E-Mail-Verschlüsselung – Was gilt es zu beachten?

Wenn von E-Mail-Verschlüsselung gesprochen wird, muss man sich vorab vor Augen halten, dass E-Mails im Internet auf jedem Server und auf den Wegen zwischen den Servern unverschlüsselt unterwegs sind. Dabei können sie von Angreifern gelesen oder gar verfälscht werden. Man kann es sich im Grunde wie eine Postkarte vorstellen. Um diese E-Mail (Postkarte) nun in einen Brief im Kuvert oder gar in ein Einschreiben mit Empfangsbestätigung zu verändern, hängt vom Verschlüsselungsverfahren ab. Hierbei ist es entscheidend zu wissen welche Verschlüsselungsverfahren es im Rahmen der E-Mail-Kommunikation gibt. Man unterscheidet hierbei zwei wesentliche Methoden, die sogenannte Transport-Layer-Security (TLS), also Transportwegverschlüsselung (das wäre das Pendant zum Brief) und die Ende-zu-Ende Verschlüsselung zum Beispiel über S/MIME oder PGP (das wäre unser Einschreiben). Bei der TLS Verschlüsselung ist im Grunde der Kanal zwischen Sender und Empfänger verschlüsselt, so dass Außenstehende keinen Zugriff auf diese Kommunikation haben. Die E-Mail, die durch diesen Kanal geleitet wird, inkl. Anhängen, ist aber an sich unverschlüsselt. Bei einer Ende-zu-Ende Verschlüsselung ist neben dem Transportkanal zusätzlich der Inhalt selbst, inkl. der Anhänge, verschlüsselt und kann ausschließlich vom Sender und Empfänger gelesen werden. Dadurch wird es auch verhindert, dass die Nachricht auf Ihrem Weg vom Absender zum Empfänger verändert wurde.

Sowohl die DSGVO (Art. 32 Abs. 1 und 2 i.V.m. Art. 5 Abs. 1 lit. f), als auch das Geschäftsgeheimnisgesetz (§ 2 Abs. 1 lit. b) besagen, dass zum Schutz von Informationen, Sicherheitsmaßnahmen umgesetzt werden müssen, die sich an der Sensibilität der Informationen orientieren. Dies ist in diesem Anwendungsfall nötig, um die Vertraulichkeit und Integrität der Informationen zu gewährleisten. Vereinfacht also: Je sensibler die Informationen umso höher sollte der technische Verschlüsselungsgrad sein. Muss ich aber alle E-Mails verschlüsseln? Sehr wahrscheinlich versenden Sie bereits jetzt schon E-Mails mit der TLS-Verschlüsselung. Diese ist heutzutage bei nahezu allen E-Mail Servern bereits automatisch voreingestellt und sozusagen technisches State of the Art. Also selbst wenn Sie es nicht wissen, Ihre Technik wird die Frage bestimmt beantworten können. Ob Sie nun Ihre E-Mails mit einer Ende-zu-Ende Verschlüsselung sichern sollten, kommt auf das Zusammentreffen mehrerer der folgenden Faktoren an:

• Zu übermittelnde Informationen sind besonders schützenswert (z.B. besondere personenbezogene Daten nach Art. 9 DSGVO oder Informationen zu strafrechtlichen Ermittlungen nach Art. 10 DSGVO oder Entwicklungsdaten zur Patentanmeldung).
• Versender gehört zu den sogenannten Berufsgeheimnisträgern (Anwälte, Ärzte, Steuerberater etc.) an.
• Es gibt vertragliche Geheimhaltungsvereinbarungen mit Ihrem Kommunikationspartner eine gewisse Verschlüsselung zu nutzen.
• Die Daten sollen z.B. in ein sogenanntes unsicheres Drittland (gem. DSGVO) versendet werden.

Prüfen Sie mit Ihrem Datenschutzbeauftragten, ob in Ihren geschäftlichen Anwendungsfällen eine Ende-zu-Ende Verschlüsselung zu empfehlen ist oder ob die TLS Verschlüsselung nicht vielleicht ausreicht.

Das Verwaltungsgericht Mainz hat erst kürzlich in seinem Urteil v. 17.12.2020 (Az.: 1 K 778/19 MZ) klargestellt, dass allein die Tatsache, dass man Berufsgeheimnisträger ist und eine Kommunikation mit seinem Mandanten aufnimmt, nicht ausreicht, um eine Ende-zu-Ende Verschlüsselung zu fordern. Erst wenn weitere besondere Anhaltspunkte wie der Sensibilitätsgrad der versendeten Nachricht berücksichtigt werden, kann über eine erhöhte oder erweiterte Sicherung des E-Mail-Verkehrs nachgedacht werden. So stellte das Gericht auch fest, dass im Einzelfall eine passwortgeschützte Datei einen ausreichenden Schutz bieten kann.