array(2) { [0]=> string(13) "Open Sans:600" [1]=> string(5) "Arial" }
Open Sans:600
Arial
E-Mail-Versand unter der DSGVO - Rechts- und Patentanwälte
E-Mail-Versand unter der DSGVO

E-Mail-Versand unter der DSGVO: (K)ein sicheres Kommunikationsmittel?

Die Regelungen zum Datenschutz verpflichten zu technisch-organisatorischen Maßnahmen (TOM), die den Schutz personenbezogener Daten praxistauglich und sicher gewährleisten. Das betrifft auch den E-Mail-Verkehr.

Verschlüsselung von E-Mails

Früher wurde über E-Mails gesagt, sie hätten den gleichen Sicherheitsstandard wie eine Postkarte. Inzwischen hat sich durch diverse Sicherheitszertifikate und Filter jedoch ein höherer Sicherheitsstandard etabliert.

Nahezu jeder Mailserver dürfte inzwischen den sog. „SSL/TLS-Standard“ eingeführt haben. Dieser sorgt für eine verschlüsselte Verbindung zwischen dem Nutzer und dessen Mail-Server. Der gleiche Schutzstandard besteht zwischen dem Empfänger-Server und dem Empfänger.

Nicht geschützt ist allerdings der Datentransfer zwischen den Servern, da es hierzu eines manuell geteilten Passworts bedarf. Diese Telekommunikation könnte also mit entsprechenden Kenntnissen abgegriffen werden.

Eine Lösung mit höherem Sicherheitsstandard wäre die sog. „Ende-zu-Ende-Verschlüsselung“, bei der die E-Mail verschlüsselt übertragen wird. Das Passwort zur Entschlüsselung muss allerdings aufwendig über einen gesonderten Kommunikationsweg übertragen werden. Diesen Schritt scheuen viele Unternehmen.

Daneben gibt es auch noch Web-Client-Lösungen, bei denen E-Mails auch vom Server des Versenders gesichert abgerufen werden können. Neben dem Erfordernis des manuellen Austauschs eines Passworts ist hierbei jedoch ein händisches Exportieren in das eigene
E-Mail-Programm erforderlich. Der Lohn hierfür ist der aktuell höchste Schutzstandard.

Rechtliche Erfordernisse

Der E-Mail-Transfer mittels der Transportverschlüsselung SSL/TLS ist absoluter Mindeststandard, da ein Abgreifen von E-Mails zwischen Nutzer und Server die größte Gefahr darstellt. Insofern geht die datenschutzrechtliche Literatur und Rechtsprechung auch davon aus, dass ein Versand ohne Transportverschlüsselung rechtswidrig, abmahnfähig und bußgeldbewährt ist.

Sie sollten daher die Einhaltung dieses Standards prüfen lassen.

Gleichzeitig entspricht der SSL/TLS-Standard bei nicht besonders geheimhaltungsbedürftigen Inhalten einer praxistauglichen, einigermaßen sicheren Vorkehrung der daher auch ausreichend ist. Zur Begründung wird angeführt, dass das Erfordernis krimineller Energie und nicht unerheblicher technischer Kenntnisse eines Hackers beim Durchsuchen fremder E-Mails nicht unberücksichtigt bleiben darf. Immerhin könnte auch jeder Brief von Postdienstleistern oder dessen Auftragnehmern unbefugt geöffnet werden.

Empfehlung für die Praxis

Bei der Übertragung von Geschäftsgeheimnissen per E-Mail sollte eine „Ende-zu-Ende-Verschlüsselung“ oder Client-Lösung genutzt werden. Für alltägliche E-Mails ist der nach aktuellem Stand der Technik etablierte SSL/TLS-Standard datenschutzrechtlich ausreichend.

Gerne prüfen wir für Sie, ob Ihre derzeit vorhandenen technisch-organisatorischen Maßnahmen für den E-Mail-Versand ausreichend sind. Sprechen Sie uns hierzu gerne an.

Alexander Brittner, LL.M.
Rechtsanwalt, Datenschutzbeauftragter (TÜV)

E-Mail: alexander.brittner@bolex.de
Telefon: +49 (234) 91360

MENU