Grundsätzlich müssen sich die Verantwortlichen im Unternehmen bei Nutzung von E-Mail-Diensteanbieter davon überzeugen, dass der Anbieter hinreichende Garantien für die Einhaltung der Anforderungen der DSGVO bietet. Neben den Risiken, die auf dem Transportweg der Mail bestehen, gilt es auch die Risiken für ‚ruhende Daten‘ zu beachten, die vor und nach dem Versand bestehen. Beide Risikogruppen lassen sich durch geeignete Verschlüsselungsverfahren mindern. Transport-verschlüsselungen garantieren nur ein Mindestmaß an Sicherheit auf dem Übertragungsweg. Der Schutz der Daten, auch nach dem Versand einer Mail, kann letztlich nur durch eine Ende-zu-Ende-Verschlüsselung gewährleistet werden. Ferner gilt, auch wenn die Verantwortung für Sicherheit bei derm Verseandung personenbezogener Daten per E-Mail grundsätzlich beim Sender liegt, dass auch der Empfänger geeignete Vorkehrungen zur Wahrung der Vertraulichkeit treffen muss.
Bei der praktischen Umsetzung sollten Unternehmen die konkreten Anwendungen und Geschäftsfälle in Fallgruppen mit normalen und hohen Risiken beim Empfangen und Versenden vom E-Mails einteilen.
Unternehmen, die gezielt sehr sensible Daten per Mail entgegennehmen, müssen einerseits die Voraussetzungen zum Empfang der Nachrichten über einen verschlüsselten Kanal schaffen. Um zusätzlich die Authentizität der empfangenen Nachrichten zu prüfen, empfiehlt es sich, auf eine elektronische Signatur zurückzugreifen, die den Absender verifiziert. Bei hohem Risiko sollte eine geeignete Ende-zu-Ende-Verschlüsselung zur Verfügung gestellt werden.
Beim Versand sensibler Daten ist ebenfalls eine Transportverschlüsselung obligatorisch. Auch hier sollte bei hohem Risiko neben einer qualifizierten Verschlüsselung der Datenübertragung auch eine Ende-zu-Ende-Verschlüsselung genutzt werden. Besondere Anforderungen gelten zudem beim Versand von E-Mail-Nachrichten mit geheim zu haltenden Inhalten gemäß § 203 StGB (beispielsweise Daten von Ärzten oder Rechtsanwälten). Hier muss zusätzlich sichergestellt werden, dass nur die Stellen die Nachricht entschlüsseln können, denen der ihr Inhalt der Nachricht auch offenbart werden darf.
Dies zeigt: Vor dem Ergreifen von Maßnahmen sollte stets eine Risikoanalyse oder die Klassifizierung von Informationen und Systemen stehen, um angemessene und ausreichende Maßnahmen zu ergreifen. „Es lässt sich schwer generalisieren, welche Maßnahmen in welchem Unternehmen getroffen werden sollten“ erklärt der erfahrende IT-Sicherheitsfachmann und UIMC-Geschäftsführer Dr. Jörn Voßbein. „Die individuelle Risikoanalyse ist unverzichtbar.“ Betroffenen Unternehmen rät Dr. Voßbein, sich frühzeitig mit den Themen auseinanderzusetzen.
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de