E-Mail und DatenschutzLesezeit: 4 Min

OLG Schleswig und die Diskussion um die Transportverschlüsselung

Im digitalen Wandel ist der sichere Austausch von Informationen von größter Bedeutung. Besonders im Kontext des E-Mail-Versands, wo oft vertrauliche Daten übermittelt werden, spielt die Verschlüsselung eine wesentliche Rolle. Eine der Technologien, die hierin Verwendung findet, ist die Transport Layer Security (TLS).

Ein Fall, der jetzt vor dem Oberlandesgericht (OLG) Schleswig verhandelt wurde, sorgt für Diskussionsbedarf im Bereich der Verschlüsselung von E-Mails bzw. dem Rechnungsversand an Endkunden.

Was ist Transport Layer Security (TLS)?

Transport Layer Security, abgekürzt TLS, ist ein kryptographisches Protokoll, das Datenschutz und Integrität bei der Übertragung von Daten gewährleisten soll. TLS wird häufig in verschiedenen Anwendungen eingesetzt, um eine sichere Kommunikation über Netzwerke zu ermöglichen. Im Kontext des E-Mail-Versands soll TLS dafür sorgen, dass die Nachrichten während ihrer Übertragung zwischen Sender und Empfänger nicht abgefangen oder manipuliert werden können.

BLOG-TIPP: DER IT-AUSFALL ALS DATENSCHUTZ-PANNE

Wie funktioniert TLS?

TLS funktioniert durch die Implementierung von zwei Hauptprozessen:

  1. Verschlüsselung: Die Daten, die über das Internet übertragen werden, werden vor der Übertragung mit einem speziellen Algorithmus in eine unleserliche Form, auch Ciphertext genannt, umgewandelt. Nur der beabsichtigte Empfänger kann diese Daten durch einen entsprechenden Schlüssel wieder entschlüsseln.
  2. Authentifizierung: Ein weiterer wichtiger Aspekt von TLS ist die Authentifizierung, die sicherstellt, dass die Kommunizierenden Parteien tatsächlich die sind, für die sie sich ausgeben. Dies geschieht häufig durch das Einsetzen von digitalen Zertifikaten, die von vertrauenswürdigen Zertifizierungsstellen ausgestellt werden.

BLOG-TIPP: Datenschutz und E-Mail-Verschlüsselung

Warum ist TLS beim Rechnungsversand unter Umständen nicht ausreichend?

Das Beispiel, welches das OLG Schleswig nun bewerten musste, zeigt, dass nicht TLS unter Umständen nicht sicher genug und somit nicht ausreichend ist. Ein Bauunternehmen hatte eine Rechnung von 15.000 € an einen Verbraucher gesendet. Es konnte bei dem Versand keine besondere Sicherheitsmaßnahme nachgewiesen werden – auch die TLS-Sicherung wurde im Verfahren angezweifelt.

Die E-Mail mit der Rechnung im Anhang wurde durch unbekannte Dritte manipuliert und mit einer anderen Bankverbindung versehen. Der Kunde bezahlte an die angegebene Bankverbindung, womit also die Rechnung an das Bauunternehmen nicht beglichen wurde.

Das OLG urteilte nun, dass die Verschlüsselung nicht ausreichend sei. Dabei bemängelte es, dass die Verschlüsselung bei dem Umgang mit personenbezogenen Daten und einem hohen finanziellen Risiko nicht ausreichend war und keinen „geeigneten Schutz im Sinne der DS-GVO“ darstellt. Die End-to-End-Verschlüsselung sei zurzeit das „Mittel der Wahl“.

BLOG-TIPP: DATENLECKS: EINE GEFAHR FÜR PERSONENBEZOGENE DATEN

Schadensersatz im Sinne des Datenschutzes

Besonders hart war das Urteil für das Bauunternehmen daher, dass es nicht nur den Rechnungsbetrag vom Verbraucher nicht erhalten hat und nicht mehr erhalten wird, sondern auch ein Schadensersatz im Sinne des Datenschutzes zu leisten hat.

Aufgrund des mangelnden Schutzes der personenbezogenen Daten, muss das Unternehmen dem Kunden nun auch einen Schadensersatz in Höhe der Rechnungssumme zahlen.

Der Fall zeigt, dass das Risiko beim E-Mail-Versand durchaus nicht eindeutig sicher zu beherrschen ist. Die Begründungen und auch der Verlauf des Falls zeigen, dass ein Nachweis für die Verschlüsselung der Daten und auch die Beurteilung, welche Verschlüsselung ausreichend ist, nicht immer einfach ist.

Die End-to-End-Verschlüsselung als sichere Verschlüsselung?

Das OLG Schleswig stuft die End-to-End-Verschlüsselung als „Mittel der Wahl“ zum derzeitigen Zeitpunkt ein. Doch was ist diese Art der Verschlüsselung:

End-to-End-Verschlüsselung (E2EE) ist ein Kommunikationssystem, bei dem nur die kommunizierenden Endpunkte (Sender und Empfänger) Zugriff auf die Inhalte der Nachrichten haben. E2EE kann in Messaging-Diensten, E-Mail-Anwendungen und sogar Cloud-Diensten implementiert werden.

Dabei bietet diese Verschlüsselung einen maximalen Datenschutz, da nur die Beteiligten die Daten sehen können. Außerdem schützt diese vor Zugriff durch Drittanbieter, einschließlich der Dienstanbieter selbst.

E2EE erfüllt die regulatorischen Anforderungen der DS-GVO, da es sicherstellt, dass personenbezogene Daten vollständig geschützt sind.

BLOG-TIPP: DIGITALE HERAUSFORDERUNGEN – NEUE ANFORDERUNGEN AN DEN DATENSCHUTZ

Verschlüsselung auch in Hinsicht auf den Datenschutz ausreichend prüfen

Der Fall zeigt, dass man die Verschlüsselung beim Versand von E-Mails ausreichend prüfen sollte und auf die entsprechenden Bedürfnisse und Empfänger anpassen muss. Die TLS-Verschlüsselung ist dabei mit dem Risiko versehen, dass unter Umständen bei einem vermeintlich „schnellen“ Verschlüsseln, gar keine oder keine ausreichende Verschlüsselung vorliegt.

Vor allem hat dieses Urteil gezeigt, dass die Verschlüsselung und somit der Schutz nachweisbar sein muss – was bei der TLS-Verschlüsselung unter Umständen nicht der Fall oder sehr aufwendig ist. Im Datenschutz ist es notwendig die Maßnahmen zur Einhaltung zu dokumentieren und nachweisen zu können.

Laut Aussage des BSI (Bundesamt für Sicherheit in der Informationstechnik) sei TLS erst ab Version 1.2 als sicher einzustufen. Wichtig dabei ist, dass im Datenschutz immer von Maßnahmen die Rede ist, welche auf dem, aktuellen Stand der Technik steht. Daher ist es wichtig, vor allem immer die aktuelle Version der Verschlüsselungen zu nutzen.

Verschlüsselung abstimmen

Bei der TSL ist vor allem die Abstimmung der Administratoren von Empfängern und Versendern ein wichtiger Baustein, auch die konkrete und komplexe Einrichtung spielt dabei eine wichtige Rolle. Eine Nachweisbarkeit der Verschlüsselung und die Wirksamkeit sollte daher durch einen Fachmann sichergestellt und bewertet werden. Daher scheint die Verschlüsslung über TLS gerade bei wechselnden Empfängern nicht dauerhaft geeignet zu sein.

Obwohl TLS eine weit verbreitete und effektive Methode zur Sicherung von E-Mail-Kommunikationen ist, gibt es mehrere Alternativen, die ebenfalls DS-GVO-konform sind und zu einer verbesserten IT-Sicherheit beitragen können. S/MIME, PGP, VPN, End-to-End-Verschlüsselung und verschlüsselte Dateispeicherung bieten jeweils spezifische Vorteile und sollten in Betracht gezogen werden, um einen umfassenden Schutz vertraulicher Daten zu gewährleisten.

Bei weiteren Fragen zum Thema Datenschutz und zu den besten Praktiken für den E-Mail-Versand stehen wir Ihnen gerne zur Verfügung. Kontaktieren Sie uns, um mehr zu erfahren.

Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.

Wir betreuen Mandanten bundesweit. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.

 

Bewerten Sie diesen Beitrag
1 Bewertungen
Datenschutzverstoß und IT-Sicherheit: TLS bei Rechnungsversand an Privatkunden nicht ausreichend
Markiert in:         
×
Anfrage