GLOBALTRUST Certification ServiceQualified Certificate AuthorityComing Soon! Akkreditiert durch RTR gemäß SigG
 
Ist das Versenden von unverschlüsselten e-Mails oder Rechnungen zulässig?
DSGVO Art 32, 82, 83
Stand der Technik nach der DSGVO - End-to-End-Verschlüsselung von eMails - Hinterlegen der Rechnungen auf personalisierter Website sinnvoll - Geldstrafe und Schadenersatzklage

Viele Unternehmen versenden Rechnungen oder andere vertrauliche Informaitonen an ihre Kunden per eMail. Oft werden Dokumente oder PDF-Rechnungen als Anhang verschickt, manchmal signiert, oft jedoch auch unsigniert.

Zu Recht stellen sich datenschutzbewusste Mitarbeiter die Frage, wie dieser Versand per eMail aus datenschutzrechtlicher Sicht gesehen werden muss, insbesondere ob es einer verschlüsselten Übertragung bedarf.

Die Datenschutz-Grundverordnung (DSGVO) schreibt keine direkten technischen Maßnahmen zur Vertraulichkeit beim Versand vor. In Art 32 DSGVO wird normiert, dass bei einer Datenverarbeitung, Maßnahmen zur Gewährleistung der Sicherheit von Verarbeitungen zu treffen sind. Welche Maßnahmen zur Datensicherheit zu treffen sind, umschreibt die DSGVO mit dem Begriff "Stand der Technik", ohne diesen genauer zu definieren.

Die Verschlüsselung von eMails fällt aber jedenfalls unter den Begriff "Stand der Technik" und ist daher geboten um den Sicherheitsmaßnahmen der DSGVO nicht zuwider zu laufen. Ebenfalls offen lässt die DSGVO die Frage, welche Stärke der Verschlüsselung verwendet werden muss, um dem "Stand der Technik" zu entsprechen.

Die clientbasierte End-to-End-Verschlüsselung von eMails ermöglicht die Verschlüsselung einer eMail über den gesamten Übertragungsweg. Da der Einsatz dieser Anwendungsform bei vielen Unternehmen und Behörden noch immer nicht ausreichend stattfindet, fällt die Wahl meist auf eine Server-basierte Verschlüsselung.


Server-basierte Verschlüsselung

Fakt ist, dass alle modernen eMail-Server eine Server-Server-Verschlüsselung anbieten (sofern sie aktiviert wurde). Technisch gesehen, handeln Mailserver mit ihrem Gegenüber aus, ob dieser Verschlüsselungen akzeptiert oder nicht. Nur wenn die Gegenseite keine Verschlüsselung akzeptiert, dann wird im Klartext übertragen. Im Verkehr zwischen Benutzer und seinem Mailserver gibt es bei allen Mailprogrammen verschlüsselte und unverschlüsselte Übertragungs-Alternativen.

Weiters bieten praktisch alle Mailserver die verschlüsselte Verbindung vom Mail-Client (etwa Outlook) zum Mailserver an. Verwenden sowohl Absender, als auch Empfänger diese Verschlüsselungsoption und ist die Server-Server-Verbindung (inklusive aller Zwischen-Server) verschlüsselt, dann wird jedenfalls den Anforderungen der DSGVO entsprochen.

Fehlt in einem der Schritte die Verschlüsselung, wird die Vertraulichkeit durchbrochen und es kann eine Datenschutzverletzung gemäß DSGVO darstellen. Das hängt von der Art der Daten und der Art der Übertragungswege ab. Die Verantwortung für diese Datenschutzverletzung liegt beim Absender. Er kann diese Verantwortung nur vermeiden, wenn die Betroffenen (das muss nicht unbedingt der Empfänger sein) ausdrücklich einer unsicheren Übertragung ihrer Daten hzustimmen.

Empfehlenswert ist darüber hinaus - etwa als Anhang im eMail - einen Hinweis an den Benutzer zu geben, er möge seine eMails verschlüsselt abrufen. Gesetzlich vorgeschrieben ist der Hinweis jedoch nicht.

Dort wo der empfangende Server nicht für die Verschlüsselung konzipiert ist, sollte ...
a) auf eine Dokumenten- bzw. Rechnungszustellung per eMail verzichtet werden (hier könnte - sollte ein derartiges E-Mail in falsche Hände kommen - ein Kunde den Vorwurf der mangelnden Sicherheit der Verarbeitung gemäß Art 32 DSGVO machen) oder
b) der Empfänger darauf hingewiesen werden, dass er einen unsicheren Mailserver benutzt und von ihm die Zustimmung eingeholt werden, dass er trotzdem die Mailzustellung wünscht oder
c) es erfolgt eine End-zu-End-Verschlüsselung (dazu muss der Empfänger einen Public-Key zur Verfügung stellen).

Mittelfristig ist es ratsam für Unternehmen mit regelmäßigem Dokumentenaustausch, auf Mailzustellung zu verzichten und Dokumente oder Rechnungen auf einer personalisierten Website zu hinterlegen.


Strafrahmen bei Verletzung der Sicherheit

Die Missachtung der Verpflichtung zu Maßnahmen der Sicherheit von Verarbeitungen wird mit bis zu EUR 10 Mio. oder 2% des letztjährigen weltweiten Jahresumsatzes durch die Aufsichtsbehörde bestraft (Art 83 Abs 4 DSGVO). Daneben können Betroffene für materiellen und immateriellen Schaden eine Schadenersatzklage beim Zivilgericht einbringen (Art 82 DSGVO).

mehr --> Ausbildungsreihe "betrieblicher Datenschutzbeauftragter"
mehr --> Verletzen individualisierte Newsletter die Privatsphäre?
mehr --> Wer darf im Namen eines Unternehmens Rechnungen signieren?
mehr --> Dürfen Mitarbeiter auf Rechnungen genannt werden?
mehr --> Welche Konsequenz hat es, wenn E-Mails so verschickt werden, d...
mehr --> Rechtsfragen zur elektronischen Rechnungslegung (E-Rechnung)
mehr --> http://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf

Die angezeigten Informationen sind ausschliesslich zur persönlichen Nutzung im Rahmen der Zertifizierungsdienste bestimmt. Beachten Sie die gültige Certificate Policy. GLOBALTRUST® ist die EU-weit registrierte Marke zur Erbringung von Zertifizierungsdiensten. Die angebotenen Zertifizierungsdienste werden gemäß Signaturgesetz betrieben. Die Verwendung der GLOBALTRUST® Logos ist nur Inhabern von gültigen GLOBALTRUST® Zertifikaten oder nach ausdrücklicher schriftlicher Genehmigung gestattet. Irrtum vorbehalten.

GLOBALTRUST® / A-CERT 2002-2018powered by e-commerce monitoring gmbh  impressum/DSGVO  agb  webmaster
E131, fiskaltrust, RKS-CARD, Registrierkassensicherheitsverordnung, RKSV, Identitymanagement, E-Identity, Privacy, Informationsrecht, Datensicherheit, elektronische Signatur, digitale Signatur, Österreich, Austria, Wien, Vienna, Internet, Telekommunikation, Zertifizierung, Zertifizierungsdienst, Certified, Trust, Certification Authority, CA, Cloud Computing, e-government, e-commerce, Identität, phishingdata protection, privacy, data security, data safety, Inhouse, data protection officer, Austria, Vienna, internet, telecommunication, personal data, data retention, privacy protection, privacy protect