Freitag, 31. August 2018

E-Mail-Verschlüsselung - Was fordert die EU-DSGVO?

Die EU-Datenschutzgrundverordnung (EU-DSGVO) nennt Verschlüsselung als Maßnahme für die Sicherheit der Verarbeitung personenbezogener Daten. Müssen deshalb alle E-Mails von nun an verschlüsselt werden?


Werbung übertreibt gern


Wenn Sie eine Computer-Zeitschrift zur Hand nehmen, begegnen Ihnen in der letzten Zeit viele Werbeanzeigen, die aussagen, mit der EU-DSGVO sei nun die Zeit gekommen, dass alle E-Mails komplett verschlüsselt werden müssen, vom Absender bis zum Empfänger (Ende-zu-Ende-Verschlüsselung).

Fordert die EU-DSGVO die E-Mail-Verschlüsselung
Fordert die EU-DSGVO die E-Mail-Verschlüsselung?

So wichtig eine Verschlüsselung im Internet auch ist: So mancher Anbieter von Verschlüsselungslösungen übertreibt und verkürzt die Forderungen der EU-DSGVO derart, dass man den Eindruck bekommen kann, unverschlüsselte E-Mails zu verschicken, wäre grundsätzlich eine Datenschutzverletzung. Das stimmt so nicht!




Es kommt weiter auf den Schutzbedarf an


Bereits das alte Bundesdatenschutzgesetz (BDSG-alt) nannte die Verschlüsselung als eine der zentralen technisch-organisatorischen Maßnahmen. Verschlüsselung hatte und hat eine wichtige Stellung. Sie trägt dazu bei, das Schutzziel „Vertraulichkeit“ zu erreichen.

Außerdem hilft sie, die Integrität und Echtheit von Daten zu prüfen. Trotzdem gilt: Geeignete technische und organisatorische Maßnahmen sollen ein Schutzniveau gewährleisten, das dem Risiko angemessen ist. Sie sollen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen ausgewählt werden.

Bedeutet das nun, dass E-Mail-Verschlüsselung freiwillig ist? Nein, natürlich nicht. Es kommt auf den genauen Fall an.

Erschwerend kommt hinzu, dass E-Mails auf verschiedene Arten verschlüsselt  werden können. Ursprünglich war eine E-Mail Verschlüsselung nicht vorgesehen, weder der Inhalt noch die Übertragung der ersten E-Mails waren verschlüsseltet. In den 90er Jahren wurde die ersten weit verbreiteten Verfahren entwickelt, um den Inhalt von E-Mails  zu verschlüsseln, insbesondere der PGP-Standard (der heute in anderen Bereichen eine weitaus größere Bedeutung hat).

Der PGP-Standard war für die praktische Umsetzung der Verschlüsselung ein großer Durchbruch, denn er erlaubt eine äußerst robuste Ende-zu-Ende-Verschlüsselung. Sein großer Nachteil: Sender wie Empfänger müssen technischen Voraussetzungen zur Ver- und Entschlüsselung erfüllen, beide Seiten brauchen ein Schlüsselpaar aus öffentlichem und privatem Schlüssel.

Diese Voraussetzung sind in der Alltagskommunikation meist nicht gegeben, entsprechend versucht man das Problem mit einer Transportverschlüsselung anzugehen. Diese basiert heute auf dem SSL/TLS Protokoll, mit dem auch weite Teile der Kommunikation mit Webseiten gesichert wird.

Auf diese Weise empfehlen wir auch unseren Datenschutz-Kunden, alle Ihre Webseiten per SSL/TLS zu verschlüsseln. Gesichert wird dabei die Kommunikation zwischen E-Mail-Servern - und nicht zwischen Sender und Empfänger. Nachrichten werden auf den dazwischenliegender E-Mail-Servern entschlüsselt. Die Vertraulichkeit ist bei der Transportverschlüsselung also nur dann gewährt, wenn Sender und Empfänger den jeweiligen Server-Betreibern trauen können. Hinzu kommt, dass bei der Transportverschlüsselung die Verschlüsselungs-Aufgaben von Servern umgesetzt werden. In der Regel ist es weder für den Sender noch den Empfänger erkennbar, ob eine E-Mail auf den Transportweg überhaupt verschlüsselt wurde - ohne die technische Konfiguration zu kennen. Entsprechend kann die Transportverschlüsselung von E-Mails bestenfalls als „weniger unsicher“ gelten.

Was sagen die Datenschutz-Aufsichtsbehörden dazu?


Die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW schreibt zum Beispiel: "Maßnahmen wie „Verschlüsselung“ sind als Beispiele für Standardmaßnahmen zu verstehen. Das heißt: Sofern ihr Einsatz möglich und angemessen ist, sind sie grundsätzlich umzusetzen."

Es kommt also auf die Angemessenheit und damit den Schutzbedarf an. Sollen Daten mit hohem oder sehr hohem Schutzbedarf, wie etwa Gesundheitsdaten, per E-Mail verschickt werden, ist eine Ende-zu-Ende-Verschlüsselung erforderlich. Da die Betreffzeile einer E-Mail nicht durch Ende-zu-Ende-Verschlüsselung geschützt wird, ist sicherzustellen, dass sie keine Daten mit hohem oder sehr hohem Schutzbedarf enthält.

Bei der Übermittlung personenbezogener Daten mit normalem Schutzbedarf besteht die Möglichkeit, dass im Einzelfall der Verzicht auf eine Ende-zu-Ende-Verschlüsselung der Inhaltsdaten statthaft ist. Als Mindeststandard ist bei der Übermittlung personenbezogener Daten mit normalem Schutzbedarf eine Transportverschlüsselung erforderlich, so die Aufsichtsbehörde.

Es zeigt sich: Es kommt auf den Schutzbedarf der personenbezogenen Daten und die Art der Verschlüsselung an. Alle E-Mails zu verschlüsseln, fordert der Datenschutz also nicht.

Ist Ihr Unternehmen bereit für die EU-DSGVO? Jetzt Fördermittel nutzen!


Als Berater in Sachen Datenschutz & Informationssicherheit und mit der Erfahrung als ISO-27001-zertifiziertes Systemhaus analysieren wir gemeinsam mit Ihnen den Reifegrad Ihres Datenschutzkonzeptes im Hinblick auf die EU-DSGVO.

Das erfolgreiche yourIT Beratungskonzept Datenschutz in 4 Phasen

Als Ergebnis erhalten Sie einen ausführlichen Beratungsbericht, in dem wir alle gefundenen Schwachstellen in Ihrem Unternehmen in Bezug auf Datenschutz & Informationssicherheit aufführen, diese bewerten, Belegen, weshalb es sich um eine Schwachstelle handelt, wo wir diese entdeckt haben. Wir nennen diesen Datenschutz-Beratungsbericht auch das "Datenschutz-Pflichtenheft", weil wir Ihnen zu jeder Schwachstelle zudem Handlungsempfehlungen geben, wie Sie diese beheben.

Und jetzt das Beste: Für mittelständische Unternehmen wurde unsere Beratungsleistung in Sachen Datenschutz & Informationssicherheit als förderungswürdig eingestuft. Wenn Ihr Unternehmen die Förderbedingungen einhält, haben Sie Anspruch auf 1.500 EUR Fördermittel.

Gerne prüfen wir mit Ihnen, ob auch Ihrem Unternehmen Fördermittel zustehen. Das dauert nur wenige Minuten.

Ich freue mich auf Ihre Anfragen.

Ihr Thomas Ströbele

Thomas Ströbele

Fragen / Anregungen

Haben Sie Fragen oder Anregungen zu diesem Beitrag? Dann senden Sie uns diese hier und jetzt:

Name

E-Mail (Pflichtangabe)

Nachricht (Pflichtangabe)


Mit dem Absenden der Nachricht bestätigen Sie, die Datenschutzerklärung der yourIT zur Kenntnis genommen zu haben.