•   +49 (0)89 - 45 22 094 0
  •   Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

 

2 - 4 Minuten Lesezeit

Die Datenschutz-Grundverordnung (EU-DSGVO) gilt seit dem 25. Mai in allen europäischen Ländern. Seit fast zwei Monaten ist die Übergangsfrist abgelaufen. Dennoch stehen etliche Unternehmen mit der Umsetzung noch immer am Anfang.

Was bedeutet die DSGVO konkret für Prozesse in meiner Organisation? Wie wird ausreichender Schutz von betroffenen Daten gewährleistet? Wird E-Mail-Verschlüsselung zur Pflicht?

Die vielseitigen Anforderungen überfordern: Unklarheit steht vor Umsetzung. Klar ist: Der Handlungsdruck besteht weiterhin. Rund ein Drittel der Unternehmen in Deutschland sind auch nach dem Ende der Übergangsfrist eigener Einschätzung zufolge nicht DSGVO-konform, so der Gemalto-Report Data Security Confidence Index (DSCI). 

Als führendes Kommunikationsmedium nutzen Unternehmen E-Mails: Grob fahrlässig werden höchst sensible Informationen wie Kundendaten, -anschriften oder sogar Kontodaten und vieles mehr geteilt.

Dabei ist E-Mail-Kommunikation nicht sicherer als eine simple Postkarte, wie IT-Sicherheitsexperten seit Jahren predigen. Gleichzeitig steigt die Bedeutung des Angriffsvektors E-Mail – Cyberkriminelle setzen verstärkt auf E-Mails für ihre Machenschaften.

Genau hier setzt die DSGVO an und fordert konsequent die Verschlüsselung personenbezogener Daten, um deren Schutz zu gewährleisten. Ein Blick in den Gesetzestext bringt Klarheit:

Datensicherheit gemäß Art. 32 DSGVO Abs. 1 – Sicherheit der Verarbeitung

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:  

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;  

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;  

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;  

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
 

Entlang Artikel 32 der DSGVO müssen Verantwortliche mit geeigneten technischen und organisatorischen Maßnahmen (TOM) ein "angemessenes Datenschutzniveau " bei der Verarbeitung von personenbezogenen Daten gewährleisten. Dazu kommt – gemäß Artikel 32 Abs. 1a) – die Verschlüsselung personenbezogener Daten.
Lässt sich daraus ableiten, dass eine verschlüsselte E-Mail-Kommunikation gesetzlich geregelt und für alle Unternehmen verpflichtend ist?

Die Formulierung dieses Artikels lässt Spielraum für Interpretation und einzelfallbezogene Abwägungen.

Unsere Partner und Verschlüsselungsexperte SEPPmail aus der Schweiz kommt zu folgender Einschätzung: Der Artikel 32 der DSGVO fordere ganz konkret die Pseudonymisierung und Verschlüsselung personenbezogener Daten. An dieser Stelle sollte durch Interpretation kein vermeidbares Risiko eingegangen werden

Entsprechend eindeutig ist die Empfehlung seitens SEPPmail: In jedem Fall sollten Unternehmen eine geeignete Verschlüsselungslösung etablieren. Verschlüsselte E-Mail-Kommunikation ist kurz- bis mittelfristig in Zeiten von DSGVO, BDSG und Co. unerlässlich.

 
Einen Haken setzen auf der langen Liste der DSGVO-To-Do’s – mit E-Mailverschlüsselung.
 

E-Mails verschlüsseln um
Daten nachhaltig zu schützen

E-Mail-Verschlüsselung schützt sämtliche Daten und Informationen, die tagtäglich im Unternehmen ein- und ausgehen. Damit erhöht sie die firmeninterne IT-Sicherheit.

Gar nicht nur aufgrund der DSGVO (und den drohenden Bußgeldern bei Nichteinhaltung) sollten die Verantwortlichen eine Verschlüsselungslösung für ihre Organisation in Betracht ziehen.

Viele Unternehmen setzen bei ihren Partnern bereits einen verschlüsselten E-Mail-Versand voraus und fordern diesen sogar vertraglich ein. Dies betrifft beispielsweise Geheimhaltungsvereinbarungen, die Vertragsparteien gegenseitig zur Geheimhaltung verpflichten. Hier müssen die Verantwortlichen für die Sicherheit aller vertragsrelevanten Informationen sorgen, um diese vor unberechtigtem Zugriff zu schützen.

Fazit: E-Mailverschlüsselung kommt

Auch wenn es noch Vertreter gibt, die der Meinung sind, dass der Gesetzgeber hier ausreichend Raum für Interpretationen lässt, zeigt die Argumentation, dass an verschlüsselter E-Mail-Kommunikation auf lange Sicht wohl kein Weg vorbeiführt.

Insbesondere mit Blick auf die technisch immer raffinierteren Methoden von Cyberkriminellen lohnt es, die Einführung einer umfassenden Verschlüsselungslösung anzustoßen.
Sie sichert die gesamte elektronische Kommunikation im Unternehmen. Sie schützt versendete Daten vor unberechtigten Dritten. Sie minimiert Datenschutzverstöße. Sie steht für einen Haken mehr in der langen Liste der To-Do’s rund um die DSGVO.

Mit unserem Webinar "DSGVO: Ist E-Mail-Verschlüsselung jetzt Pflicht?" von Juli 2018 haben wir Experten um ihre Einschätzung gebeten. Mit dabei: IT- und Datenschutz-Rechtsanwalt Michael Voltz aus München und Herr Günter Esch, Geschäftsführer von SEPPmail Deutschland. Jetzt die Aufzeichnung anfordern!

Dieser Artikel basiert auf einem Gastbeitrag von SEPPmail. Wir bedanken uns für die Kooperation.

Ähnliche Artikel

Dynamite-Phishing-Trojaner Emotet: Welchen Schutz bietet Proofpoint?

Bereits im Dezember 2014 sorgte der Trojaner Emotet für Aufsehen. Vier Jahre später ist er wieder da. Das Bundesamt für Sicherheit in der Informationstechnik spricht aktuell von einer „neuen Qualität der Gefährdung“ und gibt eine offizielle Warnmeldung zu Emotet heraus. Welchen Schutz bietet Proofpoint E-Mail-Security?

Wombat Security von Proofpoint "Leader" im Gartner Magic Quadrant – das fünfte Jahr in Folge

Es spricht sich rum: Menschen beeinflussen IT-Sicherheit in einem höherem Maß als Systeme und Technologien. Menschliches Verhalten im Umgang mit IT wird zum Treiber in der IT-Security-Branche. Folglich erhält die Kategorie "Security Awareness Computer-Based Training" im diesjährigen Gartner Magic Quadranten besondere Aufmerksamkeit.

DSGVO-konform Daten verschicken in Unternehmen: Enterprise File-Sharing

Spätestens seitdem Dropbox, iCloud & Co die Einfachheit und Verfügbarkeit in der Nutzung von Cloud-Speicherdiensten auf ein neues Niveau gehoben haben, stehen auch Unternehmen unter Zugzwang: Sie sind in der Pflicht, für Ihre Mitarbeiter einfache File-Sharing-Lösungen anzubieten – und gleichzeitig die EU-DSGVO anzuwenden.

Wissenswertes und regelmäßige IT-Security-Updates direkt über E-Mail erhalten?

Wir haben festgestellt, dass Abonnenten unseres Newsletters früher Bescheid wissen, besser informiert sind und rund 46,8% cooler sind.



CYQUEO Newsletter
Please wait

Lassen Sie uns gemeinsam loslegen

Wir unterstützen Sie gerne!

Servus aus München

A gscheids Haferl Kaffee
hat´s hier:

CYQUEO
Kistlerhofstraße 75
D-81379 München

Anrufen

Alle Klarheiten beseitigt?
Rufen Sie uns an! Unser Team berät Sie
qualifiziert und ehrlich zur bestmöglichen
IT-Security für Ihr Unternehmen.

+49 89 45 22 094 - 40

Wir rufen Sie zurück

Ich habe die Datenschutzerklärung gelesen und akzeptiert.