LIGHTFIELD STUDIOS - stock.adobe

DSGVO/GDPR: Wann E-Mails verschlüsselt werden müssen

Die Aufsichtsbehörden für den Datenschutz haben klargestellt, wie die Verschlüsselung von E-Mails auszusehen hat. Die Transportverschlüsselung reicht oftmals nicht aus.

E-Mail-Verschlüsselung ist ein wichtiges, aber leidiges Thema im Datenschutz und in der IT-Sicherheit. Trotz vieler Lösungsansätze und langjähriger Aufklärungsarbeit über die Bedeutung der Verschlüsselung für die Nutzung von E-Mails gibt es immer noch eine große Zahl von an sich vertraulichen E-Mail-Nachrichten, die unverschlüsselt versandt werden.

E-Mail-Verschlüsselung ist weit davon entfernt, zum Standard zu gehören. Das zeigte sich auch in der Umfrage Welche IT-Sicherheitsmaßnahmen haben Sie im Home Office getroffen?, die der Bundesverband IT-Sicherheit e.V. (TeleTrusT) durchgeführt hat. Demnach setzen nur 41 Prozent der Befragten eine Lösung für E-Mail-Verschlüsselung ein.

Dabei reicht es nicht, eine E-Mail-Verschlüsselung einzusetzen, es kommt auf die Art der Verschlüsselung, die Einhaltung des Stands der Technik und auf den Schutzbedarf der Daten in der E-Mail an. Hierzu haben sich die Aufsichtsbehörden für den Datenschutz in Deutschland positioniert.

Müssen E-Mails, die personenbezogene Daten enthalten, verschlüsselt werden?

Die Datenschutz-Grundverordnung (DSGVO) nennt mehrfach die Verschlüsselung explizit als Maßnahme zur Eindämmung der Risiken, die mit der Verarbeitung personenbezogener Daten verbunden sein können. Allerdings kann man in der Verordnung die Verschlüsselung als explizites Beispiel für eine Schutzmaßnahme sehen, sie ist nicht grundsätzlich gefordert.

Generell muss der Verantwortliche selbst die Schutzmaßnahmen auswählen, „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“, wie es die DSGVO fordert.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) erklärte zum Thema E-Mail-Verschlüsselung: „Nach Artikel 32 DSGVO muss ein angemessenes Schutzniveau beim Transport von E-Mails über das Internet sichergestellt werden. Dieses wird unter Berücksichtigung des Risikos für die Rechte und Freiheiten ermittelt. Wir sehen es so, dass bei einem hohen Risiko neben einer (opportunistischen) Transportverschlüsselung (einfache Einstellung am Mail-Server) zusätzlich eine Inhaltsverschlüsselung (zum Beispiel PGP, PDF mit Passphrase, ZIP-Datei mit Passwort, ...) umzusetzen ist. Bei keinem hohen Risiko sehen wir eine (opportunistische) Transportverschlüsselung als ausreichend an.“

Im Mai 2020 hat sich nun die Datenschutzkonferenz (DSK), also die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, zur E-Mail-Verschlüsselung positioniert: Die Datenschützer sprechen von einer Obligatorischen Transportverschlüsselung. Verantwortliche, die E-Mail-Nachrichten mit personenbezogenen Daten versenden, bei denen ein Bruch der Vertraulichkeit ein normales Risiko für die Rechte und Freiheiten von natürlichen Personen darstellt, müssen eine obligatorische Transportverschlüsselung sicherstellen. Somit wird eine Transportverschlüsselung bei E-Mails, die personenbezogene Daten enthalten, als obligatorisch bezeichnet.

Reicht eine Transportverschlüsselung?

Ob eine Transportverschlüsselung bei E-Mails, die personenbezogene Daten enthalten, ausreicht, kommt auf den Schutzbedarf der Daten an. Die DSK sagt dazu: Verantwortliche, die E-Mail-Nachrichten versenden, bei denen ein Bruch der Vertraulichkeit von personenbezogenen Daten im Inhalt der Nachricht ein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen darstellt, müssen regelmäßig eine Ende-zu-Ende-Verschlüsselung und eine qualifizierte Transportverschlüsselung vornehmen.

Ein Beispiel: Die DSK hatte für die Messenger-Kommunikation im Gesundheitsbereich eine klare Forderung aufgestellt, die auf die E-Mail-Kommunikation übertragbar ist. Demnach gilt: Die Vertraulichkeit und Integrität der über den E-Mail-Dienst geführten ärztlichen Kommunikation muss unter Berücksichtigung des Stands der Technik über eine Ende-zu-Ende-Verschlüsselung zwischen den Kommunikationsteilnehmern gewährleistet werden.

Wie bestimmt man das Risiko für personenbezogene Daten in E-Mails?

Die DSGVO sagt in den zugehörigen Erwägungsgründen: Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt.

Ein hohes Risiko kann insbesondere damit verbunden sein, dass es sich bei den Daten in den E-Mails um personenbezogene Daten besonderer Kategorien handelt, also personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.

Grundsätzlich sagen die Aufsichtsbehörden zur Risikoermittlung: Zur Risikobeurteilung sind diese Phasen zu durchlaufen: Risikoidentifikation, Abschätzung von Eintrittswahrscheinlichkeit und Schwere möglicher Schäden und Zuordnung zu Risikoabstufungen. Grundlage einer Risikobeurteilung muss eine konkrete Beschreibung des zugrunde gelegten Sachverhalts sein, für den das Risiko abgeschätzt werden soll.

Welche technischen Anforderungen muss die E-Mail-Verschlüsselung erfüllen?

Die Datenschutzaufsichtsbehörden beziehen sich bei der Transportverschlüsselung insbesondere auf die Technische Richtlinie Sicherer E-Mail-Transport (BSI TR-03108) des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Zur Ende-zu-Ende-Verschlüsselung sagen die Datenschützer, dass es durch eine Ende-zu-Ende-Verschlüsselung mit den Verfahren S/MIME und OpenPGP möglich ist, die Inhalte einer E-Mail-Nachricht durchgreifend gegen unbefugte Kenntnisnahme zu schützen. Dieser Schutz erstreckt sich dabei nicht nur auf den eigentlichen Transportweg, sondern auch auf die Zwischenspeicherung und -verarbeitung auf den an der Übermittlung beteiligten Servern.

Zu beachten ist dabei insbesondere:

Der Verantwortliche muss die öffentlichen Schlüssel der Empfänger auf die Einhaltung hinreichender Sicherheitsparameter (insbesondere einer hinreichenden Schlüssellänge) überprüfen.

Die Überprüfung der Authentizität eines Schlüssels kann regelmäßig durch Verifikation eines Zertifikats eines vertrauenswürdigen Zertifikatsdienstanbieters (S/MIME) oder Beglaubigung anderer vertrauenswürdiger und nachweislich zuverlässiger Dritter (OpenPGP) erfolgen.

Die Überprüfung der Gültigkeit eines S/MIME-Schlüssels vor seinem Einsatz soll durch Abruf von Gültigkeitsinformationen bei dem Zertifikatsdiensteanbieter (Abruf von CRL via http, OCSP) erfolgen. Die Überprüfung der Gültigkeit eines OpenPGP-Schlüssels ist nur möglich, wenn der Eigner bekannt gegeben hat, wo er gegebenenfalls Revokationszertifikate zu veröffentlichen beabsichtigt.

Erfahren Sie mehr über Datenschutz und Compliance