Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen (Art. 28 Abs. 1 DS-GVO), so arbeitet dieser nur mit Auftragsverarbeitern, die mittels technischer und organisatorischer Maßnahmen den Schutz der Rechte der betroffenen Personen gewährleistet. Zu diesen Maßnahmen gehört eine Verschlüsselung der E-Mail-Korrespondenz. Doch inwiefern, wann und ob alle E-Mails verschlüsselt werden müssen, können Sie in diesem Beitrag nachlesen.

WIE SIND VERSCHLÜSSELUNGEN VERBREITET?

Laut der Studie „2018 Global Encryption Trends Study“ von Thales, haben 74% teilweise oder umfangreich öffentliche Cloud-Verschlüsselung eingesetzt. 42% Nutzen nur Schlüssel, die Sie kontrollieren, für Data-at-Rest-Verschlüsselung. Nur 43% der befragten Unternehmen setzen eine einheitliche Verschlüsselungsstrategie ein. Die Umfrage und die Studie berufen sich auf über 5200 Personen aus 12 Ländern.

VERSCHLÜSSELUNG NACH DS-GVO

Nach Art. 32 DS-GVO ist eine Verschlüsselung ausdrücklich als Maßnahme zum Schutz personenbezogener Daten definiert. Eigentlich sollte genau aus diesem Grund bereits jedes Unternehmen in Europa diese Thematik ernst nehmen und umsetzen. Art. 34 DS-GVO beschreibt sogar die Meldepflicht in Abhängigkeit von genutzter Verschlüsselungsmethoden.
 
(3) Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
 

  1. der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung,
  2. der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht,
  3. dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

IST DIE E-MAIL-VERSCHLÜSSELUNG EINE GRUNDSÄTZLICHE PFLICHT?

Gerne wird mit Produkten geworben und die Angst von potentiellen Nutzern ausgenutzt. So auch mit der Verschlüsselungs-Problematik, welche durch die DS-GVO herumgeistert. E-Mail-Verschlüsselung wird als Pflicht angesehen. Doch stimmt das? Pauschalisieren lässt sich diese Thematik leider nicht. Es kommt eher darauf an. Die Prüfung von Daten auf Integrität und Echtheit zu prüfen galt als Schutzziel des alten BDSG.
 
Generell gilt nun, dass geeignete technische und organisatorischen Maßnahmen ein Schutzniveau gewährleisten sollte, welches äquivalent zum Risiko sein sollte.

ANGEMESSENHEIT UND SCHUTZBEDARF

Die Angemessenheit und der Schutzbedarf sind für eine notwendige Verschlüsselung ausschlaggebend. Sollten Daten mit einem hohem oder sehr hohem Schutzbedarf (Gesundheitsdaten etc.) per Mail verschickt werden, ist eine Ende-zu-Ende-Verschlüsselung erforderlich.
 
Übermittelt der Absender personenbezogene Daten mit normalem Schutzbedarf, besteht die Möglichkeit auf die Ende-zu-Ende-Verschlüsselung zu verzichten. Der Mindeststandard wäre jedoch eine Transportverschlüsselung erforderlich. Der Schutzbedarf der Daten definiert also den erforderlichen Grad der Verschlüsselung.

MAßNAHMEN FÜR MEHR E-MAIL-VERSCHLÜSSELUNG

Zwar ist eine Verschlüsselung jeder E-Mail nicht notwendig, jedoch sollten Unternehmen viel mehr in eine reibungslose Verschlüsselung der Korrespondenz investieren. Folgende Fragen können dazu beitragen, dass Sie die richtigen Maßnahmen für Ihr Unternehmen in Bezug auf Verschlüsselung abprüfen können:

  1. Sind die Mitarbeiter/innen für die Datenrisiken bei ungeschützten E-Mails sensibilisiert?
  2. Gab es Schulungen zu den Verfahren zur Transport- und zur Ende-zu-Ende-Verschlüsselung?
  3. Kommen integrierte Lösungen zur E-Mail-Verschlüsselung zum Einsatz?
  4. Ist auch die E-Mail-Archivierung verschlüsselt?
  5. Sind mobile Endgeräte verschlüsselt?
  6. Gibt es eine Verschlüsselungslösung für die Übertragung von Dateien, die als E-Mail-Anhang ungeeignet sind?
  7. Sind Mail-Server und Mail-Clients geschützt, nicht nur die E-Mails?
  8. Finden regelmäßig Sicherheits-Updates für Mail-Server und Clients statt?