Hallo zusammen,

ich versuche gerade herauszufinden, ob unsere E-Mail Kommunikation in der Firma datenschutzkonform ist. Im speziellen geht es um E-Mails mit personenbezogenen Daten, die verschlüsselt übertragen werden müssen. Wir haben einen externen Dienstleister, über den ALLE unsere E-Mails gehen. Er führt eine Spamfilterung, Virenanalyse und Archivierung durch. Eben dieser Dienstleister sagte mir gestern am Telefon, dass alle E-Mails TLS verschlüsselt übertragen werden.

Aber was heißt das genau? Kann er garantieren, dass der Weg komplett von uns zu ihm, dann weiter zu sagen wir mal GMX und von dort zum Adressaten komplett verschlüsselt ist? Oder will er sagen, dass es zumindest von uns zu ihm und von ihm zu GMX verschlüsselt ist? Der letzte Weg von GMX zum Adressaten kann ja wieder unverschlüsselt sein. Das wäre dann nicht mehr datenschutzkonform.

Ich bin kein Spezialist für TLS, daher wollte ich einfach mal fragen, ob wir aktuell datenschutzkonform sind oder nicht. Wenn man dem Dienstleister so zuhört, dann wären wir es. Aber ich habe Zweifel... es geht hier nicht um die Verschlüsselung der Mail an sich, das wäre zusätzlich noch möglich, aber aufwendiger. Hier gehts nur um den Transportweg. Danke für hilfreiche Antworten!

Mailkonto bei Posteo.de anlegen, Verschlüsselung des Kontos einstellen, Mails von beiden Seiten mit Nachverfolgung versenden und Status der Übertragung prüfen.

Du kannst es daran erkennen, dass der SMTP-Client (oder Connector) auf Port 465 (SMTPS) oder 587 (STARTTLS) mit dem Mailserver kommuniziert. Verbinde Dich einfach mal mit OpenSSL dahin.

https://mxtoolbox.com dort deine Domain eingeben und den Test auf Test Email Server ändern

Da wird auch geprüft ob SMTP TLS verfügbar ist.

Wichtig ist halt das der Client nicht auf reinem SMTP steht, es gibt kein Zwang TLS bei SMTP zu verwenden.

Du kannst es daran erkennen, dass der SMTP-Client (oder Connector) auf Port 465 (SMTPS) oder 587 (STARTTLS) mit dem Mailserver kommuniziert. Verbinde Dich einfach mal mit OpenSSL dahin.
Dann weißt du aber immer noch nicht, ob die Mails dann vom Provider verschlüsselt rausgehen oder nicht. Hier muß man sich dann darauf verlassen, was der sagt.
Außerdem sollte man sich im klaren sein, daß die Mails beim Provider auch unterschlüsselt vorliegen, sonst könnte man da nur sehr eingeschränkt Spam-filtern oder AV-prüfen.

Aber was heißt das genau? Kann er garantieren, dass der Weg komplett von uns zu ihm, dann weiter zu sagen wir mal GMX und von dort zum Adressaten komplett verschlüsselt ist?


Nein TLS steht für Transport Layer Security, ist also lediglich eine Transportverschlüsselung.

Das bedeutet, wenn du deinen Mail-Client so eingerichtet hast, dass du TLS für die Verbindung zum Server verwendest, und der Server kann auch TLS erfordern und Verbindungen ohne TLS abweisen, dass diese auf dem Transportweg zwischen Client und Server verschlüsselt ist.
Damit kann jemand der auf der Leitung mitschnüffelt den Inhalt nicht lesen.

Der Mailserver selbst kann das Mail aber entschlüsseln, und muss das auch machen, falls dieses Mail außerhalb des eigenen Servers weitergeleitet werden muss.

Wenn das Ziel des Mails außerhalb des eigenen Mailservers liegt, also praktisch immer wenn das hinter dem @ nicht der eigenen Absenderadresse entspricht, wird dieses von Mailserver zu Mailserver weitergereicht bis der Zielserver erreicht ist. Dies können theoretisch auch mehrere Hops sein.

Die Mailserver untereinander können mit TLS kommunizieren, müssen das aber nicht, das liegt außerhalb deines Einflussbereiches und auch deines Hosters. Wobei mittlerweile die meisten TLS einsetzen sollten.

TLS bedeutet aber auch hier wieder lediglich Transportverschlüsselung und damit Schutz vor jemandem der an der Leitung mithorcht. Jeder Mailserver in der Kette kann das Mail im Klartext lesen.

Und am Ende hängt es davon ab, ob der endgültige Empfänger seinen Mailclient mit TLS oder ohne konfiguriert hat, bzw. ob der Zielmailserver letzteres überhaupt erlaubt. Wenn der Empfänger seinen Mailclient ohne TLS konfiguriert hat, geht das Mail hier auch im Klartext über die Leitung, und auf dem Weg von Zielmailserver zu Empfänger kann jeder an der Leitung mitlesen. Aber auch das ist natürlich nicht in deinem Einflussbereich.



Ich bin kein Spezialist für TLS, daher wollte ich einfach mal fragen, ob wir aktuell datenschutzkonform sind oder nicht.


Das müsste ein Jurist beantworten. Grundsätzlich erlaubt die DSGVO ja durchaus einige Ausnahmen bei der Datenverarbeitung ohne explizite Zustimmung der Person, wenn diese "für die Erbringung der Dienstleistung unbedingt erforderlich sind".

Wobei diese leider oft von der Technik dahinter wenig bis keine Ahnung haben und gelinde gesagt oft fragwürdige Entscheidungen treffen.

Ich hatte jedenfalls ein paar interessante Diskussionen mit unserer Datenschutzbeauftragten, die uns natürlich darauf hingewiesen hat, dass wir grundsätzlich wenn möglich auf personenbezogene Daten in der Kommunikation verzichten sollen, aber falls es nicht anders geht keinesfalls Whatsapp verwenden dürfen (obwohl das durchaus für firmeninterne Kommunikation verwendet wird) sondern E-Mail verwenden müssen.
Als ich ihr dann erklärt habe, dass Whatsapp nach aktuellem Wissen Ende-zu-Ende Verschlüsselt ist und damit niemand außer dem gewünschten Adressat den Inhalt öffnen kann, wir aber per E-Mail spätestens dann wenn es unsere Organisation verlässt keinerlei Möglichkeit haben sicherzustellen dass niemand unbefugter auf den Inhalt zugreifen kann kamen dann sehr interessante Argumente. Selbst wenn das technisch stimmt, Whatsapp sitzt in den USA, und gehört Facebook der bösesten aller Datenkraken überhaupt, also selbst wenn sie auf die Daten gar keinen Zugriff haben geht das auf keinen Fall.


Aus technischer Sicht würde ich in E-Mail selbst auf jeden Fall nicht als sicheres Kommunikationsmedium bezeichnen. Ob das jetzt DSGVO konform ist weil man ja nun mal zum Arbeiten gewisse Daten braucht und die eben irgendwie von A nach B kommen müssen ohne tagelangen Transport in einem Sicherheitskonvoi müssen andere beurteilen.

https://de.ssl-tools.net/mails

Damit kannst du es auch ganz gut testen. Was der Provider wahrscheinlich sicherstellen kann, dass ab ihm TLS verschlüsselt wird. Der Weg von der Firma zum Provider muss wahrscheinlich die interne IT sicherstellen.

Ich arbeite selbst bei einem Service Provider und betreue da auch ein paar Mail-Gateway und halte die Info, die du da bekommen hast, für sehr unseriös.
Erstens ist TLS wie schon mehrfach erwähnt, eine Punkt-zu-Punkt Verschlüsselung. Was dahinter passiert, kann dir niemand garantieren.
Zweitens gibt es im Internet immer noch einige Provider, die gar kein TLS anbieten. Würde man überall TLS komplett erzwingen, würde das zu einer menge nicht zustellbarer Nachrichten führen. Ich würde derzeit davon ausgehen, dass ca. 10% der SMTP Verbindungen nicht verschlüsselt sind.

Lösen kann man das nur über eine Inhalts-Verschlüsselung, Stichwort PGP, S/MIME oder so etwas Microsoft AIP. Weil dann erreicht man eine Ende-zu-Ende Verschlüsselung.
Wenn das nicht möglich ist, dann muss einfach sichergestellt sein, dass keine sensitiven Daten per Email versendet werden.

Danke für Eure Antworten!

Dann reicht mir die Antwort des externen Relay-Anbieters nicht aus. Er kann niemals sicherstellen, dass der komplette Weg bis zum Adressaten verschlüsselt ist. Er bietet natürlich noch ein extra Produkt an, welches die vorhandene "Sicherheit" noch erhöht, indem zum Beispiel Mails abgewiesen werden, die nicht verschlüsselt sind oder PGP/S-MIME. Aber dazu muss JEDER mögliche Adressat bekannt sein, was bei unserer Firmengröße nicht möglich ist.

Also bleibt wohl wirklich nur die End-zu-End-Verschlüsselung der E-Mail selbst über PGP/S-MIME. Da muss ich mich aber erstmal einlesen, welche Voraussetzungen man da braucht. Und welchen Aufwand das für die Adressaten hat.

TLS heißt nur, dass die Anmeldung und Übermittlung zu Mailserver verschlüsselt ist, also alles ab EHLO bis <CRLF>. Das dient auch hauptsächlich nur zur Authentifizierung und damit Absicherung des Servers gegen Open Relay.

Wenn Du Mails selbst verschlüsseln willst, brauchst Du das S/MIME-Zertifikat des Empfängers. Idealerweise hat man selbst noch eins zum Signieren und natürlich, um verschlüsselte Antworten erhalten zu können.

Es ist mMn. nur dann GDPR konform wenn du alle betreffenden Kontakte darüber Informierst, dass die inhalte der Mail aufgrund von irgendwelchen Gründen von Firma xyz zxy und abc verarbeitet werden.
Ansonsten müsstest E2EE (S/MIME..) enforcen, was aber relativ illusorisch ist.
Es ist ja nicht verboten dass Drittfirmen Daten verarbeiten, allerdings muss wohl darüber informiert werden und zugestimmt.

so hätte ich das jedenfalls ca. verstanden.

Er kann niemals sicherstellen, dass der komplette Weg bis zum Adressaten verschlüsselt ist.

Er kann es nicht nur nicht sicherstellen, mit TLS alleine kann das schon Architekturbedingt nicht der Fall sein. Jeder Server muss damit das funktioniert immer den Klartext sehen. Bestenfalls kommunizieren alle Server untereinander mit TLS und niemand auf der Transportstrecke kann mitlesen. Die Server selbst sehen aber wie gesagt immer das unverschlüsselte Mail.

Es ist mMn. nur dann GDPR konform wenn du alle betreffenden Kontakte darüber Informierst, dass die inhalte der Mail aufgrund von irgendwelchen Gründen von Firma xyz zxy und abc verarbeitet werden.

Das hängt immer vom Einzelfall ab, grob gesagt ist alles was zwingend notwendig ist um arbeiten zu können auch ohne explizite Zustimmung erlaubt.

Beispielsweise muss ein Versandhändler dich nicht um explizite Zustimmung fragen deinen Namen und Adressdaten zu verarbeiten bzw. an Transportunternehmen weiterzuleiten.
Das wird alles von der "legitimate interest" Klausel abgedeckt.

Aus technischer Sicht würde ich in E-Mail selbst auf jeden Fall nicht als sicheres Kommunikationsmedium bezeichnen.

So würde ich das auch sehen. Zu viele Transportwege könnten potenziell ohne TLS ablaufen und liegen komplett außerhalb des Einflussbereich des Senders.

Als ich ihr dann erklärt habe, dass Whatsapp nach aktuellem Wissen Ende-zu-Ende Verschlüsselt ist und damit niemand außer dem gewünschten Adressat den Inhalt öffnen kann, wir aber per E-Mail spätestens dann wenn es unsere Organisation verlässt keinerlei Möglichkeit haben sicherzustellen dass niemand unbefugter auf den Inhalt zugreifen kann kamen dann sehr interessante Argumente. Selbst wenn das technisch stimmt, Whatsapp sitzt in den USA, und gehört Facebook der bösesten aller Datenkraken überhaupt, also selbst wenn sie auf die Daten gar keinen Zugriff haben geht das auf keinen Fall.

Nach der Argumentation kann man E-Mails natürlich aber genau so wenig verwenden. Wer garantiert, dass der Empfänger nicht einen E-Mail-Anbieter mit Sitz / Rechenzentrum in den USA verwendet?

Die Lösung ist vermutlich, dass man einfach keine sensiblen Daten im Klartext per E-Mail verschicken sollte. Man kann natürlich immer die sensiblen Daten separat verschlüsseln, das muss ja auch nicht aufwendig per PGP oder S/MIME passieren. Eine Dateiverschlüsselung für Anhänge sollte vermutlich aber das Minimum sein. Auch das erfordert aber natürlich irgendeine Form von Abstimmung mit dem Empfänger und ist vermutlich auch nicht trivial in der Umsetzung.

Nach der Argumentation kann man E-Mails natürlich aber genau so wenig verwenden. Wer garantiert, dass der Empfänger nicht einen E-Mail-Anbieter mit Sitz / Rechenzentrum in den USA verwendet?



So ist es die Diskussion ging ja noch etwas weiter. Mit dem Endergebnis, dass mir die Datenschutzbeauftragte gesagt hat, sie glaubt mir alle Argumente, ihr fehlt dazu die technische Expertise, aber es sind trotzdem alle Vorgaben wie kommuniziert einzuhalten.


Die Lösung ist vermutlich, dass man einfach keine sensiblen Daten im Klartext per E-Mail verschicken sollte. Man kann natürlich immer die sensiblen Daten separat verschlüsseln, das muss ja auch nicht aufwendig per PGP oder S/MIME passieren.

Ja, ein verschlüsseltes Archiv für die sensiblen Daten wäre ja prinzipiell ausreichend, da muss man dann "nur" mehr dafür sorgen, das Passwort irgendwie auf einem sicheren Weg auszutauschen.

Das hängt immer vom Einzelfall ab, grob gesagt ist alles was zwingend notwendig ist um arbeiten zu können auch ohne explizite Zustimmung erlaubt.

Beispielsweise muss ein Versandhändler dich nicht um explizite Zustimmung fragen deinen Namen und Adressdaten zu verarbeiten bzw. an Transportunternehmen weiterzuleiten.
Das wird alles von der "legitimate interest" Klausel abgedeckt.

naja, wobei man auch sagen muss, dass dann wahrscheinlich der Kunde auch Zustellung Lieferung gewählt hat, wenn das nicht der Fall ist, dürfen die Daten ja auch nicht weitergegeben werden. Insofern ist da schon das Interesse daran direkt erkennbar und auch die weitergabe erwartbar, aber ob man von dem case darauf schließen kann, dass es genauso okay ist, wenn die Daten von Dritten verarbeitet werden, nur weil die Firma 99% an externe (bzw. cloud) ausgelagert hat, wage ich halt auch zu bezweifeln.

Ich würd mich das nicht trauen ohne eine entsprechende Datenschutzerklärung, und da stehen dann auch so banale dinge drinnen wie dass zb. an paypal daten weiter gegeben werden, sofern paypal als zahlungsart gewählt wurde, weil bla. Das machen ja auch halbwegs seriöse onlineshops durchaus..