Aktuelles

DSK veröffentlicht Orientierungshilfe zur E-Mail-Verschlüsselung

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (kurz: DSK) hat eine aktualisierte Orientierungshilfe zur E-Mail-Verschlüsselung veröffentlicht.

In dieser zeigt die DSK die grundlegenden technischen Anforderungen an die Erbringung von E-Mail-Diensten auf. Des Weiteren wird erläutert, was zu beachten ist, um die Sorgfaltspflicht bei der Inanspruchnahme von E-Mail-Diensteanbietern einzuhalten. So müssen zum Schutz der personenbezogenen Daten beispielsweise öffentliche E-Mail-Diensteanbieter die Anforderungen der Richtlinie TR 03108-1 des BSI einhalten. Welche weiteren Anforderungen beim Versand und bei der Entgegennahme von E-Mail-Nachrichten durch Verantwortliche, ihre Auftragsverarbeiter und öffentliche E-Mail-Diensteanbieter auf dem Transportweg zu erfüllen sind, wird in der Orientierungshilfe konkret beschrieben.

Um festlegen zu können, welche Maßnahmen zum Schutz der personenbezogenen Daten geeignet sind, sieht die Datenschutzkonferenz zunächst vor, dass das Risiko für den Betroffenen in Bezug auf die jeweiligen Daten einzuordnen ist. Die Datenschutzkonferenz hält fest, dass die Verantwortung für den einzelnen Übermittlungsvorgang bei dem Sender liegt. Wer jedoch gezielt personenbezogene Daten per E-Mail entgegennehme, sei verpflichtet, die Voraussetzungen für den sicheren Empfang von E-Mail-Nachrichten über einen verschlüsselten Kanal zu schaffen. Das bedeute, dass der Empfangsserver mindestens den Aufbau von TLS-Verbindungen ermöglichen müsse und hierbei ausschließlich die in der BSI-Richtlinie TR 02102-2 aufgeführten Algorithmen verwenden dürfe. Um den Aufbau verschlüsselter Verbindungen zu erleichtern, solle der Verantwortliche für Verschlüsselung und Authentifizierung ein möglichst breites Spektrum an qualifizierten Algorithmen anbieten.

Bei einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen müsse der Verantwortliche sowohl eine qualifizierte Transportverschlüsselung sowie den Empfang von Ende-zu-Ende verschlüsselten Nachrichten ermöglichen. Der Empfänger sei dabei verpflichtet, eine derartige Kommunikation zu ermöglichen und bestehende Signaturen qualifiziert zu prüfen.

Die Orientierungshilfe mit den Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung von E-Mails mit den konkreten Informationen finden Sie hier.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Sabrina Welmer

LLM., fundiertes betriebswirtschaftliches und wirtschaftsrechtliches Wissen sowie Erfahrung in der Umsetzung von Datenschutz in Unternehmensprozessen und berät seit 3 Jahren als Datenschutzbeauftragte und im ds²-Team von Thomas Spaeing.
magnifiercrossmenu