E-Mail-Verschlüsselung – Was gilt es zu beachten?

Björn Holeschak, Leiter Datenschutz EIKONA Systems GmbH
Auf dem Bild ist der Schriftzug "Security" zu sehen.

Heutzutage werden immer mehr Geschäftsfälle durch den elektronischen Übertragungsweg abgewickelt. Dies reicht von einfachen Nachrichten, Geschäftspost, über Angebote und Auftragsannahmen bis hin zum elektronischen Rechnungsversand. Ja ganze B2B-Vertragswerke oder andere Rechtsfragen werden zwischen Unternehmen per E-Mail bearbeitet. Aber wie verhält es sich hier mit dem Datenschutz – Müssen geschäftliche E-Mails nicht verschlüsselt übertragen werden?


Was bedeutet E-Mail-Verschlüsselung?

Wenn von E-Mail-Verschlüsselung gesprochen wird, muss man sich vorab vor Augen halten, dass E-Mails im Internet auf jedem Server und auf den Wegen zwischen den Servern unverschlüsselt unterwegs sind. Dabei können sie von Angreifern gelesen oder gar verfälscht werden. Man kann es sich im Grunde wie eine Postkarte vorstellen. Um diese E-Mail (Postkarte) nun in einen Brief im Kuvert oder gar in ein Einschreiben mit Empfangsbestätigung zu verändern, hängt vom Verschlüsselungsverfahren ab. Hierbei ist es entscheidend zu wissen welche Verschlüsselungsverfahren es im Rahmen der E-Mail-Kommunikation gibt. Man unterscheidet hierbei zwei wesentliche Methoden, die sogenannte Transport-Layer-Security (TLS), also Transportwegverschlüsselung (das wäre das Pendant zum Brief) und die Ende-zu-Ende Verschlüsselung zum Beispiel über S/MIME oder PGP (das wäre unser Einschreiben). Bei der TLS Verschlüsselung ist im Grunde der Kanal zwischen Sender und Empfänger verschlüsselt, so dass Außenstehende keinen Zugriff auf diese Kommunikation haben. Die E-Mail, die durch diesen Kanal geleitet wird, inkl. Anhängen, ist aber an sich unverschlüsselt. Bei einer Ende-zu-Ende Verschlüsselung ist neben dem Transportkanal zusätzlich der Inhalt selbst, inkl. der Anhänge, verschlüsselt und kann ausschließlich vom Sender und Empfänger gelesen werden. Dadurch wird es auch verhindert, dass die Nachricht auf Ihrem Weg vom Absender zum Empfänger verändert wurde.


Wer muss E-Mails verschlüsseln und wann muss ich welche Verschlüsselung nutzen?

Sowohl die DSGVO (Art. 32 Abs. 1 und 2 i.V.m. Art. 5 Abs. 1 lit. f), als auch das Geschäftsgeheimnisgesetz (§ 2 Abs. 1 lit. b) besagen, dass zum Schutz von Informationen, Sicherheitsmaßnahmen umgesetzt werden müssen, die sich an der Sensibilität der Informationen orientieren. Dies ist in diesem Anwendungsfall nötig, um die Vertraulichkeit und Integrität der Informationen zu gewährleisten. Vereinfacht also: Je sensibler die Informationen umso höher sollte der technische Verschlüsselungsgrad sein. Muss ich aber alle E-Mails verschlüsseln? Sehr wahrscheinlich versenden Sie bereits jetzt schon E-Mails mit der TLS-Verschlüsselung. Diese ist heutzutage bei nahezu allen E-Mail Servern bereits automatisch voreingestellt und sozusagen technisches State of the Art. Also selbst wenn Sie es nicht wissen, Ihre Technik wird die Frage bestimmt beantworten können. Ob Sie nun Ihre E-Mails mit einer Ende-zu-Ende Verschlüsselung sichern sollten, kommt auf das Zusammentreffen mehrerer der folgenden Faktoren an:

  • Zu übermittelnde Informationen sind besonders schützenswert (z.B. besondere personenbezogene Daten nach Art. 9 DSGVO oder Informationen zu strafrechtlichen Ermittlungen nach Art. 10 DSGVO oder Entwicklungsdaten zur Patentanmeldung).
  • Versender gehört zu den sogenannten Berufsgeheimnisträgern (Anwälte, Ärzte, Steuerberater etc.) an.
  • Es gibt vertragliche Geheimhaltungsvereinbarungen mit Ihrem Kommunikationspartner eine gewisse Verschlüsselung zu nutzen.
  • Die Daten sollen z.B. in ein sogenanntes unsicheres Drittland (gem. DSGVO) versendet werden.

Prüfen Sie mit Ihrem Datenschutzbeauftragten, ob in Ihren geschäftlichen Anwendungsfällen eine Ende-zu-Ende Verschlüsselung zu empfehlen ist oder ob die TLS Verschlüsselung nicht vielleicht ausreicht.


Ein aktuelles Urteil zur E-Mail-Verschlüsselung

Das Verwaltungsgericht Mainz hat erst kürzlich in seinem Urteil v. 17.12.2020 (Az.: 1 K 778/19 MZ) klargestellt, dass allein die Tatsache, dass man Berufsgeheimnisträger ist und eine Kommunikation mit seinem Mandanten aufnimmt, nicht ausreicht, um eine Ende-zu-Ende Verschlüsselung zu fordern. Erst wenn weitere besondere Anhaltspunkte wie der Sensibilitätsgrad der versendeten Nachricht berücksichtigt werden, kann über eine erhöhte oder erweiterte Sicherung des E-Mail-Verkehrs nachgedacht werden. So stellte das Gericht auch fest, dass im Einzelfall eine passwortgeschützte Datei einen ausreichenden Schutz bieten kann.


Björn Holeschak
Björn Holeschak
Teamlead Datenschutz

Mit seiner tiefgehenden Datenschutzexpertise stellt er sich jeden Tag aufs Neue den Herausforderungen des Datenschutzes. Er kennt die Gefahren und Stolpersteine ganz genau und berät seine Kunden praxisnah.


Einen Kommentar schreiben

Bitte rechnen Sie 1 plus 7.