EU-DSGVO: E-Mail-Verschlüsselung ist Pflicht
Sichere Kommunikation als Wettbewerbsvorteil
Am 25. Mai ist es soweit: Dann endet die zweijährige Übergangsfrist für die Umsetzung der Europäischen Datenschutz-Grundverordnung (EU-DSGVO). Trotz des nahen Stichtages ist vielen Verantwortlichen immer noch nicht ganz klar, welche Veränderungen tatsächlich auf sie zukommen. Sie fragen sich, ob die Verschlüsselung bei E-Mails mit personenbezogenen Daten ab Mai zur Pflicht wird. Verschlüsselungsexperte SEPPmail beobachtet bereits vor dem Stichtag in bestimmten Branchen einen deutlichen Trend hin zu verschlüsselter Kommunikation – und das bereits ab dem Erstkontakt.
Die Verunsicherung vieler Verantwortlicher beim Thema E-Mail-Verschlüsselung ist nachvollziehbar. Denn die EU-DSGVO fordert in Art. 32 Abs. 1, dass personenbezogene Daten „unter Berücksichtigung des Stands der Technik“ und der „Schwere des Risikos“ für die Betroffenen zu schützen seien. Da diese Formulierung Spielraum für Interpretationen lässt, wirft sie bei vielen Verantwortlichen Fragen auf. Es lohnt sich also ein genauer Blick in den Gesetzestext: „Die EU-DSGVO fordert in Art. 32 auch ganz konkret die Pseudonymisierung und Verschlüsselung personenbezogener Daten“, sagt Günter Esch, Geschäftsführer der SEPPmail Deutschland GmbH. „Aus unserer Sicht ist an dieser Stelle kein Raum für Interpretationen. Vielmehr lässt sich daraus sogar eine Verschlüsselungspflicht auch und gerade beim E-Mail-Versand ableiten. Denn hier verlassen personenbezogene Daten die Organisation. Entsprechend beobachten wir seit einiger Zeit gerade in Branchen wie Gesundheit, Recht und Finanzen einen Trend hin zu sicherer Kommunikation.“
Verantwortliche in allen Organisationen stehen laut EU-DSGVO also vor der Herausforderung, nach dem Stand der Technik und der Schwere des Risikos einer Datenschutzverletzung geeignete Maßnahmen zu evaluieren und zu ergreifen. Das macht für Unternehmen eine benutzerfreundliche Lösung besonders wichtig – vor allem wenn der Partner selbst noch keine Verschlüsselungslösung einsetzt. SEPPmail hat dazu ein Gateway und die Verschlüsselungsmethode GINA entwickelt. GINA nutzt HTML-Container, um die Nachrichten verschlüsselt an den Empfänger auszuliefern. Diese Methode erfordert beim Empfänger keine zusätzlichen Softwareinstallationen. Er benötigt lediglich Standardkomponenten wie einen Mailclient, einen Internetzugang und einen Browser, um verschlüsselte Mails auf einem beliebigen Endgerät zu empfangen und zu lesen. Nutzt er keine eigene Verschlüsselung, kann er über den Gateway bequem verschlüsselt antworten. Der Nachrichtenversand erfolgt extrem ressourcenschonend, da die verschlüsselte Mail nicht vorgehalten, sondern samt Anhang ausgeliefert wird. Lediglich bei großen Anhängen (Large File Transfer – LFT) wird die Nachricht samt Anhang für einen gewissen Zeitraum zwischengespeichert.
„Dieses Thema wird in vielen Unternehmen immer wichtiger“, sagt Stephan Heimel, Sales Director der SEPPmail Deutschland GmbH. „In allen Branchen, in denen Vertrauen eine zentrale Rolle spielt oder in denen der wirtschaftliche Erfolg eines Unternehmens von seinem technologischen Vorsprung abhängt, beobachten wir eine zunehmende Sensibilisierung für das Thema. Der Sicherheitsgedanke überträgt sich sogar auf die gesamte Wertschöpfungskette. So erhalte ich immer häufiger Anfragen von Firmen, die von ihren Partnern einen verschlüsselten E-Mail-Versand verlangen. Das geht soweit, dass bei der Auftragsvergabe Unternehmen, die verschlüsselt kommunizieren, den Vorzug erhalten.“