Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen hat sich zum Thema Email Verschlüsselung gemeldet und die Informationen dazu auch veröffentlicht. Somit haben Firmen etwas mehr Sicherheit, wie die DSVGO in dieser Hinsicht zu interpretieren und umzusetzen ist.
Die Landesbeauftragte unterscheidet dabei die Transportebene und Inhaltsebene. Der Transport der Daten muss demnach immer verschlüsselt stattfinden und der Technischen Richtlinie "BSI TR-03108-1: Secure E-Mail Transport" des BSI (Bundesamt für Sicherheit in der Informationstechnologie) folgen. Wer sich da einmal näher einlesen möchte, findet die Quelle unter folgendem Link: https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03108/index_htm.html
Zur Transportverschlüsselung gehören dann die Verfahren StartTLS und TLS, wie sie die meisten Provider schon seit Jahren anbieten. Bei einem SMTP-Account erkennt man das häufig daran, dass du nicht im E-Mail-Programm die Ports 25, sondern 465 oder 587 nutzt und damit die Verschlüsselung auf diesen Ports erzwungen wird. Den unverschlüsselten POP Port erkennt man meist an der ID 110 (IMAP 134), während die verschlüsselten den Port 995 oder IMAP: 993 belegen.
Natürlich bestimmt nicht der Port, ob die Daten verschlüsselt transportiert werden, sondern die Verschlüsselung, die dahintersteckt und vom Provider aktiviert werden muss. Bei den meisten Providern ist das aber genau so geregelt. Alles, was du also noch tun musst, wäre zu schauen, ob du diese Ports in deinem E-Mail-Server wie z.B. Microsoft-Exchange oder Tobit - oder deinem E-Mail-Programm auch nutzt.
Die Verschlüsselung auf dem Transportweg soll verhindern, dass Mails auf dem Weg zum Zielserver von Dritten gelesen werden können. Wenn du also den Weg (Transportebene) schon einmal verschlüsselt hast, kommt im Bedarfsfall noch die Verschlüsselung des Inhalts (Inhaltsebene) hinzu.
Hier erwähnt die Landesbeauftragte die Standards S/MIME und OpenPGP, die den Inhalt verschlüsseln, also deine Nachricht. Für die meisten Verschlüsselungsverfahren benötigst du aber eine öffentlich bekannte Signatur mit einem öffentlichen Schlüssel. Denn Empfänger und Sender müssen den öffentlichen Schlüssel kennen, um die Mails wirklich entschlüsseln zu können. Das funktioniert problemlos nur mit gekauften Signaturen und Anbietern wie D-Trust und dem S/MIME Verfahren. Bei PGP musst du die Schlüssel vorher einmal ausgetauscht haben und es ist nicht in vielen Mailservern eingebaut.
Sofern du und dein Empfänger Tobit David einsetzt, ist es ganz einfach. Du musst nur für jeden Benutzer eine 12-monatige Signatur kaufen und aktivieren und schon kannst du mit einem anderen Empfänger die Mails per S/MIME austauschen und lesen. Auch Microsoft bietet für Exchange Server da einige Lösungen an. Sofern du Tobit-David einsetzt und von uns betreut wirst, sprich bitte deinen Ansprechpartner in der Technik an, damit wir es für dich aktivieren können.
"Bei der Entscheidung, ob eine Ende-zu-Ende-Verschlüsselung erforderlich ist, sind der Schutzbedarf der übertragenen Daten sowie die Angemessenheit der Maßnahme zu berücksichtigen.....Bei der Übermittlung personenbezogener Daten mit normalem Schutzbedarf besteht die Möglichkeit, dass im Einzelfall der Verzicht auf eine Ende-zu-Ende-Verschlüsselung der Inhaltsdaten statthaft ist." - so die Landesbeauftragte NRW.
Für Rückfragen und Hilfestellungen zum Thema DSVGO steht dir wie immer unser Herr Böttcher gerne zur Verfügung.
Nachzulesen sind die Informationen unter folgendem Link:
https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Technische-Anforderungen-an-technische-und-organisatorische-Massnahmen-beim-E-Mail-Versand/Technische-Anforderungen-an-technische-und-organisatorische-Massnahmen-beim-E-Mail-Versand.html
