Anforderungen an den E-Mail-Versand

Feb 21, 2019 | Anleitungen, EU-DSGVO, Für Bewerber, Für Interessenten, Für Kunden, Mitglieder, Mandanten, Für Lieferanten und Partner, Für Mitarbeiter, Patienten

Wie können wir helfen?
< zurück
Sie sind hier:
Drucken
Veröffentlicht
Last Updated On
Vonsboettgercom

In einer aktuellen Mitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen werden die Grundbedingungen für den Versand von E-Mails aufgezeigt. Hiernach müssen E-Mails grundsätzlich geschützt sein, da bereits die Absender- und Empfängerangaben personenbezogen sein können. Ebenso können die Metadaten einen Personenbezug aufweisen. Weiter muss zwischen der Inhalts- und Transportebene unterschieden werden.

Die Inhaltsebene betrifft den eigentlichen Textinhalt und die Anhänge von E-Mails. Hierbei kommen vor allem die Standards S/MIME und OpenPGP in Betracht. Es handelt sich bei beiden Verfahren um eine Ende-zu-Ende-Verschlüsselung. Dies bedeutet, dass nur Absender und Empfänger die E-Mail im Klartext lesen können. Auch auf den Servern sind diese E-Mails verschlüsselt gespeichert. Die E-Mail ist auf dem gesamten Transportweg verschlüsselt und nicht im Klartext lesbar. Hingegen werden die Metadaten von dieser Verschlüsselung nicht erfasst. Eine Manipulation des Inhalts kann nachvollzogen werden, da beide Standards ebenfalls die Möglichkeit der digitalen Signatur unterstützen.

Die Transportebene erfasst die Verbindung zwischen den jeweiligen Mail-Servern. Bei einer solch verwendeten Verschlüsselungsmethode wird die E-Mail während dem Transport, also zwischen den Servern, verschlüsselt. Auf den jeweiligen Mail-Servern liegt die E-Mail jedoch im Klartext vor. Bei dieser Methode werden Meta- und Informationsdaten verschlüsselt zwischen den Servern übertragen. Viele E-Mail-Provider wenden diese Transportwegverschlüsselung bereits standardmäßig seit längerem an.

Wir empfehlen folgende Punkte bei den technisch-organisatorischen Maßnahmen beim E-Mail-Versand zu beachten:

  • Es sollte mindestens eine Transportwegverschlüsselung vorliegen, die dem Sicherheitsstandard des BSI entsprechen sollte.
  • Für sensible Daten, z. B. Finanzierungsdaten, Daten zum Gesundheitszustand, Kontodaten, Beschäftigtendaten, usw., sollte der Einsatz einer Ende-zu-Ende-Verschlüsselung geprüft werden. Auch der Datenaustausch über gesicherte Verbindungen, z. B. Web-Portale (Verschlüsselungsart beachten!), ist denkbar.
  • Der Betreff einer E-Mail sollte keine personenbezogenen Daten enthalten.

Die obigen Punkte sind unbedingt zu beachten, um datenschutzrechtlich korrekt zu handeln.

Inhaltsverzeichnis