DS-GVO bei Mailversand berücksichtigen
Der Datenschutz setzt auf die Sicherheit für den Betroffenen bei der Verarbeitung von personenbezogenen Daten. Eine E-Mail stellt unter Umständen auch eine solche dar. In unserm aktuellen Blog möchten wir Ihnen die unterschiedlichen Verschlüsselungen kurz aufzeigen und erklären, worauf Sie bei der Einhaltung der Datenschutzgrundverordnung (DS-GVO) achten müssen.
Ist eine E-Mail-Verschlüsselung nach DS-GVO Pflicht?
Bundesdatenschutzgesetz (BDSG) und DS-GVO empfehlen eine E-Mail-Verschlüsselung, eine Pflicht besteht jedoch nicht. Allerdings sollte man bedenken, dass personenbezogene Daten immer vor dem Zugriff Unbefugter geschützt werden müssen, damit für den Betroffenen kein Schaden entsteht.
Was personenbezogene Daten sind, lesen Sie hier.
Die DS-GVO schreibt vor, dass technische und organisatorische Maßnahmen (TOM) eingeführt werden müssen, die den Datenschutz angemessen gewährleisten können. Dazu kann auch die Verschlüsselung von E-Mails gehören.
Daher besteht für eine Verschlüsselung im Datenschutz zwar keine Pflicht, jedoch eine klare Empfehlung. Gerade bei dem Versand von personenbezogenen Daten ist das Risiko für mögliche Zugriffe verhältnismäßig hoch. Dies gilt vor allem beim Versand von Daten der besonderen Arten (z.B. Gesundheitsdaten, Religionszugehörigkeit usw.)
Warum und wie werden E-Mails verschlüsselt?
E-Mails werden verschlüsselt, um Daten beim Versand vor dem Zugriff Dritter zu schützen. Dabei unterscheidet man hauptsächlich zwischen Transportverschlüsselung und Inhaltsverschlüsselung.
Die Transportverschlüsselung sicher dabei so zu sagen den Transportweg ab. Das bedeutet beim Versand zwischen Versender und Empfänger sind die Daten so geschützt, dass niemand Sie abfangen oder auslesen kann. Oft fällt hierbei auch der Vergleich mit einem Tunnel, welcher den Weg des Transportes vor externen Zugriffen schützt. Es ist allerdings nicht die Datei selber verschlüsselt.
Die Inhaltsverschlüsselung verschlüsselt darüber hinaus die Daten selber. Das bedeutet, dass der Inhalt der Nachricht so verschlüsselt wird, dass nur der Empfänger mit dem jeweiligen System und Code die Nachricht entschlüsseln und lesen kann.
Die DS-GVO über Verschlüsselungen
Ziel ist es in beiden Fällen, Daten zu schützen. Im Datenschutz geht es dabei natürlich hauptsächlich um personenbezogene Daten und den Schutz des Betroffenen. Durch eine Verschlüsselung soll die technische und organisatorische Maßnahme geschaffen werden, um die Daten geschützt zu übermitteln.
Kann dieses Ziel nicht erfolgreich gewährleistet werden und werden dabei Daten durch Unbefugte unrechtmäßig verarbeitet, liegt eine Datenpanne vor, die gemeldet werden muss. Eine Verschlüsselung kann zur Verhinderung einer Datenpanne beitragen.
Über den Schutz der Daten hinaus, kann eine Verschlüsselung von E-Mails auch weitere Vorteile mit sich bringen. Geschieht eine Datenpanne, muss diese entsprechend bei der zuständigen Behörde gemeldet werden. Dies muss in der Regel binnen 72 Stunden (auch an Wochenenden und Feiertagen) geschehen, ansonsten kann dies zu empfindlichen Strafen führen. Ist die entsprechende Nachricht verschlüsselt verschickt worden, kann jedoch die Meldepflicht an den Betroffenen entfallen.
Technische Umsetzung und die Bewertung der personenbezogenen Daten
In der DS-GVO wird vor allem der Stand der Technik als wichtiger Indikator für den Datenschutz genannt. Das bedeutet in erster Linie, dass der Verantwortliche die technischen und organisatorischen Maßnahmen stetig weiter entwickeln muss. Datenschutz sollte an die aktuellen Begebenheiten der Technik angepasst werden, um personenbezogene Daten ausreichend zu schützen.
Dazu gehören Virenschutzprogramme genauso wie eine angemessene Sicherheit beim Datenversand. Um eine Verschlüsselung zu gewährleisten, ist es meist notwendig, dass Empfänger und Sender der E-Mail die entsprechend gleichen technischen Voraussetzungen nutzen. Das kann aber im Alltag nicht immer gewährleistet werden. Unter Umständen müssen dann andere Wege, wie zum Beispiel passwortgeschützte Dokumente, ausgemacht werden.
Welche Maßnahmen dabei ausreichend sind, hängt nicht unwesentlich auch von einer Bewertung der personenbezogenen Daten ab. Der Versand von einer E-Mail-Adresse kann hierbei sicher anders bewertet werden, als der Versand von Gesundheitsdaten.
Datenschutz auf allen Endgeräten
Versendet man personenbezogene Daten per E-Mail, muss sichergestellt werden, dass die Verschlüsselung auf allen Endgeräten zum gewünschten Ergebnis führt. Gerade in der immer digitaler werdenden Welt, sind dabei vor allem auch die mobilen Endgeräte zu bewerten.
Der beste Datenschutz in Form von E-Mail-Verschlüsselungen kann durch ein nicht ausreichend geschütztes Mobiltelefon ungewollt umgangen werden.
Der Datenschutz greift darüber hinaus natürlich bei der internen Kommunikation eines Unternehmens. Auch mögliche Schwachstellen und nötige Verschlüsselungen in diesem Bereich müssen bewertet und geprüft werden.
Datenschutz und IT-Sicherheit – ein gutes Team
Der Datenschutz geht im digitalen Arbeiten immer auch mit der IT-Sicherheit einher. Ein (externer) Datenschutzbeauftragter sollte daher immer auch das nötige Verständnis für die digitalen Ansprüche in einem Unternehmen besitzen. In jedem Fall sollte der Zuständige für die IT-Sicherheit im Unternehmen ebenfalls in die entsprechenden Prozesse eingebunden werden.
Datenschutzberater.NRW bietet Ihnen ein Team aus Datenschutz, IT-Sicherheit und Steuerrecht. Wie stellen einen externen Datenschutzbeauftragten (TÜV) und bieten Ihnen darüber hinaus unterschiedliche Beratungen im Datenschutz an. Mehr zu unserem Angebot für Unternehmen finden Sie bei unseren Leistungen.
Sie sind auf der Suche nach einer Beratung im Datenschutz oder einem externen Datenschutzbeauftragten für den Großraum Köln, Bonn, Siegburg, Düsseldorf, Gummersbach, Siegen und ganz NRW? Dann senden Sie uns eine unverbindliche Anfrage.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.