Die Mehrheit der Deutschen gibt ihre Daten online nur sehr ungern preis, so eine aktuelle Postbank-Studie. Kein Wunder, wenn man die zahlreichen Datenskandale einmal rückwirkend beleuchtet. Die Datenschutz-Grundverordnung (DSGVO) verlangt ganz klar, dass jeder Verantwortliche technische und organisatorische Maßnahmen treffen muss, um die Sicherheit von Daten Betroffener zu gewährleisten. Zumindest für den sicheren E-Mail-Versand will die Deutsche Datenschutzkonferenz (kurz: DSK) Hilfestellung geben.
Vertraulichkeit und Integrität der Daten durch Verschlüsselung schützen
Unter den massenhaften E-Mails sind nicht nur schnöde Newsletter oder Bestellbestätigungen im Umlauf. Sie können auch ganz sensible Daten wie Gesundheitsdaten, Bankinformationen oder Zugangsdaten (z. B. Passwörter) enthalten und sind damit vor dem Zugriff besonders abzuschirmen. Grundsätzlich sind zwei verschiedene Verschlüsselungsformen für E-Mails vorhanden und nutzbar: die Transportverschlüsselung und die Ende-zu-Ende-Verschlüsselung, die vielen aus dem Nachrichten-Dienst Whatsapp bekannt sein dürfte.
Transportverschlüsselung und Ende zu-Ende-Verschlüsselung
Der Einsatz von Transportverschlüsselung bietet laut der DSK jedoch nur einen Basis-Schutz und stelle eine Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen dar. Unternehmen, die E-Mail-Nachrichten mit personenbezogenen Daten versenden, bei denen lediglich ein normales Risiko für Betroffene besteht, sollten eine obligatorische Transportverschlüsselung sicherstellen. Die sichere Variante heißt hingegen Ende-zu-Ende-Verschlüsselung, wodurch auch der Schutz der Inhaltsdaten erreicht werde.
In der neuen Orientierungshilfe der DSK werden die Anforderungen an diese Verfahren zum Versand und zur Entgegennahme von E-Mail-Nachrichten noch einmal genauer erläutert. Die Datenschutzkonferenz empfiehlt den Verantwortlichen inbesondere, ihren Auftragsverarbeitern und E-Mail-Diensteanbietern, die in der Orientierungshilfe genannten Anforderungen umzusetzen, um den Schutz personenbezogener Daten bei der Übermittlung per E-Mail zu gewährleisten.
Was macht die DSK und warum sollte den Hinweisen gefolgt werden?
Die DSK ist ein Zusammenschluss der unabhängigen Datenschutzbehörden des Bundes und der Länder, welche durch öffentlich bekanntgegebene Beschlüsse, Orientierungshilfen oder Stellungnahmen datenschutzrechtlich relevante Fragen beantwortet und damit den Behörden und Gerichten eine deutliche Richtung vorweist.
Weitere praktische Tipps für die IT-Sicherheit - vom Passwort bis zur Verschlüsselung - gibt es in unserem Beitrag How to: IT-Sicherheit für Betreiber von Online-Shops.
Kommentar schreiben