisiert eingesetzt werden. Indem die adaptive Verschlüsselung zum Standard wird, kommt ein sinnvolles Mindest-Schutzniveau flächendeckend und automatisch zur Anwendung.

Unser MXG E-Mail-Gateway hilft Ihnen dabei:

• so viele Ihrer E-Mails wie möglich auch ohne Passwörter und trotzdem sicher zu übertragen,
• die wenigen Fälle, in denen die sichere Übertragung ohne Inhaltsschutz technisch nicht möglich ist, zu erkennen und in diesen Fällen automatisiert und nach Ihrer Unternehmens-Policy zu reagieren und
• die gewünschten Prozesse in der E-Mail-Übertragung zu etablieren und die Wirksamkeit der technischen Maßnahmen nachzuweisen.

Zusätzlich wird das Sicherheitslevel der qualifizierten Transportverschlüsselung bereitgestellt, welches auch die E-Mail-Übertragung mit hohen Risiken ohne zusätzlichen Einsatz von Passwörtern oder anderen Mechanismen der Inhaltsverschlüsselung ermöglicht.