mike-m
Goto Top

Verschlüsselung bei E-Mails

Hallo,

ich hoffe es kann mir jemand sagen, ob und wann es eine gesetzliche Regelung gibt, die mir vorschreibt ob eine Unternehmens-Mail verschlüsselt werden muss. Anderst herum gefragt, gibt es Situationen die mir vorschreiben (vom Gesetzgeber aus) eine Mail zu verschlüsseln.

Es geht mir jetzt nicht darum, daß es besser ist und sicherer, sondern nur der rein rechtliche Aspekt.

Das ist derzeit ein Thema bei uns in der Firma. Beim Googeln habe ich leider nichts gefunden.


Mike

Content-ID: 154961

Url: https://administrator.de/contentid/154961

Ausgedruckt am: 22.11.2024 um 08:11 Uhr

jhinrichs
jhinrichs 12.11.2010 um 11:38:56 Uhr
Goto Top
Moin,
um sicherzugehen: Rechtsabteilung/Anwalt fragen.
Mein Kenntnisstand (ohne Gewähr): Alleine die Tatsache, dass es sich um eine Unternehmensmail handelt, erfordert keine Verschlüsselung. Rechnungen erfordern allerdings, damit sie vom Empfänger steuerlich geltend gemacht werden können, eine Signatur (wobei man, wie es jemand mal so schön formuliert hat, der ausgedruckten PDF-Rechnung nicht ansieht, ob sie einmal einen Briefumschlag von innen gesehen hat....).
Was mit sensiblen Daten ist, hängt dann vom konkreten Einzelfall ab.
Grüße
Mike-M
Mike-M 12.11.2010 um 11:45:58 Uhr
Goto Top
Hi jhinrichs,

danke für die schnelle Antwort. Wenn ich dich richtig verstehe, gibt es derzeit keine klare Regelung.

Mike
Jochem
Jochem 12.11.2010 um 11:56:01 Uhr
Goto Top
Moin,
nach meine Meinung tut sich solange in dem Bereich der Verschlüsselung von E-Mails nichts, bis eine abschließende Entscheidung über den Einsatz eines einheitlichen, elektronischen Signaturverfahrens getroffen worden ist. Soweit mir bekannt ist, ist diese Entscheidung aber noch nicht getroffen worden.

Seit mehreren Jahren sind wohl die Rechenzentren der Region dabei, eine sog. PKI (Public Key Infrastructure) ans Laufen zu bekommen. Da wir aber immer noch mehrere Trust-Center (die Stellen, die Zertifikate zur digitalen Signierung ausstellen) haben, die unterschiedlich gestaltete Zertifikate ausgeben und diese wiederum nicht von allern Trust-Centern gegenseitig anerkannt werden, besteht offensichtlich noch Handlungsbedarf.

Gruß J face-smile chem
wiesi200
wiesi200 12.11.2010 um 14:34:04 Uhr
Goto Top
Ehrlich gesagt würde ich auch nicht unbedingt einen Grund sehen warum Unternehmens-Mails verschlüsselt werden müssten. Gut das man sehen kann woher eine Rechnung kommt ist was anderes aber das hat nicht mit verschlüsselung zu tun.
Auserdem hab ich vor kurzem gelesen das sogar das mit der Digitalen Signatur fallen sollen.
maretz
maretz 12.11.2010 um 16:24:09 Uhr
Goto Top
Ich sag mal so: Eher ist es umgekehrt. Denn du bist ggf. verpflichtet deine Emails über 10 (?) Jahre so aufzubewahren das die jederzeit auch vom Finanzamt geprüft werden können (z.B. dann wenn du die Rechnungen per Mail versendest).

Wenn du die Mails jetzt verschlüsselst und in 5 Jahren bei ner Prüfung feststellst: Ups, ich hab den Schlüssel ja gar nicht mehr dann kann das schon gewaltig Ärger geben...
Weiterhin darf der Gesetzgeber dir nicht vorschreiben die Mails zu verschlüsseln - wer sagt denn das der Empfänger die dann entschlüsseln könnte. Es könnte jedoch natürlich Fälle geben (z.B. wenn nen Arzt Patientendaten versendet) bei denen du dann die Daten gar nicht per (öffentlich lesbarer) Mail versenden darfst. DAS kann dir aber dann eben der RA sicher genauer erklären... Es bleibt aber mit Sicherheit auch in dem Fall dir überlassen die Daten in anderer Form zu versenden (z.B. auf ner CD in nem Umschlag...).
Mike-M
Mike-M 12.11.2010 um 16:49:34 Uhr
Goto Top
Hi wesi200,

ich sehe das gerade anderst. Ich wundere mich eigentlich warum da nicht schon eine Regelung getroffen wurde. Jeder weiss wie leicht der Absender einer Mail getürkt werden kann. Gerade bei Geschäft-Mails ist es wichtig den Inhalt und die Person zu schützen. Also sollte sichergestellt werden wer die Mail verschickt und daß der Inhalt zum Aussteller passt.

Mike
wiesi200
wiesi200 12.11.2010 um 17:58:22 Uhr
Goto Top
Zitat von @Mike-M:
Hi wesi200,

ich sehe das gerade anderst. Ich wundere mich eigentlich warum da nicht schon eine Regelung getroffen wurde. Jeder weiss wie
leicht der Absender einer Mail getürkt werden kann. Gerade bei Geschäft-Mails ist es wichtig den Inhalt und die Person
zu schützen. Also sollte sichergestellt werden wer die Mail verschickt und daß der Inhalt zum Aussteller passt.

Mike

Ich würd mal sagen es ist eher dein Problem wenn du vertrauliche Daten über ein unsicheres Medium versendest, du hast ja andere Möglichkeiten und es ist nicht alles an Korespondenz vertraulich.
uupb10
uupb10 19.11.2010 um 09:06:07 Uhr
Goto Top
Hallo Mike,

im Thread sind ja schon einige Themen aufgekommen. Ich will mal Rechnungen und Signatur und Archivierung ganz raus halten, denn das macht es nur komplizierter bzw. ist ein anderes Thema (Rechnungen).

Es gibt meines Wissen kein Gesetzt, in dem steht, ein Unternehmen muss verschlüsseln, denn so präzise sind Gesetze nie und es wäre technisch aber auch nicht machbar. ABER es gibt Gesetze zum Thema Datenschutz und die können schon sehr klar am Ende eine Pflicht zur Verschlüsselung bedeuten, nämlich z.B. dann wenn personen bezogene Daten übermittelt werden. Ich weiß nicht, was Ihr für ein Unternehmen seid, aber z.B. eine Krankenkasse die Patientendaten an einen Partner per Mail übermittelt, ein Energieversorger der Kundendaten zwecks Abrechnung weiterleitet, wären Fälle, die laut BDSG verschlüsseln müßten.

Oft zitiert wird hier die Anlage zum BDSG §9 Satz 1: "Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren."

In der Praxis sind die Grundlagen für Verschlüsselung allerdings noch recht wenig gegeben. Das Standard-Verfahren S/MIME setzt voraus, das der Empfänger einer verschlüsselten Mail einen öffentlichen Schlüssel bereitstellt. Ebenso muss man selbst seinen öffentlichen Schlüsel bekannt machen, um verschlüsselte S/MIME Mails zu empfangen. Am einfachsten realisiert man dies für Unternehmen durch ein Verschlüsselungs-Gateway, das die Zertifikate verewaltet und mit Regeln die Verschlüsselung mit den Partnern durschsetzt, mit denen man sicher kommunizieren will.

Es gibt dann noch Zwischenwege: z.B. könnte man PDF Dokumente Kennwort geschützt übermitteln. Das kann jede Gegenstelle öffnen und soetwas kann auch ein Gateway automatisiert sicher stellen.

Ich hoffe das hilft etwas.

MfG
Uwe Ulbrich
www.enqsig.de


Zitat von @Mike-M:
Hallo,

ich hoffe es kann mir jemand sagen, ob und wann es eine gesetzliche Regelung gibt, die mir vorschreibt ob eine Unternehmens-Mail
verschlüsselt werden muss. Anderst herum gefragt, gibt es Situationen die mir vorschreiben (vom Gesetzgeber aus) eine Mail zu
verschlüsseln.

Es geht mir jetzt nicht darum, daß es besser ist und sicherer, sondern nur der rein rechtliche Aspekt.

Das ist derzeit ein Thema bei uns in der Firma. Beim Googeln habe ich leider nichts gefunden.


Mike