In unserem Artikel „Fehlender Vertrauensanker“ (erschienen in der c’t, Ausgabe 13, 2021) haben wir die Mail-Server der größten Webhoster Deutschlands auf die Umsetzung der Vorgaben in Bezug auf die Mail-Sicherheit geprüft. Wir haben zahlreichen, positiven Zuspruch zu unseren Tests erhalten, häufig jedoch verbunden mit der Frage, warum wir nicht die „klassischen“ Mail-Provider (GMX, Web.de, etc.) getestet haben.
Verantwortlichkeit beim Versand von E-Mails
Hierzu ist es wichtig, zu verstehen, dass sich die Vorgaben aus der Datenschutzgrundverordnung (DSGVO) an Unternehmen, Behörden, Vereine, etc. richten – und nicht an Privatpersonen. Die bekannten Mail-Provider (wie eben in Deutschland GMX, Web.de, etc.) werden überwiegend von Privatpersonen (an die sich die Vorgaben aus der DSGVO in der Regel nicht richten) genutzt. Große Organisationen betreiben ihre Mail-Infrastruktur häufig selbst. Kleinere Organisationen, KMUs, Arztpraxen, häufig auch kleinere Anwaltskanzleien, etc. lassen ihre Mail-Infrastruktur i.d.R. von Dienstleistern betreiben – häufig von den großen Webhostern, die gleichzeitig auch für das Hosting der Website der Organisation zuständig sind. Die Webhoster konfigurieren die Mail-Server dabei zentral, das heißt die Mail-Sicherheit ist bei allen Kunden gleich gut (bzw. leider eher schlecht, wie wir herausgefunden haben). Eine Arztpraxis, bspw., die Kunde eines Webhosters ist und per E-Mail sensible personenbezogene Daten austauscht (auch wenn dies aus Sicht der Datenschutzaufsichtsbehörden nicht ohne Ende-zu-Ende-Verschlüsselung zulässig ist), kann i.d.R. von einem Webhoster keine „erhöhte“ Sicherheit bei der Mail-Abwicklung einfordern. Sie müsste sich, wollte sie weiterhin ohne Ende-zu-Ende-Verschlüsselung sensible personenbezogene Daten per E-Mail übermitteln, einen Mail-Dienstleister suchen, der eine ordentliche Mail-Sicherheit bietet.
Da die Webhoster i.d.R sehr viele unterschiedliche Kunden bedienen – von der bereits erwähnten Arztpraxis bis zum mittelständischen Unternehmen -, ist es aus unserer Sicht sinnvoll, dass die Webhoster für die Absicherung des Mail-Transports nach dem Stand der Technik sorgen (siehe hierzu auch den Reiter „Maßnahmen“). Die Kunden der Webhoster müssen sich damit nicht weiter mit den technischen Details beschäftigen und profitieren automatisch von einer erhöhten Mail-Sicherheit bei der Kommunikation mit ihren Patient/innen, Kund/innen, Bürger/innen, etc.
Kommt es auf die klassischen Mail-Provider überhaupt nicht an?
Doch! Nur wenn auch die großen Mail-Provider (mit ihren vielen Privatnutzern/innen) die gleichen Sicherheitsstandards erfüllen, kann die Mail-Sicherheit auch wirklich erreicht werden (wie unter „Maßnahmen“ erklärt wird). Glücklicherweise erfüllen die bekannten, großen Mail-Provider die Vorgaben bereits größtenteils. Nun kommt es also tatsächlich nur noch darauf an, dass auch die „andere Seite“ mitspielt, und dann steht einer sicheren Mail-Kommunikation zwischen Ärzt/innen und Patient/innen, Unternehmen und Kund/innen, etc. nichts mehr im Wege!