E-Mail Verschlüsselung, Schutz vor Ausspähung

Was gibt es interessanteres als den Mailverkehr, vor allem von Unternehmen zu Unternehmen oder Kunden zu kennen und mitzulesen?

Wer weiß was kommuniziert wird hat Wissen das er nutzen und damit Schaden anrichten kann. Sei es zum eigenen Vorteil oder aus sonstiger Motivation heraus.

Die E-Mail-Verschlüsselung ist für viele ein Buch mit sieben Siegel und wird gerne beiseite geschoben.

Besonderes Augenmerk auf personenbezogene Daten

Nicht erst seit der DSGVO empfiehlt das Bundesdatenschutzgesetz dass E-Mails mit personenbezogenen Daten zu verschlüsseln. Seit der DSGVO ist das unverschlüsselte versenden von personenbezogenen Daten mit dem Risiko eines Bußgeldes versehen wenn es zu einer Datenpanne kommt.

In so einem Fall müssen die Datenschutzbehörden und betroffene Personen informiert werden. Ein Gang den man sich als Unternehmen möglichst ersparen möchte, denn schnell ist das Vertrauen verspielt. Wie bekannt ist, ist Vertrauen mit das höchste Gut das ein Unternehmen hat.

Besonders Personalabteilungen, Ärzte, Rechtsanwälte haben mit personenbezogenen Daten zu tun. Aber auch normale Unternehmen in er Alltagskommunikation, Behörden, Kirchen und Vereine.

Personenbezogene Daten sind zum Beispiel:

  • Name
  • Anschrift
  • Geburtdatum
  • sexuelle Orientierung
  • ethnische Herkunft
  • religiöse Überzeugungen
  • politische Meinung
  • biometrische Daten
  • Daten über die Gesundheitszustand
  • Familienstand

Muss man den Mailverkehr zwingend verschlüsseln?

Es gibt in der DSGVO nicht explizit und wortwörtlich die Pflicht zur Mailverschlüsselung.

Folgendes ist im Artikel 32 der DSGVO zu lesen:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten…“

Das heißt die persönlichen Daten haben einen besonderen Schutz und müssen nach dem Stand der Technik im Mailverkehr geschützt werden.

Alleine dieser Absatz zeigt die vielen böhmischen Dörfer und Stolperfallen die die DSGVO bereit hält. Das ist nichts mit was sich der Kleinunternehmer und Mittelständler beschäftigen möchte und auch ohne Hilfe von außen nur schwerlich zurecht kommt.

Die E-Mail im Detail

Personenbezogene Daten können an verschiedenen Stellen in einer Mail auftreten.

Eine Mail besteht aus den Metadaten wie Absender, Empfänger, Betreff und Sendedatum.

Des weiterem aus dem Inhalt der wohl die meisten personenbezogenen Daten enthält, sowie dem Anhang (zum Beispiel ein PDF).

In allen Bereichen können personenbezogene und schützenswerte Daten vorkommen. Wenn zum Beispiel der Betreff falsch gewählt wird können bereits in den Metadaten maßgebliche Daten ersichtlich sein.

Die E-Mail-Verschlüsselung im Alltag

Je komplizierter ein Verschlüsselungsverfahren sich im Alltag darstellt, desto anfälliger ist es. Mitarbeiter werden einen Weg finden um doch schnell mal eine E-Mail, die verschlüsselt werden müsste, ohne Verschlüsselung zu versenden.

Es gibt verschiedene Geräte mit denen E-Mails versendet werden, vom Smartphone bis zum Arbeitsplatzcomputer. Und es gibt verschiedene Speicherorte, von der Cloud bis hin zum eigenen Rechenzentrum.

All das beinhaltet viele Möglichkeiten und Lücken die Verschlüsselung zu umgehen, ob absichtlich oder unbeabsichtigt. Man muss also neben der juristischen Seite der DSGVO auch noch die technische Seite betrachten.

Das beste ist der Mitarbeiter kommt mit dem Thema überhaupt nicht in Berührung. Denn jede Entscheidung die jemand treffen muss kostet Zeit und beinhaltet auch potentielle Fehlerquellen die dann dem Unternehmen viel Geld kosten können. Sei es in Form von Strafen oder dem Vertrauensverlust gegenüber dem Kunden und in der Öffentlichkeit.

Die Kosten

Die DSGVO kostet ohne Zweifel viel Geld, selbst wenn sich gegenüber der vorherigen Rechtslage in manchen Bereichen nichts geändert hat. Nur ist man jetzt dokumentationspflichtig, muss im Falle einer Datenpanne schneller reagieren und muss mit Konsequenzen rechnen.

Auch hat der Verbraucher im Rahmen der DSGVO mehr Rechte bekommen was allerdings auch wieder zu Einschränkungen führt, vor allem im Vereinswesen. Da ist es nicht mehr so einfach Daten und Tabellen zu veröffentlichen.

Die Kosten die zur E-Mail-Verschlüsselung samt Administration anfallen können zum Beispiel bei Homesecurity vorher abgefragt werden.

Schreibe einen Kommentar

Ich akzeptiere