Das LDI NRW ist der Datenschutzkonferenz (DSK) zuvor gekommen und hat eine Anforderungsliste an technische und organisatorische Maßnahmen (TOMs) beim E-Mail-Versand ins Netz gestellt. Diese finden Sie hier.
Dabei unterscheidet die Aufsichtsbehörde NRW zwischen der Inhaltsebene und Transportebene:
Inhaltsebene:
Für die Verschlüsselung des Textes einer E-Mail sowie von Anhängen kommen in erster Linie die Standards S/MIME und OpenPGP infrage.
Transportebene:
Bei einer Verschlüsselung auf Transportebene werden sowohl Meta- als auch Inhaltsdaten auf der Verbindung zwischen Mail-Client und Server bzw. zwischen verschiedenen Mail-Servern verschlüsselt.
Näheres kann dem Beitrag des LDI NRW entnommen werden.
Was sind denn nun die TOMs, die es einzuhalten gilt?
- Die Kommunikation per E-Mail bedarf mindestens der Transport-Verschlüsselung, wie sie von den namhaften europäischen Providern standardmäßig angeboten wird.
- Die Transportverschlüsselung sollte entsprechend der Technischen Richtlinie „BSI TR-03108 Sicherer E-Mail-Transport“ implementiert sein. In Abhängigkeit vom Schutzbedarf der versendeten Daten und dem Risiko können Abweichungen von der Richtlinie statthaft sein.
- Es ist zu berücksichtigen, dass bei einer Transportverschlüsselung die E-Mails auf den E-Mail-Servern im Klartext vorliegen und grundsätzlich einsehbar sind. Bei besonders schützenswerten Daten (z.B. Kontobewegungsdaten, Finanzierungsdaten, Daten zum Gesundheitszustand, Mandantendaten von Rechtsanwälten und Steuerberatern, Beschäftigtendaten) ist eine alleinige Transportverschlüsselung möglicherweise nicht ausreichend. Zusätzliche technische und organisatorische Maßnahmen, wie z. B. eine Ende-zu-Ende-Verschlüsselung können geboten sein. Sollte dies nicht gewährleistet werden können, sind ggf. alternative Übertragungswege denkbar: Hierzu zählen der elektronische Austausch über eine gesicherte Verbindung (Web-Portal des Verantwortlichen mit Zugangsbeschränkungen) oder die klassische postalische Zusendung.
- Der Betreff der E-Mail sollte keine personenbezogenen Daten enthalten.
Da in meiner Kanzlei ebenfalls mit besonders schützenswerten Daten umgegangen wird, dürfen und werden diese nicht mehr über herkömmliche Emails versendet, da die Erfahrung gezeigt hat, dass nicht einmal 1% meiner Mandanten mit S/MIME und/oder PGP umzugehen weiß oder dies schlichtweg nicht für erforderlich hält. Daher habe ich mich dazu entschlossen, den sicheren Webportalweg zu gehen. Über diesen können meine Mandanten mit mir über einen gesicherten Raum Dokumente austauschen.
Auch anderen Institutionen, die mit besonderen Daten umgehen ist dringend anzuraten, dass die Emailkommunikation im Unternehmen noch einmal auf den Prüfstand gestellt wird, ob die TOMs, die das LDI NRW aufgestellt hat, eingehalten werden können.
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530