Technisch- Organisatorische Maßnahmen zum sicheren E-Mail Versand
Frage
Bei der Übermittlung personenbezogener per E-Mail Daten müssen gemäß Art. 32 DSGVO technische und organisatorische Maßnahmen getroffen werden, um ein angemessenes Schutzniveau zu erreichen. Ähnliches gilt für Geschäftsgeheimnisse. Werden diese beim Versand nicht angemessen geschützt, so verlieren sie den Status eines Geschäftsgeheimnisses nach §2 Nr. 1 b) des Gesetzes zum Schutz von Geschäftsgeheimnissen. Die große Frage ist aber, was ist jeweils angemessen, und wie erreicht man einen angemessenen Schutz?
Analyse
Bisher wurden im Bereich Datenschutz E-Mails oft mit Postkarten verglichen, die einfach von allen gelesen werden können, die auf sie zugreifen können. Dieser Vergleich trifft nicht mehr zu, seit von den Datenschutzbehörden erwartet wird, dass Firmen ihre Mailserver mit TLS Verschlüsselung ausstatten. Damit sind E-Mails zumindest auf dem Transportweg sicher geschützt. In einer kürzlich veröffentlichten Arbeitshilfe hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) dazu jetzt festgestellt, dass, in Abhängigkeit von den damit verbundenen Risiken, eine Transportverschlüsselung ausreichend ist. Alternativ können natürlich die Daten vor dem Versand auch sicher verschlüsselt werden und der Schlüssel über einen zweiten und sicheren Kanal zwischen Sender und Empfänger ausgetauscht werden.
Für Empfänger ergibt sich zumindest die Pflicht, ihre Mailserver so zu konfigurieren, dass sie eine TLS Verschlüsselung nach dem Stand der Technik unterstützen. Bei dem Empfang von besonders sensiblen Informationen müssen auch Maßnahmen implementiert werden, die sicherstellen, dass Nachrichten auch bei dem gewünschten Empfänger ankommen. Spätestens bei dem Versand von Berufsgeheimnissen, die dem §203 StGB unterliegen, ist zuletzt eine Ende-zu-Ende Verschlüsselung erforderlich.
Für Versender von E-Mails ergeben sich ähnliche Pflichten. So muss auch bei dem Versand von personenbezogenen Daten mit „normalem Risiko“ sichergestellt werden, dass die E-Mail nur verschickt wird, wenn der Empfänger auch TLS Verschlüsselung anwendet. Bei hohen Risiken sollte über die technische Maßnahmen sichergestellt werden, dass die E-Mail auch bei dem gewünschten Empfänger ankommt und ein Abfangen durch einen Angreifer wirksam unterbunden wird.
Maßnahmen
Um den sicheren und den gesetzlichen Vorgaben entsprechenden Versand von E-Mails sicherzustellen, sind – in Abhängigkeit von der Art der ausgetauschten Informationen – eine Reihe von technischen und organisatorischen Maßnahmen umzusetzen. Bei der Umsetzung der technischen Maßnahmen soll man sich dabei an den Technischen Richtlinien des BSI TR 02102-2 und TR 03108-1 orientieren
Grundlegende Maßnahmen
Für den Versand auch von personenbezogenen Daten per E-Mail müssen folgende technischen und organisatorischen Maßnahmen umgesetzt werden:
- Richtlinie zum Versand von E-Mails mit personenbezogenen Daten oder Geschäftsgeheimnissen
- Sichere Transportverschlüsselung mit TLS/STARTTLS
- Perfect Forward Secrecy
- Zwingende TLS Verschlüsselung beim Versand
Maßnahmen für E-Mail Nachrichten mit hohem Risiko
Sollten personenbezogene Daten verschickt werden, die ein hohes Risiko für die Betroffenen beinhalten, sind zusätzliche technische Maßnahmen erforderlich. Hohe Risiken können beispielweise bei dem Versand von besonderen personenbezogenen Daten wie Informationen zu sexueller Orientierung und Gesundheitsdaten oder Daten zu besonders schützenswerten Personengruppen wie Kindern auftreten. Hier sind technische Maßnahmen wie
- DANE
- DNSSEC
- DKIM
- Verwendung offizieller statt selbst-signierter Zertifikate auf den Mailservern
- Verschlüsselungstools zum sicheren Versand von Dateien
in Betracht zu ziehen.
Maßnahmen für E-Mail Nachrichten mit geheim zu haltenden Inhalten
In erster Line betrifft dies Nachrichten mit Privatgeheimnissen bzw. Berufsgeheimnissen nach §203 StGB. Also Daten aus der Tätigkeit von Ärzten, Anwälten, Personal- oder Betriebsräten etc. Hier ist eine Ende-zu-Ende Verschlüsselung als verpflichtend anzusehen, z.B. mittels
- S/Mime
- PGP
- sicheren Dateiverschlüsselungstools
Nächste Schritte
Die Umsetzung der Maßnahmen wie beispielsweise einer Email-Verschlüsselung hat immer auch Auswirkungen auf andere Prozesse, wie Archivierung oder die Hinterlegung von Schlüsseln. Um herauszufinden, welche Maßnahmen für Sie angemessen sind, bietet Ihnen die Süd IT an in einem Workshop Ihre Anforderungen zu erfassen und Lösungen zu skizzieren. Gerne unterstützen wir Sie auch bei der Umsetzung dieser Maßnahmen, die von einer sicheren Konfiguration vorhandener Infrastruktur über Einführung von Perimeter-Verschlüsselung bis hin zur kompletten Auslagerung der E-Mailserver reichen kann.
Resümee
Zwingend umzusetzen sind immer die angegebenen grundlegenden Maßnahmen. Welche der weiterführenden Maßnahmen jeweils umgesetzt werden müssen, hängt stark von der Art der ausgetauschten Informationen sowie der technischen Infrastruktur ab. Die Süd IT unterstützt Sie bei Bedarf gerne bei der Planung und Umsetzung sowohl der organisatorischen wie technischen Maßnahmen.
Weiterführende Informationen
- DSGVO
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32016R0679 - Gesetz zum Schutz von Geschäftsgeheimnissen
http://www.gesetze-im-internet.de/geschgehg/ - Orientierungshilfe E-Mail Verschlüsselung
https://www.datenschutzkonferenz-online.de/media/oh/20200526_orientierungshilfe_e_mail_verschluesselung.pdf - Kryptographische Verfahren: Empfehlungen und Schlüssellängen
https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr02102/index_htm.html - BSI Richtlinien für den sicheren E-Mail-Transport
https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03108/index_htm.html - StGB § 203 Verletzung von Privatgeheimnissen
https://www.gesetze-im-internet.de/stgb/__203.html
Die Münchner Süd-IT AG unterstützt vor allem mittelständische Unternehmen im Bereich Informations-Sicherheit und Datenschutz. Die Kernleistungen rund um Auditing, Beratung und Vorbereitung zu ISO/IEC 27001, ISO 22301, TISAX und Datenschutz können von Kunden jederzeit erweitert werden. Für Aufbau sowie Optimierung von ISMS, IT- Sicherheitssystemen und IT-Infrastrukturen stehen gegenwärtig über 250 hochkarätige Spezialisten bereit. Sie liefern Unternehmen u.a. aus den Marktsegmenten Energie, Versicherungen, Automotive, Medizin und Dienstleistungen komplette Lösungen aus einer Hand. Dabei verfolgt die Süd-IT das Konzept "Ihre Experten vor Ort" und ist daher mit mehreren Standorten im süddeutschen Raum sowie in Berlin und Rom kundennah aufgestellt.
Süd IT AG
Stahlgruberring 11
81829 München
Telefon: +49 (89) 4613505-12
Telefax: +49 (89) 4613505-99
http://www.sued-it.de
IT-Sicherheit
Telefon: +49 (175) 2214287
E-Mail: krempl@sued-it.de