Personenbezogene Daten in E-Mails – Reicht TLS oder ist Verschlüsselung immer notwendig – Infos von der Aufsicht
Zuerst einmal: TLS bedeutet die sichere Übertragung von Daten über Leitungen (TLS – Transport Layer Security).
Die Aufsichtsbehörden für Datenschutz (DSK) haben die Versendung von personenbezogenen Daten per E-Mail konkretisiert.
Das ganze Thema der sicheren Übertragung ist für technische Laien leider nicht immer so richtig transparent. Ich werde deshalb versuchen, die Thematik möglichst einfach darzustellen.
1.1 Einleitung
Grundsätzlich sind Verantwortliche wie auch deren Auftragnehmer dazu verpflichtet, das Risiko des Missbrauchs personenbezogener Daten für die Betroffenen gering zu halten bzw. zu minimieren.
1.1.1 Ende-zu-Ende-Verschlüsselung
Bei Daten, die eine hohes Risiko für die Betroffenen bedeuten können, ist deshalb immer eine Ende-zu-Ende-Verschlüsselung anzuwenden.
Das kann z.B. eine S/Mime, Open-PGP oder auch eine Verschlüsselung einer Datei sein. Der Vorteil hierbei ist, dass nicht nur die Übertragung – sondern auch die „ruhenden“ Daten geschützt sind. Das heißt, z.B. der Administrator kann nicht die Daten lesen (das muss ja nicht absichtlich geschehen sondern kann ja auch im Support-Fall passieren).
Klassisch wird eine Ende-zu-Ende im Bereich Personal, Gesundheit – aber auch bei vertraulichen Daten angewendet.
1.1.2 Transportverschlüsselung
Dem gegenüber ist bei der Transportverschlüsselung der reine Übertragungsweg geschützt. Transportverschlüsselung bedeutet, der Weg z.B. vom PC zum eigenen Webserver, von da zum Ziel-Webserver und weiter zum PC des Empfängers geschützt ist.
In Deutschland sind die E-Mailanbieter nach einer Anforderung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur einer Transportverschlüsselung verpflichtet.
1.2 Was ist ein Risiko?
Bei einem Risiko kann dem Betroffenen ein Schaden entstehen.
Risiken sind z.B.:
- Diskriminierung
- Identitätsdiebstahl oder -betrug
- finanzieller Verlust
- Rufschädigung
- wirtschaftliche oder gesellschaftliche Nachteile
- Erschwerung der Rechtsausübung und Verhinderung der Kontrolle durch betroffene Personen
- Ausschluss oder Einschränkung der Ausübung von Rechten und Freiheiten
- Profilerstellung oder -nutzung durch Bewertung persönlicher Aspekte körperliche Schäden infolge von Handlungen auf der Grundlage fehlerhafter oder offengelegter Daten
1.3 Verpflichtungen bei normalen Risiken
Sie müssen zuerst definieren, was denn ein „normales“ Risiko ist.
Vereinfacht ausgedrückt:
Es kann dem Betroffenen bei einem normalen Risiko kein Schaden entstehen.
Beispiel:
Eine normale Rechnung mit Anschrift und die Auflistung der Artikel ist in der Regel ohne Risiko.
So eine Rechnung können Sie unverschlüsselt per E-Mail schicken.
1.4 Verpflichtungen bei erhöhten Risiken
Sollte auf der Rechnung allerdings eine komplette Kontonummer oder Verbrauchswerte des Kunden stehen, gilt das nicht mehr.
Hier muss neben einer Transportverschlüsselung auch eine Ende-zu-Ende-Verschlüsselung vorgenommen.
Das ist nur ein Beispiel. Bitte prüfen Sie die Risken im Vorfeld einer Versendung mit Ihrem Datenschutzbeauftragten.
1.5 Resümee
Im normalen Tagesalltag wird nach Ansicht der Datenschutz-Aufsicht eine Transportverschlüsselung ausreichend sein.
Nur wenn Daten übertragen werden, die für den Betroffenen ein mehr als normales Risiko bedeuten, muss eine Ende-zu-Ende-Verschlüsselung wie S/MIME oder PGP eingesetzt werden.
Beachten Sie bitte:
Häufig verlangen Ihre Auftraggeber schon eine Ende-zu-Ende-Verschlüsselung. Dem ist natürlich Folge zu leisten.
Sie benötigen Hilfe beim Datenschutz in Ihrem Unternehmen? Wir beraten pragmatisch ohne Firelfanz und stellen den Datenschutzbeauftragten im Raum Frankfurt am Main, Offenbach am Main, Wiesbaden, Darmstadt, Mainz, Rhein-Main, Rhein-Main-Neckar, Hessen, Bayern, Rheinland-Pfalz, Baden-Württemberg, RheinMain oder in ganz Deutschland. Nehmen Sie einfach Kontakt mit uns auf. Hinweis Die Informationen auf unserer Webseite dienen ausschließlich zu Informationszwecken. Bei der Darbringung der Informationen achten wir darauf, dass diese genau und aktuell sind. Aber beachten Sie, die Inhalte stellen keine Datenschutzberatung da. Bei Datenschutzfragen ist jeweils der Einzelfall zu betrachten. Bitte haben Sie Verständnis, dass wir jegliche Haftung für Inhalte Dritter, die über unsere Website aufgerufen werden können, ablehnen. |