Passend zur Panik-Attacke, die im letzten Sommer die Gemüter bewegte und in deren Zuge versucht worden ist, eine Vielzahl letztlich unnötiger sogenannter „Einwilligungen“ in die simple Speicherung vertragsnotwendiger Daten einzuholen, sprießen immer wieder aufs Neue die krudesten Auswüchse dieses (an sich ebenso begrüßenswerten wie komfortablen) rechtlichen Instruments aus dem nahrhaften Boden des Ideenreichtums.
E-Mail-Sicherheit zum Abhaken
Offenbar getrieben von dem durchdringenden Interesse, „irgendwas zu machen“ scheint es vielerorts nur mehr darum zu gehen, den vielen Kunden, Internetnutzern oder einfach sonstigen E-Mail-Adressaten, mit denen man geschäftlich in Kontakt tritt, ein Alibi-artiges Einverständnis zur Datenverarbeitung abzuringen – Hauptsache, es wird irgendwo ein Häkchen gesetzt.
Wie sonst ist es wohl zu erklären, dass gleich mehrere unserer Kunden in relativer zeitlicher Nähe, aber ansonsten gänzlich unabhängig voneinander auf die Idee gekommen sind, sich eine Einwilligung zum Versand unverschlüsselter E-Mails geben zu lassen? Mit diesem Wunsch sind wir entsprechend konfrontiert worden.
Erstmal ausholen …
Also, wie war das noch gleich? E-Mails werden mittlerweile (mehr oder weniger) standardmäßig verschlüsselt versendet. Ohne allzu tief in die historischen Entwicklungen des Mediums E-Mail und seiner technischen Errungenschaften eintauchen zu wollen, hat sich (zusammenfassend) aus Gründen der Praktikabilität die sogenannte Transportverschlüsselung durchgesetzt – wie gesagt mehr oder weniger. Das Ganze firmiert unter dem Kürzel TLS (vormals SSL) in der Version 1.2 bzw. zukünftig 1.3 und grenzt sich von der – datenschutzseitig äußerst vorzugswürdigen – Ende-zu-Ende-Verschlüsselung (z.B. in Form von PGP) ab.
Auch ohne hier wiederum mehr als nötig in den Untiefen der Datensicherheit zu graben, liegt der große praktische Nutzen beim TLS-Verfahren darin, dass die beteiligten Mail-Server den Nachrichtenversand inkl. Auswahl der geeigneten Transportmethode selbstständig untereinander aushandeln. Also ohne, dass man selbst etwas dazutun muss – oh, du feine Welt der Technik.
… und dann mit Anlauf gegen die Wand!
Nun ist es aber denkbar, dass je nach eingesetztem technischem Modus und vorhandenem Fachwissen der verantwortlichen Administratoren der Empfänger-Server die favorisierte Art der Verschlüsselung nicht unterstützt. In diesem Fall kann es dazu kommen, dass der Absender-Server automatisch auf ein niedrigeres Sicherheitsniveau umschaltet, damit die Nachricht überhaupt gesendet werden kann; das kann im Zweifel bedeuten, dass die Nachricht gänzlich unverschlüsselt verschickt wird.
Und an diesem Punkt – damit sei der schwungvollen Vorrede auch genug – kommt nun unsere Kundenanfrage ins Spiel. Für exakt diesen Sachverhalt war gewünscht, eine Einwilligung zu formulieren, die dem kommunikationswilligen Geschäftspartner vorgesetzt werden könne, damit dieser dort brav sein liebes Häkchen setzt, und der Mailversand weiterhin im technischen Mittelalter stattfinden kann.
Die Moral von der Geschicht‘
Probleme gibt es nun zweierlei: Erstens wird dem Geschäftspartner vorgegaukelt, eine Wahl zu haben, die faktisch nicht gegeben ist – denn was sollte derjenige sonst tun außer brav nicken und das Drama in Kauf nehmen … eine Brieftaube schicken? Wohl kaum. Also hapert es schon mal an der Freiwilligkeit. Und zweitens soll hier ein rechtlicher Auffangbehälter für mangelnde Datensicherheit konstruiert werden, mit dem sich das Unternehmen reinzuwaschen glaubt. Auch das wird so nicht funktionieren; schon allein, weil hier primär der Geschäftspartner am Zug ist, einen sauberen Umgang mit E-Mails zu schaffen.
Stattdessen – und das war und ist zugleich unsere Empfehlung für diese Fälle – sollte man seine eigenen Mailserver so konfigurieren, dass standardmäßig (und obligatorisch) die aktuelle TLS-Verschlüsselung genutzt wird. Das ist unterm Strich a) wenig aufwändig, b) aktueller Stand der Technik und damit c) ein simpler Weg zu ‚Privacy by default‘. Darüber hinaus ist es sicherlich sinnvoll, den Geschäftspartner freundlich darauf hinzuweisen, dass er doch gut daran täte, seinen Mailserver nach dem Stand der Technik zu konfigurieren.
M.Tessendorf
5. September 2019 @ 14:33
Leider geht der Autor am eigendlichen Problem vorbei. Bei der Email Verschlüsselung in der täglichen Praxis kommt es zu der Situation, das der Verantwortliche (Unternehmen, Krankenhaus, Dienstleister,…) sich seiner Verantwortung bewust ist und den „normalen“ Empfänger Emails verschlüsselt zukommen lassen will, der Empfänger aber nicht über die entsprechenden Mechanismen verfügt. Also kein PGP, s/mime Zertifikat besitzt, das wäre eine Voraussetzung zur Verschlüsselung. Die beschriebene Transportverschlüsselung erfüllt zwar technisch den Zeck ist aber für den Absender und Empfänger intransparent. Was bleibt also übrig? die Zustimmung des Betroffenen ist ja – nach Ihrer und der Meinung verschiedener Aufsichtbehörden – nicht möglich. Also Postweg!
F.Leicht
9. September 2019 @ 14:24
Herr Tessendorf hat Recht. Bis sich Verschlüsselungszertifikate bei Privatpersonen durchsetzen wird wohl noch einige Zeit vergehen.
Auch Herr Kranig vom BayLDA ging auf einer Veranstaltung davon aus, dass, bezogen auf die Beantwortung von Auskunftsersuchen, meist nur der Postweg übrig bleibt, da die meisten betroffenen Personen keine verschlüsselten Mails öffnen können.
Auch geht das BayLDA (anders als die österreichische Behörde) davon aus, dass bei hinreichender Transparenz über die Gefahren des unverschlüsselten E-Mail-Versandes, eine Einwilligung in diesen möglich ist. Die Alternative ist der Versand per Post, weshalb die Einwilligung freiwillig wäre.