In 3 Schritten zu mehr E-Mail-Sicherheit

3 min.

Will man heutzutage kurze Mitteilungen versenden, ist die SMS obsolet; für längere und wichtige Nachrichten in vielen Bereichen ebenso der Brief. Viel praktischer ist es doch auch solche Mitteilungen per E-Mail zu verschicken. Neben der Schnelligkeit überzeugen die Möglichkeiten der digitalen Weiterverarbeitung. Doch Vorsicht – neben diesen elementaren Vorteilen müssen drei Schritte beachtet werden, um die Sicherheit von Ihren E-Mails zu schützen.

Zielgruppe – Wer sollte die Sicherheit von E-Mails besonders schützen?

Grundsätzlich sollten wir alle ein besonderes Bewusstsein für den Schutz unserer E-Mail-Kommunikation entwickeln – gerade wenn wir wichtige Dokumente, persönliche Daten oder private Fotos per Mail verschicken.

Aber besonders Berufsgruppen, die speziellen Verschwiegenheitsverpflichtungen unterliegen, müssen höhere Sicherheitsanforderungen an den Schutz Ihrer E-Mails erfüllen. Marit Hansen, die Leiterin des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD), nennt Beispiele:

„Die Schweigepflicht verbietet es, zum persönlichen Lebensbereich gehörende Geheimnisse anderer Personen zu offenbaren. Dies gilt beispielsweise für Ärztinnen und Ärzte, für Beraterinnen und Berater im psychologischen oder sozialen Bereich, für Anwältinnen und Anwälte und allgemein für Amtsträger im öffentlichen Dienst. Sie dürfen keine fremden Geheimnisse offenbaren, die ihnen in ihrer beruflichen Eigenschaft anvertraut oder sonst bekannt werden. Daher bitte keine E-Mails mit einem Betreff wie‚ Ermittlungsverfahren gegen Mia Mustersen‘ oder ‚Psychiatrisches Gutachten über Max Mustersdotter‘ versenden!“

Schritt 1: E-Mail-Verschlüsselung 

Die Möglichkeit, E-Mails sicher vor unbeabsichtigten Dritten durch Verschlüsselung zu schützen, ist nicht neu. Hinsichtlich der Übertragung stellt es den zentralen Ansatzpunkt für die Sicherheit und den Schutz von E-Mails dar. Mittlerweile existiert eine Vielzahl von brauchbaren Anleitungen, um mit den gängigen E-Mail-Programmen (wie beispielsweise Apple Mail, Outlook oder Thunderbird) E-Mail-Verschlüsselung zu betreiben. Einmal eingerichtet brauchen Sie sich keine Gedanken mehr über eine sichere Übertragung Ihrer E-Mails bereiten. Aber Vorsicht: Der Betreff der E-Mail und die Informationen über Empfänger und Sender sind dadurch trotzdem noch sichtbar. Sie verschlüsseln lediglich den Inhalt.

Schritt 2: Schicken Sie Ihre E-Mail an den richtigen Empfänger

Jeder dürfte die Situation kennen: Nachdem die E-Mail verfasst wurde, soll nun der gewünschte Empfänger ausgewählt werden. Die meisten E-Mail-Clients bieten hierfür eine automatische Vervollständigung. Nach den ersten Buchstaben werden mögliche Kontakte aus dem Adressbuch vorgeschlagen. Die Gefahr sich an dieser Stelle zu „verklicken“ ist hoch; insbesondere wenn es sich um verschiedene Personen mit dem gleichen Vor- oder Nachnamen handelt. Vermeiden Sie dies durch das zusätzliche einblenden der dazugehörigen E-Mail-Adresse und der Organisation Ihrer Kontakte.  Marit Hansen dazu:

„Wer mit sensiblen Daten hantiert, muss besondere Sorgfalt walten lassen. Ein Flugzeug darf auch erst starten, wenn sich die Piloten davon überzeugt haben, dass alles richtig konfiguriert ist. Die Beschäftigten müssen daher geschult werden, wie sie erkennen können, dass alles korrekt ist, und wo mögliche Fehlerquellen lauern. In diesem Zusammenhang sollte auch die Nutzerführung der E-Mail-Software oder die Adressbuch-Funktionalität überprüft werden: Wenn leicht Fehler bei der Empfängerauswahl geschehen können, müssen Systemadministration oder Dienstleister beauftragt werden, um die Konfiguration zu ändern. Lieber die E-Mail-Adresse vollständig neu eintippen, als schützenswerte Daten an falsche Adressaten zu senden.“

Was tun, wenn eine E-Mail an den falschen Empfänger geschickt wurde?

Gerät eine E-Mail trotz sorgfältiger Beachtung dieser Hinweise an die falsche Adresse, zahlt sich an dieser Stelle die Benutzung der E-Mail-Verschlüsselung aus, denn der Fehladressat kann den Inhalt der Mail nicht entschlüsseln, sondern lediglich Betreff und die Kommunikationsabsicht feststellen. Aber auch dies kann schon eine Verletzung der Schweigepflicht bedeuten, wenn sich daraus Rückschlüsse über die betroffene Person ergeben. Rechtlich ist dabei noch zu beachten, dass es um einen meldepflichtigen Verstoß gegen das Datenschutzrecht handelt, wenn sensible Daten über eine Person in falsche Hände geraten und damit schwerwiegende Beeinträchtigen für deren Rechte oder schutzwürdige Interessen drohen (vgl. § 42a Bundesdatenschutzgesetz).

Schritt 3: Unterscheiden Sie sorgsam die Felder „CC“ und „BCC“

Leider werden in der alltäglichen Praxis die E-Mail-Funktionen „CC“ und „BCC“ nicht sauber voneinander getrennt und aus datenschutzrechtlicher Sicht fehlerhaft verwendet.

CC steht für „carbon copy“ und bedeutet, dass jeder Empfänger die E-Mailadressen aller weiteren Empfänger sehen und für eigene Zwecke verwenden kann.

BCC steht für „blind carbon copy“ und ist von der Funktionsweise identisch mit CC, es werden jedoch beim Empfänger keine E-Mailadressen außer der eigenen angezeigt.

Immer dann, wenn Sie verschiedene E-Mail-Empfänger anschreiben, die der öffentlichen Nutzung Ihrer Adressen nicht zugestimmt haben (was der Regelfall sein wird), wäre es ein klarer Verstoß gegen das Bundesdatenschutzgesetz, wenn Sie diese Adressen über die Funktion „CC“ zusammen anschreiben und damit die E-Mail-Adressen ohne Zustimmung der jeweiligen Person verbreiten.

Deshalb sollten Sie diese beiden Funktionen auch entsprechend benutzen und den Schutz der Privatsphäre Ihrer Kontakte beachten, indem Sie im Zweifel die „BCC“-Funktion nutzen und dadurch fremde E-Mail-Adresse ausblenden.

Fazit

  1. Verschlüsseln Sie Ihre E-Mails.
  2. Passen Sie Adressbuch entsprechend so an, dass die Gefahr der automatischen Auswahl eines falschen Empfängers reduziert wird und prüfen Sie diesen vor dem Abschicken nochmals sorgfältig.
  3. Unterscheiden Sie bewusst die Funktionen „CC“ und „BCC“ – entscheiden Sie sich im Zweifel für „BCC“ und schützen Sie damit die Privatsphäre Ihrer Kontakte.

Ich bin auf Ihre Erfahrungen zum Thema „E-Mail-Sicherheit“ gespannt – hinterlassen Sie einfach einen Kommentar!

__

Bild (CCO Public Domain)

__

Über den Autor

Mein Name ist Julius S. Schoor. Ich bin Rechtsanwalt und spezialisiert auf IT-Vertragsrecht. Seit 2011 bin ich als Datenschutzbeauftragter TÜV-zertifiziert und bereits für mehrere Unternehmen als solcher offiziell bestellt.

Kommentieren Sie diesen Beitrag!

Die Daten werden nur dafür verarbeitet, die Kommentarfunktion des Blogs zu ermöglichen.
Soweit Sie mir eine persönliche Nachricht schreiben wollen, nutzen Sie bitte die Seite Kontakt.
Im Übrigen gelten meine Datenschutzhinweise.