TOMs für den E-Mail-Versand
Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) erläutert in einem aktuellen Beitrag, welche technischen Anforderungen und welche technischen und organisatorischen Maßnahmen ihrer Meinung nach bei dem Versand einer E-Mail beachtet werden sollten.
Zunächst wird darauf hingewiesen, bei einer datenschutzrechtlichen Beurteilung sowohl die Inhaltsdaten (d.h. dem Text und ggf. vorhandener Anhänge) einer E-Mail, als auch deren sog. Metadaten (bspw. Absender, Empfänger, Zeitstempel etc) zu betrachten sind, da sowohl Inhalts- als auch Metadaten personenbezogene Daten beinhalten können.
Danach werden die unterschiedlichen Anforderungen bei der Übermittlung von E-Mails zwischen einer Verschlüsselung auf Inhaltsebene und einer Verschlüsselung auf Transportebene ausgearbeitet.
Die nach Ansicht der LDI NRW zu beachtenden TOMs werden abschließend wie folgt zusammengefasst:
- Die Kommunikation per E-Mail bedarf mindestens der Transport-Verschlüsselung, wie sie von den namhaften europäischen Providern standardmäßig angeboten wird.
- Die Transportverschlüsselung sollte entsprechend der Technischen Richtlinie „BSI TR-03108 Sicherer E-Mail-Transport“ implementiert sein. In Abhängigkeit vom Schutzbedarf der versendeten Daten und dem Risiko können Abweichungen von der Richtlinie statthaft sein.
- Es ist zu berücksichtigen, dass bei einer Transportverschlüsselung die E-Mails auf den E-Mail-Servern im Klartext vorliegen und grundsätzlich einsehbar sind. Bei besonders schützenswerten Daten (z.B. Kontobewegungsdaten, Finanzierungsdaten, Daten zum Gesundheitszustand, Mandantendaten von Rechtsanwälten und Steuerberatern, Beschäftigtendaten) ist eine alleinige Transportverschlüsselung möglicherweise nicht ausreichend. Zusätzliche technische und organisatorische Maßnahmen, wie z. B. eine Ende-zu-Ende-Verschlüsselung können geboten sein. Sollte dies nicht gewährleistet werden können, sind ggf. alternative Übertragungswege denkbar: Hierzu zählen der elektronische Austausch über eine gesicherte Verbindung (Web-Portal des Verantwortlichen mit Zugangsbeschränkungen) oder die klassische postalische Zusendung.
- Der Betreff der E-Mail sollte keine personenbezogenen Daten enthalten.
Die LDI NRW weist daraufhin, dass die DSK aktuell Empfehlungen zur datenschutzkonformen E-Mail-Kommunikation ausarbeitet, so dass die Ausführungen der LDI NRW unter dem Vorbehalt späterer Anpassungen an die Empfehlungen stehen.
Das könnte Sie auch interessieren
-
Europaweite Datenschutz-Prüfung: Umsetzung des Rechts auf Löschung im Fokus
Der Europäische Datenschutzausschuss (EDSA) hat seine koordinierte Durchsetzungsmaßnahme für das Jahr 2025 gestartet. Im Rahmen des „Coordinated Enforcement Framework“ (CEF) wird in diesem Jahr die Umsetzung des Rechts auf Löschung nach Art. 17 DS-GVO untersucht. Deutschland beteiligt sich mit mehreren Landesdatenschutzbehörden an dieser Initiative, die insgesamt 32 europäische Datenschutzaufsichtsbehörden umfasst. Ziel und Methodik der Untersuchung
Mehr erfahren -
EuGH: Erhebung von Anrede-Daten nicht zwingend erforderlich
Der Europäische Gerichtshof (EuGH) hat entschieden, dass die Erhebung von Anrede-Daten („Herr“ oder „Frau“) durch Unternehmen im Rahmen der geschäftlichen Kommunikation nicht zwingend erforderlich ist. Dies gilt auch dann, wenn die Angabe zur Personalisierung der Kundenansprache dient. Die Praxis kann gegen den Grundsatz der Datenminimierung gemäß der Datenschutz-Grundverordnung (DSGVO) verstoßen (EuGH, Urteil vom 9. Januar
Mehr erfahren -
GDD veröffentlicht Praxishilfe zum Hinweisgeberschutzgesetz
Das am 2. Juli 2023 in Kraft getretene Hinweisgeberschutzgesetz (HinSchG) verpflichtet Unternehmen und öffentliche Stellen seit dem 17. Dezember 2023 zur Umsetzung der darin festgelegten Bestimmungen. Ziel des Gesetzes ist es, hinweisgebende Personen – sogenannte Whistleblower – vor negativen Konsequenzen wie Kündigungen oder anderen beruflichen Benachteiligungen zu schützen, wenn sie Verstöße oder Missstände melden, die
Mehr erfahren
