YB - stock.adobe.com
E-Mail-Verschlüsselung: Die Anforderungen des Datenschutzes
Wer einen Provider für die E-Mail-Verschlüsselung nutzt, bleibt nach Datenschutz-Grundverordnung (DSGVO) trotzdem in der Verantwortung, die Sicherheit der E-Mails zu überprüfen.
E-Mail ist weiterhin der führende Kommunikationskanal für Unternehmen. Das hat sich auch in Zeiten von Home-Office, Remote Work und Hybrid Work nicht geändert. Zu den Sicherheitsmaßnahmen bei mobiler Tätigkeit oder Arbeit im Home-Office sollte deshalb auch die Verschlüsselung der E-Mails gehören, gerade wenn es um die Übertragung personenbezogener Daten geht.
Wie die Wirtschaftsumfrage (PDF) des BSI (Bundesamt für Sicherheit in der Informationstechnik) ergab, ist die E-Mail-Verschlüsselung aber weiterhin deutlich davon entfernt, bei jedem Unternehmen implementiert zu sein. So ergab die BSI-Umfrage, dass erst 66 Prozent der Unternehmen sagen, dass ihre E-Mail-Kommunikation verschlüsselt erfolgt.
E-Mail-Verschlüsselung über einen Provider
Gerade die Entwicklung hin zu einer flexibleren, standortunabhängigen Arbeit, der Hybrid Work, macht deutlich, dass die E-Mail-Nutzer nicht ohne weiteres auf die IT-Administration des Unternehmens zugreifen können, wenn es Komplikationen bei Umsetzung oder Betrieb der E-Mail-Verschlüsselung geben sollte.
Deshalb erscheint es besonders hilfreich und sinnvoll, einen Provider zu nutzen, der die Aufgaben der E-Mail-Verschlüsselung wahrnimmt. Entsprechende Angebote sind auf dem Markt vorhanden und werden zum Beispiel als Cloud-basierter Dienst offeriert.
Allerdings sind mit der Beauftragung eines Providers nicht etwa alle Herausforderungen gelöst, die mit E-Mail-Verschlüsselung verbunden sind. Das zeigt zum Beispiel die aktuelle Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zu den „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“.
Die Anforderungen an den E-Mail-Provider
Für die E-Mail-Sicherheit bestehen zum einen Anforderungen an den Provider. So müssen öffentliche E-Mail-Diensteanbieter zum Schutz der Vertraulichkeit und Integrität der verarbeiteten personenbezogenen Daten die Anforderungen der TR 03108-1 des Bundesamts für Sicherheit in der Informationstechnik (BSI) einhalten.
Dies bedeutet, dass sie verpflichtend die in dieser Technischen Richtlinie niedergelegten Voraussetzungen für einen geschützten Empfang von Nachrichten schaffen und bei dem Versand von Nachrichten in Bezug auf die Anwendung von kryptografischen Algorithmen und die Überprüfung der Authentizität und Autorisierung der Gegenstelle den unter den gegebenen Bedingungen auf Empfängerseite bestmöglichen mit verhältnismäßigen Mitteln erreichbaren Schutz erzielen müssen, so die Aufsichtsbehörden.
Das BSI erklärt dazu: Die Technische Richtlinie „Sicherer E-Mail-Transport“ (BSI TR-03108) definiert konkrete Anforderungen an einen E-Mail-Diensteanbieter (EMDA). Ziel der Technischen Richtlinie (TR) ist die Erhöhung der Vergleichbarkeit und Verbreitung sicherer E-Mail-Kommunikation. Ein E-Mail-Diensteanbieter kann über die TR auch einen unabhängigen Nachweis über die Sicherheitsleistung seines E-Mail-Dienstes erbringen.
Durch eine Zertifizierung kann ein EMDA den Nachweis erbringen, dass dieser ein definiertes Sicherheitsniveau erreicht. Hierdurch wird eine Vergleichbarkeit der Sicherheit von EMDAn geschaffen. Die Basis für diese Zertifizierung bildet die zur TR gehörende Prüfspezifikation, so das BSI.
Die Frage der Verantwortung im Datenschutz
Allein die Nutzung eines Dienstleisters entbindet den Auftraggeber aber nicht von seiner Verantwortung für den Datenschutz, wie die Vorgaben zur Auftragsverarbeitung in der Datenschutz-Grundverordnung (DSGVO) zeigen.
Die Aufsichtsbehörden für den Datenschutz stellen deshalb zum Thema E-Mail-Verschlüsselung klar: Es gibt eine Sorgfaltspflicht bei der Inanspruchnahme von E-Mail-Diensteanbietern. Verantwortliche, die öffentliche E-Mail-Diensteanbieter in Anspruch nehmen, müssen sich davon überzeugen, dass die Anbieter hinreichende Garantien für die Einhaltung der Anforderungen der DSGVO und insbesondere der genannten Technischen Richtlinie bieten.
Erneut zeigt sich, dass sich die verantwortliche Stelle im Unternehmen (also der Auftraggeber für den E-Mail-Dienst) von dem Datenschutzniveau und der Datensicherheit überzeugen muss. Ob der E-Mail-Provider die TR des BSI einhält, kann man an der entsprechenden Zertifizierung ersehen.
Die Einhaltung der DSGVO durch den E-Mail-Provider wird man in Zukunft ebenfalls an einer Zertifizierung ersehen können, an einer Datenschutz-Zertifizierung nach DSGVO (siehe auch DSGVO: Die Sicherheitskriterien für eine Zertifizierung). Noch sind entsprechende DSGVO-Zertifikate aber nicht verfügbar, so dass sich das Unternehmen anderweitig von dem Datenschutzniveau bei dem E-Mail-Provider überzeugen muss, kein leichtes Unterfangen und ein guter Grund, bald auf DSGVO-Zertifikate zu achten.
E-Mail-Sicherheit betrifft nicht nur den Provider
Die Forderungen des Datenschutzes an E-Mail-Verschlüsselung und E-Mail-Sicherheit enden damit aber nicht. So müssen Unternehmen auch an die sichere Anbindung eigener Systeme und Endgeräte an die Diensteanbieter denken.
Aber es gibt noch weitere Punkte, die man bei E-Mail-Verschlüsselung und Datenschutz im Blick haben sollte. So will sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder auch mit der Frage befassen, ob und ggf. unter welchen Bedingungen auf Wunsch von Betroffenen auf technische und organisatorische Maßnahmen nach Art. 32 DSGVO verzichtet werden kann.
Das bedeutet, es muss noch geklärt werden, ob auf Wunsch von Betroffenen zum Beispiel auf die Verschlüsselung von E-Mails aktiv verzichtet werden kann. Das Thema Datenschutz und E-Mail-Sicherheit bleibt also spannend.