Die Datenschutzgrundverordnung definiert in Artikel 32, dass bei der Verarbeitung personenbezogener Daten geeignete Maßnahmen zur Sicherheit umzusetzen sind. Hier wird die Verschlüsselung (von E-Mails) als Beispiel genannt.Einige meiner Kunden haben mich gefragt, ob sie nun ihre E-Mails verschlüsseln müssen?
Zur Beantwortung dieser Frage, sollte noch ein genauerer Blick in den Gesetzestext folgen:Art. 32 Abs 1 DSGVO“Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten…“
Verschlüsselung ist Stand der Technik und die Implementierungskosten sind für Unternehmen üblicherweise im Rahmen des Möglichen, teilweise sogar kostenlos.
Vor allem sollen aber auch die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung betrachtet werden sowie die Eintrittswahrscheinlichkeit!Bewerten Sie also für Ihre Anwendungsfälle die Art, den Umfang der Verarbeitung sowie die Eintrittswahrscheinlichkeit.Wenn Sie also Gummienten verkaufen und täglich zwei Angebote an Geschäftskunden per E-Mail verschicken, sind Art und Umfang anders zu bewerten als wenn Sie Gesundheitsdaten (z. B. Laborberichte) an den behandelnden Arzt schicken. Meine Empfehlung dazu: Dokumentieren Sie Ihre Bewertungskriterien sowie die Abwägung der Eintrittswahrscheinlichkeit in ihrem Sicherheitskonzept.
Wenn Sie zu der Entscheidung kommen, dass eine Verschlüsselung ratsam sein könnte, sollte zumindest eine Verschlüsselung der E-Mails auf Inhaltsebene erfolgen. Das bedeutet, dass E-Mails (Text und Anhänge) durch den Absender verschlüsselt und durch den Empfänger entschlüsselt werden. Somit kann auf dem Übertragungsweg keine Entschlüsselung oder Manipulation der E-Mail erfolgen. Allerdings werden die Metadaten der E-Mail nicht verschlüsselt und diese sind auf allen beteiligten Servern im Klartext vorhanden.Die nächste Stufe wäre die Verschlüsselung auf Transportebene – hier werden sogar die Metadaten verschlüsselt (Richtlinie des Bundesamt für Sicherheit in der Informationstechnologie: BSI TR-03108-1: Secure E-Mail Transport).
Unter Microsoft Office 365 kann auch OME (Office Message Encryption, in den meisten Lizenzplänen ab E3 kostenlos enthalten) eingerichtet werden – dieses Verfahren soll auch für E-Mailempfänger außerhalb der eigenen Organisation komfortabel nutzbar sein. Weitere Informationen unter Link.
#GDPR #DSGVO
