>E-Mail sicher nutzen

HMDATA Datenschutz-Newsletter 07/2024, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Die E-Mail ist nach wie vor beliebtestes geschäftliches Kommunikationsmedium und … Verursacher Nummer Eins bei Datenpannen.
An dieser Stelle soll aber weder auf Sensibilisierungsmaßnahmen wie die berühmte 5-Sekunden-Durchschnaufregel, noch die Gefahren durch die verschiedenen Angriffsszenarien schadhafter eingehender E-Mails eingegangen werden.
Vielmehr liegt der Fokus auf einer datenschutzrechtlich einwandfreien Integration einer professionellen E-Mail-Kommunikation.
Eines vorweg: ja, E-Mail kann im Rahmen des Standes der Technik und den Anforderungen der Sicherheit der Verarbeitung nach Art. 32 DSGVO problemlos eingesetzt werden.

Welche Risiken gibt es denn überhaupt?

Aus Sicht der Technik: unverschlüsselte Übertragung. Im Jahre 2024 ist eine unverschlüsselte Übertragung ein absolutes No-Go. Insofern bitte alle Regelungen, die eine entsprechende unverschlüsselte Übertragung legitimeren sollen umgehend entfernen. Rein technisch ist eine Transportverschlüsselung (sog. TLS-Verschlüsselung nach mind. 1.2-Standard) unbedingt einzuhalten. Das ist in der Regel der Fall und wird seitens des E-Mail-Servers oder Providers zur Verfügung gestellt. Insofern werden keine E-Mails mehr "offen" über das Internet übertragen, sondern reisen von Postkasten zu Postkasten sicher und uneinsehbar für Dritte durch das Netz.
Eine zusätzliche Möglichkeit ist die Inhaltsverschlüsselung, mit der eine E-Mail nicht nur verschlüsselt durch die Netzte übertragen wird sondern deren Inhalt auch für alle Dritten ohne Kenntnis des Entschlüsselungsverfahren nicht lesbar ist. Das kann bspw. bei besonders sensiblen Daten, die im Attachment versendet werden, zum Einsatz kommen, benötigt aber eine zusätzliche Kommunikation für das Entschlüsselungsverfahren (bspw. getrennte Übermittlung von Passwörtern). Eine Inhaltsverschlüsselung ist aber datenschutzrechtlich nicht zwingend erforderlich.

Damit ist aber ein großes Problem noch nicht gelöst: hat ausschließlich der Empfänger Einsichtmöglichkeiten in seinen Account? Wie ist der Zugriff geregelt, gibt es Weiterleitungen oder Sammelzugriffe? Stimmt denn die E-Mail-Adresse überhaupt?
Da nicht in jedem Fall alleine aus der Semantik der E-Mail-Adresse eine exakte Empfängerzuordnung ersichtlich ist (also bspw. info@muster.de oder max.muster@web.de i.Vgl. zu maxmuster@web.de und max.muster@gmx.de) kann durch geringste optisch ähnliche syntaktische Unterscheidung ein völlig andere Empfänger die E-Mail erhalten.
Das ist eine der häufigsten Ursachen für eine Datenpanne ausgehender E-Mails.

Was dagegen tun?

Nach Art. 5 Abs. 1 lit. d DSGVO hat man als Verantwortlicher die Pflicht zur Richtigkeit. Nun ist aber nicht nur bei eigener Erfassung von Kundenadressen Aufmerksamkeit geboten, oftmals gibt auch der Kunde - auch mit bestem Gewissen - eine falsche E-Mail-Adresse an. Oder die eines Partners oder Familienangehörigen. Eine Nutzung einer derartigen E-Mail-Adresse kann schlimmste Datenpannen nach sich ziehen und man wäre Verursacher der Datenpanne auf Grund der Verletzung der Sorgfaltspflicht.

Insofern hat sich zur Prävention und Lösung das Double-OptIn-Verfahren bewährt: vor Nutzung der E-Mail-Adresse zum Versand personenbezogener Daten schickt man eine datenschutzrechtliche unverfängliche "Willkommens-Mail" mit der Bitte um Bestätigung des Accounts zum Erhalt der eigenen personenbezogenen Daten. Sobald vom Kunden als Antwort auf diese Adresse das OK eingeholt ist, kann die E-Mail-Adresse zur Kommunikation genutzt werden. Wenn dann noch innerhalb des Vertragsverhältnisses geregelt ist, dass der Kunde anzeigepflichtig bei Änderung seiner Kontaktdaten ist, kann eine nach aktuellem Stand der Technik gesichertes E-Mail-System problemlos verwendet werden.
Solange die E-Mail-Adresse nicht explizit vom Kunden bestätigt wurde, ist der Versand personenbezogener Daten nicht zu empfehlen.
Dass der Versand dann bei bestätigter E-Mail-Adresse idealerweise aus dem Kundenverwaltungssystem automatisiert erfolgen soll, versteht sich von selbst.
Die Verwendung von Auto-Vervollständigen-Funktion und manuelle Adresslisten sind damit tabu, auch insofern, da diese weder dokumentiert noch im Änderungszyklus bei Adressänderungen aktualisiert werden.
Zusätzlich wäre es noch eine Überlegung wert (unter Beachtung des Koppelungsverbotes) eine zusätzliche Werbeeinwilligung nach UWG formal einzuholen. Dies bedarf allerdings auch der Formulierung einer Widerrufslösung.

Selbstverständlich gibt es noch viele weitere technische Verfahren zur Absicherung des professionellen E-Mail-Verkehrs wie bspw. S/MIME und DMARC zur Inhaltsverschlüsselung und Absenderauthentifizierung. E-Mail-Server sollten auch korrekt installiert und im DNS-System angemeldet sein. Dies ist aber gesondert zur organisatorischen Sorgfaltspflicht mit der IT-Systemadministration abzuklären.

Beispiel für einen Text einer Double-OptIn-Mail (Hinweis [Klammertexte] nach Bedarf):

                        
Sehr geehrte/r Frau/Herr,


wir begrüßen Sie bei der Musterfirma GmbH und freuen uns, Sie zukünftig mit unseren Dienstleistungen betreuen zu dürfen.

Zur Erleichterung der vertrags- und unternehmensbezogenen Kommunikation [optional: Klimaschutz o.ä.] setzen wir vornehmlich auf Kommunikation per E-Mail.

Damit wir datenschutzrechtlich und aus Gründen der IT-Sicherheit einwandfrei und professionell mit Ihnen in im Rahmen unserer Dienstleistungen Kontakt treten können, bestätigen Sie uns bitte Ihre E-Mail-Adresse [max@muster.de] als technisch geeignet und nur für Sie persönlich einsehbar zum Erhalt personenbezogener Daten [nach Art. 4 Abs. 1 und Art. 9 DSGVO].

[optional je nach Technik]:
Bitte nutzen Sie also einfach die "Antworten-Funktion" Ihres E-Mail-Programmes zur Bestätigung Ihrer E-Mail-Adresse.

[optional je nach Technik]:
Zur Bestätigung Ihrer E-Mail-Adresse klicken Sie einfach auf folgenden Link:
https://meinefirma.de/email-optin

[Sollten wir innerhalb von 14 Tagen nichts von Ihnen hören, werden wir Sie nochmals erneut zur Bestätigung Ihrer E-Mail-Adresse bitten.]

[Hinweise zum Datenschutz erhalten Sie unter https://meinefirma.de/unternehmensdatenschutz]


Mit freundlichen Grüßen,
Musterfirma GmbH