Die Datenschutzkonferenz der LandesdatenschützerInnen und des Bundesdatenschützers (DSK) hat in ihrer letzten Sitzung eine aktualisierte Orientierungshilfe zur Verschlüsselung von Emails verabschiedet und kurz darauf veröffentlicht. Diese gibt konkrete Hinweise, welche Verschlüsselung und wann diese bei der Verarbeitung von Emails vorliegen muss.
Hinweise der DSK zur Emailverschlüsselung
Die Anforderungen an den Verantwortlichen für den Versand und Entgegennahme von Emails richtet sich nach Art. 5 Abs. 1 lit. f, 25 und 32 Abs. 1 DSGVO. Damit konkretisiert die DSK in der Orientierungshilfe wie der Verantwortliche, dessen Auftragsverarbeiter und öffentliche Email-Dienstanbieter Anforderungen auf dem Transportweg erfüllen müssen.
Hier wichtige Teile
“Der gesetzlich gebotene Schutz personenbezogener Daten im Zuge der Übermittlung von E-Mail-Nachrichten erstreckt sich sowohl auf die personenbezogenen Inhalte als auch die Umstände der Kommunikation, soweit sich aus letzteren Informationen über natürliche Personen ableiten lassen.”
“Sowohl Ende-zu-Ende-Verschlüsselung als auch Transportverschlüsselung mindern für ihren jeweiligen Anwendungszweck Risiken für die Vertraulichkeit der übertragenen Nachrichten. Daher müssen Verantwortliche beide Verfahren in der Abwägung der notwendigen Maßnahmen berücksichtigen.”
“Der durchgreifendste Schutz der Vertraulichkeit der Inhaltsdaten wird durch Ende-zu-Ende-Verschlüsselung erreicht, wofür derzeit die Internet-Standards S/MIME (RFC 5751) und OpenPGP (RFC 4880) i.d.R. in Verbindung mit PGP/MIME (RFC 3156) zur Verfügung stehen. Ende-zu-Ende-Verschlüsselung schützt nicht nur den Transportweg, sondern auch ruhende Daten”
“Der Einsatz von Transportverschlüsselung bietet einen Basis-Schutz und stellt eine Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen dar. In Verarbeitungssituationen mit normalen Risiken wird dabei bereits durch die Transportverschlüsselung eine ausreichende Risikominderung erreicht.”
“Die Transportverschlüsselung reduziert die Erfolgswahrscheinlichkeit passiver Abhörmaßnahmen Dritter auf dem Transportweg auf ein geringfügiges Maß. Um auch gegen Dritte zu bestehen, die aktiv in den Netzverkehr eingreifen, muss sie in qualifizierter Weise durchgeführt und durch Maßnahmen zur kryptografischen Absicherung der Angaben der Empfänger über die zur Entgegennahme der Nachrichten berechtigten Geräte flankiert werden. “
Verpflichtung des Verarbeiters
.
Einordnung der Orientierungshilfe
Diese Orientierungshilfe ist von gesetzes Rang oder entspricht einer Verordnung oder Verfügung der Landesdatenschutzbeauftragten. Jedoch ist darauf hinzuweisen, dass die DSK für die aktuellen Prüfungen nun eine einheitliche Auslegung zwischen den LDSBs + BDSB der DSGVO in diesem Punkt veröffentlicht hat, an die es sich zunächst gilt zu halten. Es ist deshalb empfehlenswert und ratsam die Empfehlungen umzusetzen oder wenn man anderer Meinung ist, dies rechtlich sehr streng zu prüfen mit Hinblick auf ein Gerichtsverfahren gegen eine anderslautende Anordnung mit Bußgeld der LDSBs.
Kommentar
Schon in den letzten Wochen zeichnete sich das nun vorliegende Bild zur Verschlüsselung von Emails ab. Es ist aus meiner Sicht großteils die logische Folge aus vorherigen Veröffentlichungen einzelner Landesdatenschutzbeauftragten zu Themen wie dem Telefax oder der Nutzung von Emails mit normalem Risiko und erhöhtem Risiko, wie bei Rechtsanwälten, Ärzten und Steuerberatern.
Der Stand der Technik erlaubt es jedem Unternehmen die folgenden drei Anforderungen ohne erhöhten Aufwand umzusetzen:
- digitale Signatur einer Email
- qualifizierte Transportverschlüsselung (flankiert mit einer Geräteverwaltung)
- End-zu-End Verschlüsselung mit S/MIME oder PGP (oder reine interne Nutzung innerhalb eines sicheren Netztes)
So ist dies unterteilt in:
normales Risiko
- digitale Signatur einer Email
- qualifizierte Transportverschlüsselung (flankiert mit einer Geräteverwaltung)
Unter einem normalen Risiko versteht die DSK eine Verarbeitung von klassischen personenbezogenen Daten, wie Name und Vornahme sei es zur Versendung oder Entgegennahme.
erhöhtes Risiko
- digitale Signatur einer Email
- qualifizierte Transportverschlüsselung (flankiert mit einer Geräteverwaltung)
- End-zu-End Verschlüsselung mit S/MIME oder PGP (oder reine interne Nutzung innerhalb eines sicheren Netztes)
Unter einem erhöhtem Risiko versteht die DSK eine Verarbeitung von personenbezogenen Daten insbesondere Artikel 9 und 10 DSGVO Daten, wie zum Beispiel Gesundheitsdaten sei es zur Versendung oder Entgegennahme. Konkrete Beispiele werden auch genannt, wie Rechtsanwälte, Ärzte und das Personalwesen. Es wird begründet, dass erst bei einer End-zu-End Verschlüsselung die Email auf dem Transportweg und Speicherung wirklich geschützt ist und man mit dem eigens verwalteten Schlüssel man sich erst effektiv gegen Dritte schützen kann.
Besonders im Fokus sind Daten der Berufsgeheimnisträger:
“In Erwägungsgrund 75 der DS-GVO heißt es hierzu: „Die Risiken für die Rechte und Freiheiten natürlicher Personen …können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu … einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten … führen kann … .“ “
Was ist, wenn man die Verarbeitung von personenbezogenen Daten mit erhöhtem Risiko nicht ausschließen kann?
Dies kann sein, da auch explizit das Entgegennehmen von diesen Daten gemeint ist und man den Eingang und oftmals leider auch die Versendung nicht
Was heißt dies für Microsoft 365 und Exchange Online?
Diese Vorlage ist eindeutig. Alle Nutzer müssen, wenn sie Daten mit höherem Risiko verarbeiten (senden, speichern, entgegennehmen, löschen) mit S/MIME oder PGP verschlüsselt werden müssen. In einer strengen wörtlichen Auslegung ist dies nur mit AIP P2 (oder Pakete wie M365 E5, Compliance E5 Add-On) und einer S/MIME Struktur möglich oder einem Proxyserver, der alle Emails mit einem S/MIME Zertifikat ausstattet oder eine Clientbasierten S/MIME Struktur, die mit dem Exchange Online zusammenarbeitet.
Ebenso muss zwingend die TLS Verschlüsselung genutzt werden und die digitale Signatur für die Nutzer des Exchange Online.
Eine Standardeinstellung genügt nicht.
Ob OME ausreicht, ist fraglich, da explizit von S/MIME und PGP in der Orientierungshilfe gesprochen wird. Dies zu aktivieren ist aber zunächst ein dringender Rat. OME (Verschlüsselung, nicht weiterleiten) ist kostenlos bei allen Exchange Online Plänen verfügbar.
Download der Orientierungshilfe vom 16. Juni 2021
20210616_orientierungshilfe_e_mail_verschluesselung.pdf (datenschutzkonferenz-online.de)