Das Versenden persönlicher Daten per Mail ist in jedem Unternehmen Gang und Gäbe. Unternehmen müssen die dabei bestehenden Risiken im Datenschutz und bei der Informationssicherheit durch geeignete Maßnahmen mindern. Für Unternehmen ist insbesondere die individuelle Risikoanalyse ein geeignetes Hilfsmittel, um die richtigen Maßnahmen zu treffen.
Grundsätzlich müssen sich die Verantwortlichen im Unternehmen bei Nutzung von E-Mail-Diensteanbieter davon überzeugen, dass der Anbieter hinreichende Garantien für die Einhaltung der Anforderungen der DSGVO bietet. Neben den Risiken, die auf dem Transportweg der Mail bestehen, gilt es auch die Risiken für ‚ruhende Daten‘ zu beachten, die vor und nach dem Versand bestehen. Beide Risikogruppen lassen sich durch geeignete Verschlüsselungsverfahren mindern. Transport-verschlüsselungen garantieren nur ein Mindestmaß an Sicherheit auf dem Übertragungsweg. Der Schutz der Daten, auch nach dem Versand einer Mail, kann letztlich nur durch eine Ende-zu-Ende-Verschlüsselung gewährleistet werden. Ferner gilt, auch wenn die Verantwortung für Sicherheit bei derm Verseandung personenbezogener Daten per E-Mail grundsätzlich beim Sender liegt, dass auch der Empfänger geeignete Vorkehrungen zur Wahrung der Vertraulichkeit treffen muss.
Bei der praktischen Umsetzung sollten Unternehmen die konkreten Anwendungen und Geschäftsfälle in Fallgruppen mit normalen und hohen Risiken beim Empfangen und Versenden vom E-Mails einteilen.
Unternehmen, die gezielt sehr sensible Daten per Mail entgegennehmen, müssen einerseits die Voraussetzungen zum Empfang der Nachrichten über einen verschlüsselten Kanal schaffen. Um zusätzlich die Authentizität der empfangenen Nachrichten zu prüfen, empfiehlt es sich, auf eine elektronische Signatur zurückzugreifen, die den Absender verifiziert. Bei hohem Risiko sollte eine geeignete Ende-zu-Ende-Verschlüsselung zur Verfügung gestellt werden.
Beim Versand sensibler Daten ist ebenfalls eine Transportverschlüsselung obligatorisch. Auch hier sollte bei hohem Risiko neben einer qualifizierten Verschlüsselung der Datenübertragung auch eine Ende-zu-Ende-Verschlüsselung genutzt werden. Besondere Anforderungen gelten zudem beim Versand von E-Mail-Nachrichten mit geheim zu haltenden Inhalten gemäß § 203 StGB (beispielsweise Daten von Ärzten oder Rechtsanwälten). Hier muss zusätzlich sichergestellt werden, dass nur die Stellen die Nachricht entschlüsseln können, denen der ihr Inhalt der Nachricht auch offenbart werden darf.
Dies zeigt: Vor dem Ergreifen von Maßnahmen sollte stets eine Risikoanalyse oder die Klassifizierung von Informationen und Systemen stehen, um angemessene und ausreichende Maßnahmen zu ergreifen. „Es lässt sich schwer generalisieren, welche Maßnahmen in welchem Unternehmen getroffen werden sollten“ erklärt der erfahrende IT-Sicherheitsfachmann und UIMC-Geschäftsführer Dr. Jörn Voßbein. „Die individuelle Risikoanalyse ist unverzichtbar.“ Betroffenen Unternehmen rät Dr. Voßbein, sich frühzeitig mit den Themen auseinanderzusetzen.