1. Home
  2. TOMs für den E-Mail-Versand
DataAgenda

TOMs für den E-Mail-Versand

TOMs für den E-Mail-Versand

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) erläutert in einem aktuellen Beitrag, welche technischen Anforderungen und welche technischen und organisatorischen Maßnahmen ihrer Meinung nach bei dem Versand einer E-Mail beachtet werden sollten.

Zunächst wird darauf hingewiesen, bei einer datenschutzrechtlichen Beurteilung sowohl die Inhaltsdaten (d.h. dem Text und ggf. vorhandener Anhänge) einer E-Mail, als auch deren sog. Metadaten (bspw. Absender, Empfänger, Zeitstempel etc) zu betrachten sind, da sowohl Inhalts- als auch Metadaten personenbezogene Daten beinhalten können.

Danach werden die unterschiedlichen Anforderungen bei der Übermittlung von E-Mails zwischen einer Verschlüsselung auf Inhaltsebene und einer Verschlüsselung auf Transportebene ausgearbeitet.

Die nach Ansicht der LDI NRW zu beachtenden TOMs werden abschließend wie folgt zusammengefasst:

  • Die Kommunikation per E-Mail bedarf mindestens der Transport-Verschlüsselung, wie sie von den namhaften europäischen Providern standardmäßig angeboten wird.
  • Die Transportverschlüsselung sollte entsprechend der Technischen Richtlinie „BSI TR-03108 Sicherer E-Mail-Transport“ implementiert sein. In Abhängigkeit vom Schutzbedarf der versendeten Daten und dem Risiko können Abweichungen von der Richtlinie statthaft sein.
  • Es ist zu berücksichtigen, dass bei einer Transportverschlüsselung die E-Mails auf den E-Mail-Servern im Klartext vorliegen und grundsätzlich einsehbar sind.  Bei besonders schützenswerten Daten (z.B. Kontobewegungsdaten, Finanzierungsdaten, Daten zum Gesundheitszustand, Mandantendaten von Rechtsanwälten und Steuerberatern, Beschäftigtendaten) ist eine alleinige Transportverschlüsselung möglicherweise nicht ausreichend. Zusätzliche technische und organisatorische Maßnahmen, wie z. B. eine Ende-zu-Ende-Verschlüsselung können geboten sein. Sollte dies nicht gewährleistet werden können, sind ggf. alternative Übertragungswege denkbar: Hierzu zählen der elektronische Austausch über eine gesicherte Verbindung (Web-Portal des Verantwortlichen mit Zugangsbeschränkungen) oder die klassische postalische Zusendung.
  • Der Betreff der E-Mail sollte keine personenbezogenen Daten enthalten.

Die LDI NRW weist daraufhin, dass die DSK aktuell Empfehlungen zur datenschutzkonformen E-Mail-Kommunikation ausarbeitet, so dass  die Ausführungen der LDI NRW unter dem Vorbehalt späterer Anpassungen an die Empfehlungen stehen.

Letztes Update:03.01.19

Das könnte Sie auch interessieren

  • Datenschutz effizient organisieren und managen – Fokus: Audit-Modul

    Datenschutz effizient organisieren und managen – Fokus: Audit-Modul

    Der Referent wird im Vortrag das webbasierte Management-System DataAgenda Datenschutz Manager kurz vorstellen. Mit dem Management-System erfassen, verwalten und dokumentieren Sie sämtliche Datenschutzmaßnahmen wie beispielsweise TOMs, VVT, DSFA. Anschließend stellt der Referent das Modul Audit des DataAgenda Datenschutz Managers vor. Das Modul dient zur Überprüfung des eigenen oder eines anderen Unternehmens im Bezug zu den

    Mehr erfahren
  • Podcastcover mit Porträts von Prof. Dr. Schwartmann und Andreas Mundt zur Folge 69 des Data Agenda Podcasts

    Folge 69: Faire Bedingungen für Digitale Märkte: Die Rolle des Bundeskartellamts und seine Bezugspunkte zum Datenschutz

    Das Bundeskartellamt spielt eine wichtige Rolle zum Schutz des Wettbewerbs. In der Digitalisierung kommt es zunehmend zu Berührungen mit dem Datenschutzrecht. Was sind die Aufgaben des Bundeskartellamts, welche Entwicklungen gibt es, wie unterscheiden sich Daten- und Kartellrecht und wie ergänzen sich die Rechtsgebiete?Einordnungen und Einschätzungen von Andreas Mundt. Der Präsident des Bundeskartellamts, im DataAgenda Podcast

    Mehr erfahren
  • Digitale Hamburg-Skyline in leuchtendem Blau mit Hinweis auf die 12. Hamburger Datenschutztage

    12. Hamburger Datenschutztage 2025

    Die Datenschutzpraxis steht nicht still: Neue gesetzliche Entwicklungen, technische Herausforderungen und steigende Anforderungen an die Organisation fordern Verantwortliche in Unternehmen und Verwaltung gleichermaßen. Orientierung und aktuelles Fachwissen bietet hier eine der wichtigsten Fachveranstaltungen des Jahres: die 12. Hamburger Datenschutztage am 26. und 27. Juni 2025. In Hamburg treffen sich erneut Fachleute aus Wirtschaft, Wissenschaft und

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner