Keine Ausreden: E-Mail-Verschlüsselung ist Stand der Technik

Systeme zur Verschlüsselung von E-Mails gibt es schon lange. Gute und weniger gute, kostenpflichtige und kostenlose, beispielsweise PGP. Allerdings haben sie sich bisher nicht flächendeckend durchgesetzt. Vordergründig, weil „zu kompliziert in der Anwendung“. Häufig auch mit der Begründung „ich habe nichts zu verbergen“.

Jetzt taucht das Wort „Verschlüsselung“ gleich in mehreren Artikeln der DSGVO als auch im BDSG (neu) auf und wird als „Stand der Technik“ angesehen:

  • Art. 6 DSGVO – Rechtmäßigkeit der Verarbeitung
  • Art. 32 DSGVO – Sicherheit der Verarbeitung
  • Art. 34 DSGVO – Benachrichtigung betroffenen Person
  • §§ 22, 48, 64, 66 BDSG (neu)

Mit Einführung der DSGVO kommt man also um den Einsatz von Verschlüsselung nicht mehr herum. In Foren und Blogs wehren sich manche Teilnehmer trotzdem weiterhin mit Händen und Füßen gegen die Verschlüsselung. Die Argumente sind teils nicht nur fadenscheinig, sondern bedenklich. Etwa die Aussage, dass der Kontakt und die Mailinhalte bei Anwälten keines zusätzlichen Schutzes bedürften; schließlich unterliege man ja der Verschwiegenheitspflicht und es gäbe ein TKG. Wer so argumentiert, hat das Internet nicht verstanden: Datenpakete werden über unzählige Rechner im In- und Ausland zum Empfänger transportiert. Die Inhalte sind dort für jeden einsehbar und verwertbar.

 

Analog zur analogen Welt

Das Problem lässt sich einfacher nachvollziehen, wenn man zunächst die greifbare, also analoge, Welt betrachtet: Würden Sie Ihren Patienten, Mandanten oder Kunden Arztbriefe, Urkunden, Verträge, o.ä. in einem offenen und durchsichtigen Umschlag zukommen lassen? Würden Sie den Umschlag wildfremden Menschen auf der Straße mitgeben, weil die zufällig zu der Adresse fahren? Und wie würden Sie reagieren, wenn Sie der Empfänger wären? Etwa mit: „Mein Fehler – ich hätte explizit auf einem verschlossenen blickdichten Umschlag bestehen sollen“? Wohl kaum.

Aber genau das geschieht in der digitalen Welt: Jede unverschlüsselt versendete Mail ist wie der oben beschriebene offene oder durchsichtige Umschlag. Sie ist wie eine Postkarte, die auf dem Postverteilweg jeder lesen kann. Dazu kommt: Im Gegensatz zur Postsendung und einem manipulierten Umschlag lässt sich an der E-Mail nicht erkennen, ob Unbefugte mitgelesen haben. Insbesondere Personen, die dem Berufsgeheimnis nach §203 StGB unterliegen, sollten sich deshalb bewusst werden, dass die Verschwiegenheitspflicht nicht vor dem Internet haltmacht.

 

Verschlüsselung ist keine Atomphysikk

Man muss keine „Raketenwissenschaften“ studiert haben, um eine E-Mail und Anhänge zu verschlüsseln. Die einfachste Art ist ein passwortgeschütztes zip-Archiv. Mit dieser simplen Maßnahme und einem separat übermittelten Passwort (beispielsweise per Telefon) lässt sich die Mitlesefähigkeit bereits einschränken. In der Anfangsphase und im Mailverkehr mit privaten Kunden kann dies eine Option sein.

Für häufigen Austausch oder im Kontakt mit größeren Unternehmen und Behörden kann ein S/MIME-Zertifikat von einem namhaften Aussteller eingesetzt werden. Die Kosten dafür sind moderat (ab ca. 20€/Jahr). Das Zertifikat lässt sich in die meisten Mail-Clients einbinden und verschlüsselt bzw. signiert die Mails automatisch. Zertifikatsfehler können dann kenntlich machen, dass auf dem Übertragungsweg möglicherweise manipuliert wurde, ähnlich wie in der „analogen Welt“ ein geöffneter Umschlag zu erkennen ist.

Da führende Hersteller wie Microsoft die S/MIME-Verschlüsselung bereits als Bestandteil ihrer Software anbieten, wird sie sich in absehbarer Zeit in der Geschäftswelt etablieren. Die Verbreitung und Akzeptanz bei Endanwendern wird steigen, je mehr Behörden, Krankenhäuser oder Großunternehmen verschlüsselte E-Mails verwenden.

 

Keine Ausreden mehr

Im Sinne einer kontinuierlichen Verbesserung können Organisationen Verschlüsselungsmöglichkeiten zunächst den Mitarbeitern einrichten, die mit sensiblen Daten arbeiten und diese per Mail versenden. Spätestens mit dem Aussterben der letzten Faxe wird die E-Mail der primäre Kommunikationskanal auch für vertrauliche Daten sein. Dann ist die Anschaffung eines Mailverschlüsselungsservers geboten. Eine solche Applikation arbeitet sehr nutzerfreundlich, nämlich automatisch. Je nach Ausstattung des Empfängers verwendet sie entweder eine zertifizierte Signatur und S/MIME oder PGP oder packt Anhänge automatisch in passwortgeschützte Ordner.

Fazit: Möglichkeiten gibt es also genug, von kostenlos bis hochpreisig, und Verschlüsselung ist definitiv „Stand der Technik“ im Sinne der Datenschutzgesetze. Es gibt wirklich keine Ausreden mehr, nicht zu verschlüsseln.