Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung
Zugriffe: 3353

"Die DSGVO-Gazette" #9: Maßnahmen zum Schutz persbez. Daten bei der Übermittlung per E-Mail

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder - im speziellen der Arbeitskreis „Technische und organisatorische Datenschutzfragen“ hat eine Orientierungshilfe herausgebracht. Und das ist schon was besonderes, denn Orientierungshilfen sind in der Regel sehr gut ausgearbeitete Unterlagen, in denen die Landesdatenschutzbeauftragten aktuelle Themen aufgreifen und fallabschließend festlegen. Der Name "Orientierungshilfe" mag zwar nicht-bindend klingen, jedoch sollte ich jeder gute Argumente überlegen, wieso er bei seiner Datenverarbeitung den Empfehlungen der Landesdatenschutzbehörden nicht folgt.

Im Fall dieser Orientierungshilfe zum "Schutz personenbezogener Daten bei der Übermittlung per E-Mail" ermöglichen die Landesdatenschutzbeauftragten nun offiziell eine Abkehr von der Ende-zu-Ende Verschlüsselung unter gewissen Voraussetzungen. Sie bieten allen Verantwortlichen die Möglichkeit - im manchen Fällen - auf eine obligatorische Transportverschlüsselung auszuweichen.

Trotzdem müssen Verantwortliche und deren Datenschutzbeauftragte beide Verfahren voneinander abwägen, bevor sie sich für eine Maßnahmen entscheiden.

Bis zu dieser Orientierungshilfe haben offizielle Stellen die Transportverschlüsselung nicht umfassend untersucht und gleichzeitg einstimmig dazu Stellung bezogen. Dies hat sich nun geändert - und das ist gut so. Denn Transportverschlüsselung (oder TLS) ist keine Nischentechnologie mehr, die nur zwischen T-Online und dem eigenen Server funktioniert. Seit Jahren usus ist es, dass eMail-Server untereinander Daten verschlüsselt übertragen. Auch mein eMail-Server verlangt TLS zwingend. Die Fehlermeldung "TLS is required, but was not offered by host" habe ich seit Jahren nicht mehr bei nicht angenommenen Verbindungen gesehen. Umso sinnvoller ist es zu klären, wann eine TLS-Verschlüsselung oder Transportverschlüsselung für eMailverkehr bei personenbezogenen Daten ausreicht. TLS ist also "Stand der Technik". Und Ende-zu-Ende Verschlüsselung ist es derzeit (leider) nicht. Oder wer hat schon ein öffentliches S/MINE-Zertifikat - eigentlich nur Datenschutzbeauftragte, die sich untereinander eMaills schreiben. Ich kenne jedenfalls keine Privatperson mit sowas.

Gleichzeitig bringt die Orientierungshilfe auch wirtschaftliche Überlegungen mit ein und "bestimmt ausgehend vom Stand der Technik, den typischen Implementierungskosten und deren Verhältnis zu den Risiken einer Übermittlung personenbezogener Daten per E-Mail" Maßnahmen, die Verantwortliche und deren Datenschutzbeauftragte zur ausreichenden Minderung der Risiken treffen müssen.

Die Orientierungshilfe schreibt fest, dass der durchgreifendste Schutz der Vertraulichkeit der Inhaltsdaten durch eine Ende-zu-Ende-Verschlüsselung erreicht wird. Die Transportverschlüsselung bietet dahingehend einen Basis-Schutz und stellt eine Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen dar. Gleichzeitig ist in Verarbeitungssituationen mit normalen Risiken dabei bereits durch die Transportverschlüsselung eine ausreichende Risikominderung erreicht.

Dieser letzte Satz "eine Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen" bedeutet nichts anderes, als das TLS von nun an obligatorisch für alle eMails mit personenbezogenen Daten ist - mal abgesehen von der eMail des Empfängers, denn die schützt noch nicht mal eine Ende-zu-Ende Verschlüsselung (übrigens wird der "Betreff" auch nie verschlüsselt). Also von nun an Achtung: TLS strict ist obligatorisch! Nichts anderes heißt das Wort "Mindestmaßnahme". Alternativ müssen alle ausgehenden Mails überprüft werden, ob sie tatsächlich keine personenbezogenen Daten beinhalten: "Herzlichen Glückwunsch!".

In einem weiteren Beitrag zu der Orientierungshilfe beziehe ich mich im Detail auf deren Anforderungen unter den Kapiteln:

  • Die Inanspruchnahme von E-Mail-Diensteanbietern
  • Fallgruppen sowie
  • Anforderungen an die Verschlüsselungs- und Signaturverfahren

Übrigens "hilft" die Orientierungshilfe auch für den Fall, dass eMail nicht sicher ist: "Können die Anforderungen an eine sichere Übermittlung per E-Mail nicht erfüllt werden, so muss ein anderer Kommunikationskanal gewählt werden." Das bedeutet nichts anderes als die Bereitstellung eines Webportals für Kunden. Denn postalische Kommunikation ist keine Alternative.

Bei Fragen wenden Sie sich gerne an mich.

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Bad Aachen

Photo by Onlineprinters on Unsplash
Tags: , , , , , , , , , , , , , , , , ,

Navigation