E-Mails als Herausforderung des Datenschutzes

Vermeiden Sie eine Datenpanne, indem Sie Ihre E-Mails DSGVO-konform verfassen!

E-Mails
© HaseHoch2 / stock.adobe.com

Im privaten Bereich ist die E-Mail als Kommunikationsmedium deutlich auf dem Rückzug. An ihre Stelle ist dort weitgehend die Kommunikation über WhatsApp oder ähnliche Dienste getreten. Im beruflichen Bereich sieht das noch ganz anders aus. Dort sind E-Mails nach wie vor weit verbreitet. Fast immer enthalten sie personenbezogene Daten. Damit stellt sich die Frage nach der Verschlüsselung von E-Mails.

Generelle Pflicht zur Verschlüsselung von E-Mails?

Eine Regelung speziell zur Verschlüsselung von Mails sucht man in der DSGVO vergebens. Sie enthält in Form von Art. 32 DSGVO lediglich eine allgemeine Vorschrift, die sich mit der Sicherheit der Verarbeitung befasst. Danach kann eine Verschlüsselung eine geeignete Maßnahme sein, um Risiken für das Persönlichkeitsrecht abzuwehren. Nötig ist sie nur dann, wenn dies wegen der Schwere dieser Risiken erforderlich ist.

Diese Vorgaben sind denkbar allgemein. Eine generelle Pflicht zur Verschlüsselung aller Mails ergibt sich aus ihnen nicht. Außerdem lässt die Regelung offen, was genau mit dem Begriff der Verschlüsselung gemeint ist. Im Hinblick auf E-Mails gilt:

  • Eine „Transportverschlüsselung“ ist allgemein üblicher Standard. Damit ist gemeint, dass Mails auf dem Weg zwischen den Servern der beteiligten E-Mail-Anbieter (etwa Telekom oder O₂) verschlüsselt sind. Das ist heute üblicherweise der Fall, ohne dass der einzelne Nutzer dafür etwas tun muss.
  • Eine „Ende-zu-Ende-Verschlüsselung“ ist generell wünschenswert. Wenn es um die Versendung sensibler Daten geht (etwa Gesundheitsdaten von Patienten eines Krankenhauses), ist sie im Normalfall erforderlich. Bei dieser Form der Verschlüsselung ist die Mail auch auf dem Weg vom Absender zum Server seines Mailanbieters verschlüsselt, ebenso auf dem Weg vom Server des Mailanbieters des Mailempfängers zum Mailempfänger. Dafür sind entsprechende Einstellungen durch den Absender und den Empfänger der Mail erforderlich.

Es ist Sache der Unternehmensleitung, die notwendigen Vorgaben zu machen. Diese Vorgaben müssen Sie dann sorgfältig umsetzen.

Das BCC/CC-Problem

Bei diesem Stichwort handelt es sich um eine klassische Datenpanne mit oft erheblichen Folgen. Sie tritt auf, wenn eine E-Mail an zahlreiche Adressaten geht (etwa an alle Kunden eines kleinen Unternehmens) und der Absender den Unterschied von BCC und CC entweder nicht kennt oder ihn ignoriert. Oft geschieht dies dann, wenn ein Praktikant oder eine Aushilfskraft „doch mal bitte schnell die monatliche Info-E-Mail an alle Kunden“ verschicken soll.

Titelbild des sekretaria Magazins Ausgabe Februar 2024Dieser Artikel stammt aus dem sekretaria-Magazin. Wollen Sie mehr über die neuesten Trends im Office erfahren? Dann fordern Sie jetzt Ihr kostenloses Probeexemplar an!

Zur Datenpanne kommt es, wenn der Versender der E-Mail folgenden Fehler macht: Er fügt die lange Liste der Adressen aller Kunden in das Feld „CC“ ein statt in das Feld „BCC“. Die Folge: Jeder Empfänger der E-Mail sieht die E-Mail-Adressen aller anderen Empfänger!Richtig ist dabei folgendes Vorgehen: In das Adressfeld „An“ der E-Mail kommt die eigene E-Mail-Adresse, etwa die Adresse der Assistentin selbst. Die lange Liste der Adressen aller Kunden kommt in das Feld „BCC“. Das Feld „CC“ bleibt völlig leer! – Bei diesem Vorgehen sieht jeder Empfänger nur seine eigene E-Mail-Adresse. Die E-Mail-Adressen der anderen Adressaten bleiben für ihn verborgen.

Im Normalfall muss das Unternehmen eine solche Panne der Aufsichtsbehörde für den Datenschutz melden. Je nach Situation müssen außerdem alle betroffenen Kunden auf die Panne hingewiesen werden. Und in jedem Fall ist die komplette Kundenliste nach außen aufgedeckt. Das BCC/CC-Problem gehört zu den häufigsten Datenpannen überhaupt. Daher gilt: Besprechen Sie es unbedingt im Kreis der Kollegen und Kolleginnen, bevor es zu spät ist!

Fax besser als E-Mail?

Erstaunlich oft hört man in Büros den Satz: „E-Mail ist uns zu unsicher, da nehmen wir lieber ein Fax!“ Besonders häufig ist er im Gesundheitswesen und bei den rechtsberatenden Berufen, etwa in Anwaltskanzleien. Er beruht auf einem gefährlichen Missverständnis. Denn leider kann keine Rede davon sein, dass der Versand per Fax in irgendeiner Form sicherer wäre als eine E-Mail. So gehören Fehlversendungen, etwa durch Zahlendreher beim Eintippen der Faxnummer, zum Alltag.

Wenn ein Fax an eine Nebenstellenanlage angeschlossen ist, tritt immer wieder folgendes Problem auf: Um die Verbindung von der Nebenstellenanlage zum öffentlichen Netz herzustellen, muss man meist erst einmal eine „0“ eingeben. Erst danach folgt die vollständige Faxnummer. Sie beginnt typischerweise ebenfalls mit einer „0“. Drückt man die „0“ versehentlich nur einmal, kommt überraschenderweise oft trotzdem eine Verbindung zustande. Leider ist das dann der völlig falsche Adressat.

Der Autor Dr. Eugen Ehmann ist Regierungspräsident von Unterfranken und ist seit Jahren im Datenschutz aktiv.