Auf dieser Seite geben wir einen Überblick über die geforderten Maßnahmen der Datenschutz-Behörden zur E-Mail-Sicherheit und beantworten die wichtigsten Fragen.
Orientierungshilfe der Aufsichtsbehörden
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat im März 2020 erstmals Empfehlungen für die Sicherheit bei der E-Mail-Kommunikation im Rahmen einer Orientierungshilfe veröffentlicht. Einzig Bayern hat der Orientierungshilfe nicht zugestimmt. Im Juni 2021 wurde die Orientierungshilfe aktualisiert. Dabei wurden jedoch keine wesentlichen Änderungen vorgenommen.
Die ursprüngliche Orientierungshilfe (März 2020) der DSK ist abrufbar unter:
Die aktualisierte Orientierungshilfe (Juni 2021) der DSK ist abrufbar unter:
Welche Maßnahmen werden konkret gefordert?
Die geforderten Maßnahmen haben wir in übersichtlicher Form in einer Tabelle aufbereitet:
| SMTP mit TLS (TLS 1.2 oder 1.3)1 | DKIM | Ende-zu-Ende-Verschlüsselung (E2E)2 | Signaturprüfung2 | Obligatorische Transportverschlüsselung3 | Qualifizierte Transportverschlüsselung4 | |
| Empfang, normales Risiko | ja, für STARTTLS auf dem eigenen Mail-Server | ja, bei eingehenden Mails prüfen | ||||
| Empfang, hohes Risiko | ja, im Rahmen der qualifizierten Transportverschlüsselung | ja, im besten Fall öffentlichen Schlüssel bereitstellen | ja | ja | ||
| Versand, normales Risiko | ja, im Rahmen der obligatorischen Transportverschlüsselung | ja | ||||
| Versand, hohes Risiko | ja, im Rahmen der qualifizierten Transportverschlüsselung | ja | ja |
Anmerkungen:
1 Zu SMTP mit TLS: Beim Empfang muss mindestens eine opportunistische Verschlüsselung mittels STARTTLS möglich sein. Das strikte Ablehnen unverschlüsselter Verbindungen beim Empfang ist denkbar, aber nicht verpflichtend. Grundsätzlich müssen alle ein- und ausgehenden verschlüsselten Verbindungen mit sicheren Algorithmen aufgebaut werden, die das BSI freigegeben hat (TR 02102-2).
2 Zur E2E-Verschlüsselung und Signaturprüfung: Denkbar sind die Verfahren PGP und/oder S/MIME. Die Signaturprüfung bezieht sich auf eingehende E-Mails.
3 Zur obligatorischen Transportverschlüsselung: Bei hohem Risiko fordert die Orientierungshilfe, dass eine ausgehende Mail nur mit zwingender Transportverschlüsselung übermittelt werden darf. Zu beachten ist, dass noch nicht alle Mail-Server Transportverschlüsselung unterstützen und E-Mails unter Umständen nicht übermittelt werden können.
4 Zur qualifizierten Transportverschlüsselung: Umfasst TLS 1.2 oder 1.3 mit sicheren Algorithmen, PFS und DANE (und damit auch DNSSEC). MTA-STS ist alternativ auch denkbar, hat allerdings im Vergleich zu DANE einige Schwächen.
Wir weisen darauf hin, dass in unseren Augen nicht alle geforderten Maßnahmen realistisch umsetzbar sind und es darüber hinaus weitere sinnvolle Maßnahmen gibt. Mehr dazu unter Verbesserungsvorschläge und weitere Maßnahmen.
Was bedeutet „Risiko“ im Kontext der Orientierungshilfe?
Die Orientierungshilfe unterscheidet im Wesentlichen bei den geforderten Maßnahmen zwischen „normalem“ und „hohem“ Risiko. Verantwortliche Stellen können sich grob daran orientieren, wie sensibel die übertragenen Inhalte in den E-Mails sind.
Das bedeutet beispielsweise: Wer als Versanddienstleister E-Mails zum Status von Paketen verschickt, dürfte sich meist am normalen Risiko orientieren können. Wer hingegen als Laborbetrieb medizinische Befunde per E-Mail versendet, müsste meist die Maßnahmen für das hohe Risiko umsetzen.
Letztendlich ist die Risikoeinstufung eine Abwägungssache.
Die Orientierungshilfe verweist zur Einstufung des Risikos auf das Kurzpapier Nr. 18 der DSK, abrufbar unter:
An wen richten sich die Maßnahmen?
Die Maßnahmen richten sich grundsätzlich an verantwortliche Stellen im Sinne der DS-GVO, die personenbezogene Daten bei der E-Mail-Kommunikation verarbeiten (also z.B. Unternehmen, Selbstständige und Vereine). Davon ausgenommen ist der Empfang und Versand von E-Mails zu privaten Zwecken.
Konkret umfasst das beispielsweise Unternehmen oder Organisationen jeglicher Art, die mit ihren Kunden per E-Mail kommunizieren, oder Arztpraxen, bei denen Patienten Rezepte per E-Mail bestellen können.
Ist die Umsetzung der geforderten Maßnahmen verpflichtend?
Eine direkte rechtliche Verpflichtung zur Umsetzung der geforderten Maßnahmen lässt sich aus der Orientierungshilfe nicht ableiten. Aber: Verantwortliche Stellen im Sinne der DS-GVO sind für die Sicherheit bei der Verarbeitung personenbezogener Daten nach dem „Stand der Technik“ zuständig.
Auch wenn die geforderten Maßnahmen in der Orientierungshilfe als Empfehlungen zu verstehen sind, stellen sie trotzdem ein gutes Schutzniveau dar. Gleichzeitig spiegeln sie die Sichtweise fast aller Behören wider und sollten insofern als guter Wegweiser verstanden werden.
Wir weisen nochmals darauf hin, dass in unseren Augen nicht alle geforderten Maßnahmen realistisch umsetzbar sind und es darüber hinaus weitere sinnvolle Maßnahmen gibt. Mehr dazu unter Verbesserungsvorschläge und weitere Maßnahmen.
Wir sind als verantwortliche Stelle Kunde eines E-Mail-Dienstleisters, der für uns den Mail-Server betreibt. Was können wir tun, um die Maßnahmen umzusetzen?
Als Kunde eines E-Mail-Dienstleisters (z.B. Webhosting-Provider) sind Sie darauf angewiesen, dass der Dienstleister die geforderten Maßnahmen (durch entsprechende Serverkonfigurationen) umsetzt. Sie selbst können in der Regel keine Änderungen an der Serverkonfiguration vornehmen. Davon ausgenommen ist die Bereitstellung öffentlicher Schlüssel für die E2E-Verschlüsselung und eine Signaturprüfung eingehender E-Mails.
Grundsätzlich sind Sie als verantwortliche Stelle selbst für die Auswahl eines geeigneten E-Mail-Dienstleisters zuständig. Sie können sich nicht darauf berufen, dass die Absicherung der E-Mail-Kommunikation allein im Aufgabenbereich Ihres Dienstleisters liegt. Auch ein abgeschlossener Auftragsverarbeitungsvertrag (AVV) entbindet Sie nicht von der Pflicht, einen geeigneten Dienstleister auszuwählen, der Ihnen hinreichende Garantien für die E-Mail-Sicherheit bietet.
Wir möchten an dieser Stelle keine Empfehlungen für bestimmte E-Mail-Dienstleister aussprechen. Wie verweisen auf die in unseren Publikationen veröffentlichten Tests und auf den Bereich Aktuelles auf dieser Website.
Wie können wir die Umsetzung der Maßnahmen für unseren Mail-Server testen?
Siehe „Selber testen“ und „Weitere Tests“ bei Tests.
Sind die geforderten Maßnahmen alle realistisch umsetzbar?
Unserer Meinung nach sind nicht alle Maßnahmen praxisnah umsetzbar. Siehe Verbesserungsvorschläge.
Gibt es weitere sinnvolle Maßnahmen zur Erhöhung der Sicherheit bei der E-Mail-Kommunikation?
Ja! Siehe weitere Maßnahmen.