Datenpannen, Hacks und Datendiebstahl verursachen der Wirtschaft zunehmend empfindliche Schäden – ganz zu schweigen vom entstehenden Imageschaden. Eine ausreichende Verschlüsselung von E-Mails ist eine der wichtigsten Vorbeugungsmaßnahmen für einen solchen Datenschutznotfall. Laut Datenschutz-Grundverordnung (DSGVO) sind Verantwortliche sogar verpflichtet, ausreichende Schutzmaßnahmen zu ergreifen. Doch wie funktioniert das ganz praktisch?
Unterschiedliche Verschlüsselungsarten für E-Mails
Grundsätzlich lassen sich zwei Formen der E-Mail-Verschlüsselung unterscheiden, die Transport- und die Inhaltsverschlüsselung (auch Ende-zu-Ende-Verschlüsselung genannt).
Bei der Transportverschlüsselung ist „nur“ die Verbindung zwischen den beiden kommunizierenden E-Mail-Servern verschlüsselt. Der Inhalt bleibt jedoch weiterhin lesbar. Bildlich gesprochen, könnte man sich einen Tunnel vorstellen, durch den die Datenpakete geschickt werden. Unbefugte Dritte können nicht in den Tunnel hineinschauen, da dieser entsprechend gesichert ist. Würden Dritte sich jedoch ein Loch zum Tunnel bohren, könnten sie die Datenpakete im Klartext mitlesen. Seit der Einführung am 13. August 2018 wird im Rahmen der Transportverschlüsselung typischerweise das sog. TLS (Transport Layer Security)-Protokoll in der Version 1.3 verwendet.
Bei der Inhaltsverschlüsselung wird hingegen der versandte Inhalt als solcher codiert. In diesem Fall stellt es sich also eher so dar, dass selbst wenn der Dritte in den zuvor beschriebenen Tunnel blicken könnte, er die Datenpakete dennoch nicht mitlesen könnte, da jedes einzelne separat verschlüsselt ist. Hierbei tauschen der Sender und Empfänger zuvor verschiedene Schlüssel (einen öffentlich einsehbaren und dann einen privaten) aus, mit denen sich die Datenpakete wieder öffnen lassen. Deshalb können auch nur die Schlüssel-austauschenden-Beteiligten den versandten Inhalt wieder im Klartext lesen. Aus dem Bereich der Inhaltsverschlüsselung ist das Datenverschlüsselungsformat S/MIME ein besonders populärer Vertreter. Ein weiterer bekannter Vertreter der Inhaltsverschlüsselung ist auch noch PGP (pretty good privacy).
Rechtliche Anforderungen an die E-Mail-Verschlüsselung
Fragt man sich nun, welche Anforderungen die DSGVO aufstellt, so wird man schnell ernüchtert. Gemäß Art. 32 Abs. 1 lit. a) DSGVO heißt es da, dass der Verantwortliche unter Berücksichtigung (u. a.) des Stands der Technik und der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen hat, um ein angemessenes Schutzniveau zu gewährleisten. Hinter dieser etwas langatmigen Erklärung verbergen sich insbesondere zwei entscheidende Aussagen:
Einerseits orientiert sich die Frage, ob eine Verschlüsselung als sicher anzusehen ist, am Stand der Technik. Eine handfeste Definition dieses Begriffs gibt es bisher nicht. Im weiteren Sinne versteht man darunter diejenigen Technologien, die auf gesicherten Erkenntnissen beruhen und in der Praxis jeweils in bereits ausreichendem Maß zur Verfügung stehen, um angemessen umgesetzt zu werden. Eine gute Erklärung des Begriffs liefert dieser Artikel des Webhostinganbieters 1&1 Ionos.
Andererseits hängt der Einsatz der Verschlüsselung davon ab, welche Risiken für eine natürliche Person daraus erwachsen, wenn ein Dritter die versandten Daten mitlesen könnte. Mit anderen Worten: Je brisanter der Inhalt (datenschutzrechtlich) ist, desto höher sind auch die technischen Anforderungen an die Verschlüsselung der E-Mail (Stand der Technik). Soll also z. B. der Befund im Rahmen einer ärztlichen Untersuchung (besonders sensible personenbezogene Daten) per E-Mail verschickt werden, müssen stärkere technische Anstrengungen unternommen werden, als wenn nur eine normale Rechnung („einfache“ personenbezogene Daten) verschickt werden soll.
Die DSGVO verschweigt auch, was denn nun (gerade) dem gegenwärtigen Stand der Technik entspricht. Eine Antwort hierauf geben aber die Datenschutzaufsichtsbehörden der deutschen Bundesländer. So ergibt sich aus einer öffentlichen Stellungnahme der Datenschutzbehörde des Bundeslandes NRW sowie aus verschiedenen Antworten der Datenschutzbehörden anderer Länder auf Anfrage der activeMind AG, dass der Stand der Technik beim Versand personenbezogener Daten mindestens eine Transportverschlüsselung ist. Bestellt jemand in einem Onlineshop z. B. ein Buch und erhält vom Verkäufer eine Bestellbestätigung per E-Mail, die typischerweise die Versandadresse und Rechnungsdaten des Empfängers enthält, so muss die Verbindung im Regelfall mindestens über TLS 1.3 gesichert sein.
Enthält die E-Mail besonders sensible Daten (Art. 9 Abs. 1 DSGVO), liegt die Messlatte höher. Als Stand der Technik wird dann eine Inhaltsverschlüsselung gefordert. Möchte der Arzt also bspw. seinem Patienten die Ergebnisse einer Blutanalyse zusenden, so müsste der Inhalt der E-Mail zur Gewährleistung der Datenschutzkonformität per S/MIME oder mit einer vergleichbaren Inhaltsverschlüsselung codiert werden. Dies erklärt sich wiederum mit dem oben erwähnten Risiko für die Rechte und Freiheiten natürlicher Personen. Denn bei sensibleren Daten drohen für das betroffene Individuum besonders schmerzhafte Risiken (z. B. Rufschädigung, breiteres Spektrum an Missbrauchsmöglichkeiten, etc.). Bekommt ein Dritter lediglich die zuvor erwähnten Rechnungsdaten in die Finger, sind die Risiken dementgegen geringer, wenn auch dennoch vorhanden.
Handlungsvorschläge für Ihre E-Mail-Verschlüsselung
Ein besonderes Problem der E-Mail-Verschlüsselung zum gegenwärtigen Zeitpunkt ist, dass sowohl Sender als auch Empfänger die notwendigen Voraussetzungen zum Ver- und Entschlüsseln der Nachrichten eingerichtet haben müssen. Allerdings haben noch nicht alle Nutzer die Bedeutsamkeit des Themas erkannt. Dabei ist die Verwendung einer Transportverschlüsselung kein Hexenwerk. Mittels dieser Anleitung lässt sich eine solche mit nur wenigen Klicks einrichten. Auch im Fall der Inhaltsverschlüsselung gibt es Hoffnung. So ist z. B. in den bekannten E-Mail-Client Microsoft Outlook von Hause aus auch eine Lösung für den Einsatz von S/MIME integriert. Unter Zuhilfenahme dieser Anleitung, lassen sich sowohl S/MIME als auch PGP auf den unterschiedlichsten E-Mail-Clients recht leicht installieren. Das Beste daran ist, dass die vorgeschlagenen Lösungen kostenlos sind.
Verfügt der Empfänger nicht über die erforderliche Verschlüsselungstechnik, so können ihm Daten zumindest komprimiert (z. B. mit 7-zip, WinRar oder WinZip) und mit einem Passwort versehen übersandt werden. Damit der Empfänger die Datei auch öffnen kann, wird das Passwort hierzu (vorzugsweise) über einen anderen Kommunikationskanal, wie z. B. SMS oder per Telefon, versandt. Aber auch in diesem Zusammenhang sollte geprüft werden, welche Komprimierungssoftware man benutzt. Unterschiede ergeben sich bei den einzelnen Anbietern insbesondere hinsichtlich der eingesetzten Verschlüsselungsstärke (z. B. 256 Bit), aber auch beim Verschlüsselungsalgorithmus (AES).
Abgesehen davon gibt es aber auch weitaus einfachere Möglichkeiten, den Schutz zu versendender E-Mails zu erhöhen. So empfiehlt die Datenschutzaufsichtsbehörde NRW, im Betreff einer Nachricht keine personenbezogenen Daten (Negativbeispiel: „Syphilisuntersuchung von Erwin Meier am 9.3.2018“), sondern neutrale Schlagwörter (z. B. „Rückmeldung zu Ihrem letzten Termin“) zu verwenden.
Um die Daten vor Veränderung auf dem Transportweg zu erschweren, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) u. a. den Einsatz einer digitalen Unterschrift. Dadurch wird auch stärker sichergestellt, dass die E-Mail tatsächlich vom angegebenen Versender stammt. Hilfreiche Hinweise zur Einführung einer solchen Unterschrift, die bei S/MIME bereits integriert ist, finden sich hier.
Arbeiten Unternehmer dauerhaft dauerhaft zusammen und versenden sie sensible Daten, sollten sich beide überlegen, ob auch mit Blick auf Haftungsfragen der Einrichtungsaufwand in Kauf genommen wird.
Datenschutzrechtliche Haftungsrisiken bei unverschlüsselten E-Mails
Werden per E-Mail versandte Daten von Dritten abgefangen oder diesen bspw. offengelegt, so steht es dem Betroffenen frei, vom Versender Schadensersatz zu verlangen. In diesem Zusammenhang sei nochmals besonders darauf verwiesen, dass es nach der DSGVO nunmehr möglich ist, auch immaterielle Schäden ersetzt zu verlangen. Denkt man z. B. an die zuvor erwähnte Syphilisuntersuchung, so könnte eine nicht wohlgesonnene Person bei Kenntnisnahme diese Informationen ohne größere Probleme in einem sozialen Netzwerk veröffentlichen. Ist der Ruf der betroffenen Person dann erst einmal durch ehrkränkende Äußerungen verletzt, so kann dieser den entstandenen Schaden vom Arzt, der seine E-Mails nicht entsprechend verschlüsselt hat, ersetzt verlangen (vgl. Erwägungsgrund 75 DSGVO). Nicht unerwähnt sollen auch die Bußgelder bleiben, die von der Datenschutzaufsichtsbehörde in diesem Zusammenhang verhängt werden können.
Fazit: E-Mail-Verschlüsselung sollte Standard sein
Den technischen Datenschutz durch E-Mail-Verschlüsselung oder wenigstens passwortgeschützten Versand personenbezogener Daten zu gewährleisten, ist kein Hexenwerk (mehr). Es kann gar nicht oft genug an Verantwortliche und insbesondere Unternehmen appelliert werden, sich mit diesem Thema intensiver zu befassen. Die wirtschaftlichen Schäden, die durch Hacking, Industriespionage, etc. entstehen, steigen von Jahr zu Jahr. Wenn man bedenkt, dass ein Unternehmer herkömmliche Briefe mit Kundendaten ja auch zuklebt, um den Inhalt vor den neugierigen Blicken Dritter zu schützen, leuchtet es nur umso mehr ein, dass dieser die Kommunikation per E-Mail ebenso schützen sollte und muss.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!