Ist das Versenden von unverschlüsselten e-Mails oder Rechnungen zulässig?

7. Februar 2015
DSGVO Art 32, 82, 83 – Stand der Technik nach der DSGVO – End-to-End-Verschlüsselung von eMails – Hinterlegen der Rechnungen auf personalisierter Website sinnvoll – Geldstrafe und Schadenersatzklage

Viele Unternehmen versenden Rechnungen oder andere vertrauliche Informaitonen an ihre Kunden per eMail. Oft werden Dokumente oder PDF-Rechnungen als Anhang verschickt, manchmal signiert, oft jedoch auch unsigniert.

Zu Recht stellen sich datenschutzbewusste Mitarbeiter die Frage, wie dieser Versand per eMail aus datenschutzrechtlicher Sicht gesehen werden muss, insbesondere ob es einer verschlüsselten Übertragung bedarf.

Die Datenschutz-Grundverordnung (DSGVO) schreibt keine direkten technischen Maßnahmen zur Vertraulichkeit beim Versand vor. In Art 32 DSGVO wird normiert, dass bei einer Datenverarbeitung, Maßnahmen zur Gewährleistung der Sicherheit von Verarbeitungen zu treffen sind. Welche Maßnahmen zur Datensicherheit zu treffen sind, umschreibt die DSGVO mit dem Begriff „Stand der Technik“, ohne diesen genauer zu definieren.

Die Verschlüsselung von eMails fällt aber jedenfalls unter den Begriff „Stand der Technik“ und ist daher geboten um den Sicherheitsmaßnahmen der DSGVO nicht zuwider zu laufen. Ebenfalls offen lässt die DSGVO die Frage, welche Stärke der Verschlüsselung verwendet werden muss, um dem „Stand der Technik“ zu entsprechen.

Die clientbasierte End-to-End-Verschlüsselung von eMails ermöglicht die Verschlüsselung einer eMail über den gesamten Übertragungsweg. Da der Einsatz dieser Anwendungsform bei vielen Unternehmen und Behörden noch immer nicht ausreichend stattfindet, fällt die Wahl meist auf eine Server-basierte Verschlüsselung.

Server-basierte Verschlüsselung

Fakt ist, dass alle modernen eMail-Server eine Server-Server-Verschlüsselung anbieten (sofern sie aktiviert wurde). Technisch gesehen, handeln Mailserver mit ihrem Gegenüber aus, ob dieser Verschlüsselungen akzeptiert oder nicht. Nur wenn die Gegenseite keine Verschlüsselung akzeptiert, dann wird im Klartext übertragen. Im Verkehr zwischen Benutzer und seinem Mailserver gibt es bei allen Mailprogrammen verschlüsselte und unverschlüsselte Übertragungs-Alternativen.

Weiters bieten praktisch alle Mailserver die verschlüsselte Verbindung vom Mail-Client (etwa Outlook) zum Mailserver an. Verwenden sowohl Absender, als auch Empfänger diese Verschlüsselungsoption und ist die Server-Server-Verbindung (inklusive aller Zwischen-Server) verschlüsselt, dann wird jedenfalls den Anforderungen der DSGVO entsprochen.

Fehlt in einem der Schritte die Verschlüsselung, wird die Vertraulichkeit durchbrochen und es kann eine Datenschutzverletzung gemäß DSGVO darstellen. Das hängt von der Art der Daten und der Art der Übertragungswege ab. Die Verantwortung für diese Datenschutzverletzung liegt beim Absender. Er kann diese Verantwortung nur vermeiden, wenn die Betroffenen (das muss nicht unbedingt der Empfänger sein) ausdrücklich einer unsicheren Übertragung ihrer Daten hzustimmen.

Empfehlenswert ist darüber hinaus – etwa als Anhang im eMail – einen Hinweis an den Benutzer zu geben, er möge seine eMails verschlüsselt abrufen. Gesetzlich vorgeschrieben ist der Hinweis jedoch nicht.

Dort wo der empfangende Server nicht für die Verschlüsselung konzipiert ist, sollte …
a) auf eine Dokumenten- bzw. Rechnungszustellung per eMail verzichtet werden (hier könnte – sollte ein derartiges E-Mail in falsche Hände kommen – ein Kunde den Vorwurf der mangelnden Sicherheit der Verarbeitung gemäß Art 32 DSGVO machen) oder
b) der Empfänger darauf hingewiesen werden, dass er einen unsicheren Mailserver benutzt und von ihm die Zustimmung eingeholt werden, dass er trotzdem die Mailzustellung wünscht oder
c) es erfolgt eine End-zu-End-Verschlüsselung (dazu muss der Empfänger einen Public-Key zur Verfügung stellen).

Mittelfristig ist es ratsam für Unternehmen mit regelmäßigem Dokumentenaustausch, auf Mailzustellung zu verzichten und Dokumente oder Rechnungen auf einer personalisierten Website zu hinterlegen.

Strafrahmen bei Verletzung der Sicherheit

Die Missachtung der Verpflichtung zu Maßnahmen der Sicherheit von Verarbeitungen wird mit bis zu EUR 10 Mio. oder 2% des letztjährigen weltweiten Jahresumsatzes durch die Aufsichtsbehörde bestraft (Art 83 Abs 4 DSGVO). Daneben können Betroffene für materiellen und immateriellen Schaden eine Schadenersatzklage beim Zivilgericht einbringen (Art 82 DSGVO).

Das könnte Sie auch interessieren…
GLOBALTRUST® QUALIFIED TIMESTAMP – qualifizierte Zeitstempel gemäß eIDAS-VO für revisionssicheres Dokumentenmanagement

GLOBALTRUST® QUALIFIED TIMESTAMP – qualifizierte Zeitstempel gemäß eIDAS-VO für revisionssicheres Dokumentenmanagement

GLOBALTRUST® QUALIFIED TIMESTAMP vergibt zu beliebigen Dokumenten einen Zeitstempel und garantiert die Existenz dieses Dokuments zu diesem Zeitpunkt – Dokument wird nicht übertragen, Datenschutz bleibt gewahrt – international anerkannter Standard RFC 3161 zur revisionssicheren Archivierung – GLOBALTRUST® archiviert ausgestellte Zeitstempel

mehr lesen
Fernsignatur – „mit Abstand“ die beste Lösung ohne Signaturkarte

Fernsignatur – „mit Abstand“ die beste Lösung ohne Signaturkarte

Alle da? Dann ist es ja einfach, an die erforderlichen Unterschriften für Dokumente und Verträge zu kommen. Was aber, wenn die halbe Belegschaft ins Homeoffice gewechselt ist oder sich die Unterschriftspflichtigen aus anderen Gründen nicht am selben Ort einfinden können? Seit der Einführung der EU-eIDAS-Verordnung...

mehr lesen
5 gute Gründe für eine qualifizierte e-Signatur

5 gute Gründe für eine qualifizierte e-Signatur

„Brauchen wir wirklich elektronische Signaturen? Was das wieder kostet!“ So und ähnlich klingt es in vielen Unternehmen immer noch, wenn es um das Thema e-Signatur geht. Kommt Ihnen das bekannt vor oder sind die Vorteile der digitalen Unterschrift in Ihrem Betrieb schon bekannt? Lesen Sie hier, was die e-Signatur –...

mehr lesen
Elektronische Signaturen: Qualifiziert, oder was?

Elektronische Signaturen: Qualifiziert, oder was?

Elektronische Signaturen sind aus einem effizienten digitalen Workflow nicht mehr wegzudenken. Mit TRUST2GO® bieten wir Ihnen eine qualifizierte Signatur als digitale Alternative, die Ihre handschriftliche Unterschrift technisch, organisatorisch und rechtlich komplett ablöst. Was genau ist aber eine elektronische...

mehr lesen
Elektronisch signieren: Und die Compliance ist gesichert!

Elektronisch signieren: Und die Compliance ist gesichert!

Die qualifizierte elektronische Signatur ist die perfekte Ergänzung für Ihren elektronischen Geschäfts- und Rechtsverkehr. Unsere e-Signaturlösung TRUST2GO® vereinfacht nicht nur Ihren Workflow, sondern erfüllt auch höchste Compliance-Anforderungen. Sensible Dokumente, Behördendaten, Patientenakten, Bank- oder...

mehr lesen
e-Signaturen: Vereinfachen und beschleunigen Sie Ihr Business!

e-Signaturen: Vereinfachen und beschleunigen Sie Ihr Business!

Wissen Sie noch, wann der Computer in Ihrem Unternehmen oder Ihrer Behörde Einzug gehalten hat? Das ist schon zu lange her? Egal, fest steht: Mit ihm wurden Schriftverkehr und Dokumentenmanagement nach und nach digitalisiert. Bis auf ein winziges, aber umso wichtigeres Detail: An der Unterschrift spießt sich...

mehr lesen