Für viele Organisationen ist E-Mail die Standardmethode zum Versenden von Dokumenten. Verträge, personenbezogene Daten, Berichte oder medizinische Informationen werden täglich per E-Mail ausgetauscht. Dennoch bedeutet das Versenden einer Nachricht nicht automatisch, dass die Übertragung rechtlich als angemessen gesichert angesehen werden kann.
Aus rechtlicher und datenschutzrechtlicher Sicht geht es nicht nur um die Übermittlung von Informationen, sondern vor allem um die Anwendung geeigneter Sicherheitsmaßnahmen und den Nachweis, dass der Zugriff auf diese Informationen kontrolliert wird.
Was bedeutet „rechtssicher versenden“?
Eine E-Mail kann als rechtlich ordnungsgemäß versandt gelten, wenn eine Organisation nachweisen kann, dass geeignete technische und organisatorische Maßnahmen getroffen wurden, um vertrauliche Informationen vor unbefugtem Zugriff zu schützen.
Dieser Grundsatz ergibt sich aus Datenschutzvorschriften wie der DSGVO, in denen der Grundsatz der Rechenschaftspflicht im Mittelpunkt steht. Organisationen müssen nachweisen können, dass sie Risiken bewertet und angemessene Sicherheitsmaßnahmen getroffen haben.
Dabei geht es nicht nur um die Technik, sondern auch um die Dokumentation, die Richtlinien und deren konsequente Umsetzung in der Praxis. Fehlt diese Begründung, kann der Versand rechtlich angreifbar werden, beispielsweise im Falle einer Beschwerde oder einer Untersuchung durch eine Aufsichtsbehörde.
Was sagt die DSGVO zum Versand von Informationen?
Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Organisationen, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu ergreifen (Artikel 32 DSGVO). Das Versenden eines Dokuments per E-Mail fällt unter diese Verarbeitung. Was als geeignet gilt, hängt unter anderem ab von:
· Die Art der Daten;
· Die Sensibilität der Informationen;
· Der Umfang und der Kontext der Verarbeitung;
· Die möglichen Risiken und Folgen für die Betroffenen.
Wenn beispielsweise medizinische Daten, Finanzinformationen oder Vertragsunterlagen versendet werden, kann ein höheres Sicherheitsniveau gerechtfertigt sein als bei der regulären Kommunikation.
Unternehmen müssen daher nicht nur prüfen, ob der Versand per E-Mail technisch möglich ist, sondern auch, ob die gewählte Versandmethode verhältnismäßig und risikobasiert gestaltet ist und der Art und dem Risiko der Verarbeitung entspricht.
Wann entsteht ein rechtliches Risiko bei E-Mails?
Rechtliche Risiken entstehen vor allem dann, wenn der Zugriff auf versendete Informationen nicht ausreichend kontrolliert wird.
Das kann zum Beispiel passieren, wenn:
· Eine E-Mail wird an eine falsche Adresse gesendet;
· Ein Anhang wird ohne zusätzliche Sicherheitsmaßnahmen versendet;
· Download-Links bleiben länger aktiv als nötig;
· Es lässt sich nicht nachweisen, welche Maßnahmen zur Zugangsbeschränkung ergriffen wurden.
Wenn dadurch personenbezogene Daten verloren gehen, unbeabsichtigt verändert werden oder Unbefugten zugänglich werden, kann es sich um eine Datenpanne handeln.
In diesem Fall kann eine Organisation verpflichtet sein, die Datenschutzverletzung der niederländischen Datenschutzbehörde zu melden, je nach dem Risiko für die Rechte und Freiheiten der betroffenen Personen.
Die Bedeutung der Nachweisbarkeit
Ein wichtiger rechtlicher Aspekt sicherer E-Mails ist die Nachweispflicht. Die DSGVO verlangt, dass Organisationen nachweisen können, dass sie geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten getroffen haben.
Dies kann beispielsweise Folgendes umfassen:
· Verschlüsselung von Inhalten;
· Überprüfung der Empfänger;
· Richtlinien und Verfahren zum Versand;
· Protokollierung, soweit dies angesichts des Risikos und der Art der Verarbeitung angemessen ist.
Wenn solche Maßnahmen fehlen oder nicht einheitlich gestaltet und angewendet werden, kann es schwieriger werden, nachzuweisen, dass der Versand sorgfältig erfolgt ist.
Für Organisationen in regulierten Branchen, wie beispielsweise dem Gesundheitswesen, können zusätzliche Normen (z. B. NEN 7510 und NTA 7516) spezifische Anforderungen an die Gestaltung, Dokumentation und Nachweisbarkeit von Sicherheitsmaßnahmen stellen.
E-Mail versus kontrollierte Datenübertragung
Standard-E-Mails sind in erster Linie auf Kommunikation und Schnelligkeit ausgelegt. Für den rechtssicheren Versand ist es jedoch erforderlich, den Zugriff auf Informationen und deren Verfügbarkeit zu kontrollieren.
Das bedeutet, dass Organisationen in der Lage sein müssen, zu entscheiden:
· Wer Zugriff auf ein Dokument erhält;
· Wie lange eine Datei verfügbar bleibt;
· Unter welchen Bedingungen es geöffnet werden kann.
Diese Elemente versetzen Organisationen besser in die Lage, dem Grundsatz der angemessenen technischen und organisatorischen Maßnahmen, wie er in der DSGVO vorgeschrieben ist, gerecht zu werden.
Wie Unternehmen E-Mail-Systeme rechtskonform einrichten
Unternehmen, die vertrauliche Dokumente versenden, entscheiden sich häufig dafür, ihre bestehende E-Mail-Umgebung um zusätzliche Sicherheitsmaßnahmen zu erweitern. So bleibt die Arbeitsweise für die Mitarbeiter vertraut, während der Versandprozess besser kontrolliert wird.
Mit FileCap fügen Sie Outlook oder Microsoft 365 eine zusätzliche Sicherheitsebene hinzu. Dateien werden während des Versands geschützt, Empfänger können überprüft werden und Sie können festlegen, wie lange ein Dokument verfügbar bleibt. Darüber hinaus werden die Daten innerhalb der EU bei einem europäischen Cloud-Anbieter gespeichert.
Dies unterstützt Organisationen bei:
· Kontrolle über den Zugriff auf Dateien;
· Schutz der Inhalte während des Transports;
· Protokollierung zur Untermauerung der Nachweisfähigkeit;
· Integration in die bestehende E-Mail-Umgebung.
Dadurch können Organisationen besser nachweisen, dass Informationen sorgfältig und kontrolliert versendet wurden, im Einklang mit den geltenden Gesetzen und Vorschriften sowie internen Richtlinien.
Weitere Informationen dazu findest du auf unserer Produktseite.
Schlussfolgerung
Eine E-Mail gilt als rechtlich ordnungsgemäß versendet, wenn eine Organisation nachweisen kann, dass angemessene technische und organisatorische Maßnahmen zum Schutz vertraulicher Informationen getroffen wurden. Dabei geht es nicht nur um den Versand, sondern auch um die Risikobewertung, die Zugriffskontrolle und die Nachweisfähigkeit.
Für Organisationen, die mit personenbezogenen Daten oder vertraulichen Dokumenten arbeiten, ist es wichtig, über die Standard-E-Mail-Einstellungen hinauszudenken. Indem Sie die sichere Datenübertragung systematisch und risikobasiert gestalten, verringern Sie das Risiko von Datenlecks und möglichen rechtlichen Konsequenzen.
Mit FileCap fügen Sie Ihrer bestehenden E-Mail-Umgebung eine zusätzliche Sicherheitsebene hinzu, sodass Dateien kontrolliert und nachweislich sorgfältig versendet werden können. Dies unterstützt Unternehmen dabei, gesetzliche Vorschriften und interne Richtlinien besser einzuhalten.
Möchten Sie erfahren, wie Sie in Ihrem Unternehmen eine rechtssichere E-Mail-Lösung einrichten können?
Fordern Sie eine Demo an oder testen Sie FileCap 30 Tage lang kostenlos.
Häufig gestellte Fragen
Wann gilt eine E-Mail als rechtlich sicher versendet?
Eine E-Mail kann als rechtlich sicher angesehen werden, wenn geeignete technische und organisatorische Maßnahmen getroffen wurden und die Organisation nachweisen kann, dass Risiken bewertet und angemessen kontrolliert wurden.
Ist die Verschlüsselung beim Versand personenbezogener Daten vorgeschrieben?
Die DSGVO schreibt keine bestimmte Technik vor. Verschlüsselung wird in vielen Fällen als geeignete Maßnahme angesehen, insbesondere bei sensiblen personenbezogenen Daten. Ob eine Verschlüsselung erforderlich ist, hängt von der Art der Daten, dem Kontext der Verarbeitung und den damit verbundenen Risiken ab.
Wann kann eine E-Mail zu einer Datenpanne führen?
Eine E-Mail kann zu einer Datenpanne führen, wenn personenbezogene Daten verloren gehen, unbeabsichtigt verändert werden oder Unbefugten zugänglich werden, beispielsweise durch falsche Adressierung oder unzureichende Sicherheitsmaßnahmen.
