E-Mail ist für viele Organisationen ein selbstverständliches Kommunikationsmittel. Dennoch birgt die Nutzung von E-Mail beim Austausch personenbezogener Daten und vertraulicher Informationen rechtliche Risiken. In bestimmten Situationen kann dies zu Durchsetzungsmaßnahmen gemäß der Datenschutz-Grundverordnung (DSGVO) führen, darunter in schwerwiegenden Fällen zu einer Verwaltungsstrafe.
Die entscheidende Frage ist dabei nicht, ob E-Mail funktioniert, sondern ob ihre Nutzung angemessen, sicher und kontrollierbar gestaltet ist.
Was sagt die DSGVO zur Nutzung von E-Mails?
Die DSGVO verpflichtet Organisationen, personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen zu schützen ( Artikel 32 DSGVO). Die Übermittlung personenbezogener Daten per E-Mail fällt unter diese Verpflichtung.
Was als angemessen angesehen wird, hängt vom Kontext und vom Risiko für die Betroffenen ab. Je sensibler die Informationen sind, desto strengere Sicherheitsanforderungen können vernünftigerweise erwartet werden.
Das Versenden einer Terminbestätigung erfordert eine andere Abwägung als die Weitergabe von medizinischen Daten oder finanziellen Informationen.
Organisationen müssen begründen können, warum die von ihnen gewählte Versandart in dieser konkreten Situation einen ausreichenden Schutz bietet.
Wann besteht die Gefahr einer Strafverfolgung oder einer Geldstrafe?
Das Risiko einer DSGVO-Geldbuße entsteht nicht durch die Nutzung von E-Mail an sich, sondern durch das Fehlen geeigneter technischer und organisatorischer Maßnahmen.
Wenn personenbezogene Daten verloren gehen, unbeabsichtigt verändert oder vernichtet werden oder Unbefugten zugänglich werden, kann dies einen Datenverstoß darstellen.
In der Praxis passiert das oft bei scheinbar kleinen Fehlern, wie zum Beispiel:
- Eine falsch eingegebene E-Mail-Adresse;
- Eine Datei, die ohne zusätzliche Sicherheitsmaßnahmen versendet wird;
- Ein Download-Link, der länger als nötig aktiv bleibt.
Kann eine Organisation in solchen Situationen nicht nachweisen, dass sie angemessene Maßnahmen ergriffen hat, kann dies zu einer Untersuchung oder zu Durchsetzungsmaßnahmen seitens der niederländischen Datenschutzbehörde führen. Ob dies tatsächlich zu einer Geldbuße führt, hängt von der Schwere des Vorfalls, den Umständen des Einzelfalls und dem Grad der Schuld ab.
Die Bedeutung nachweisbarer Sicherheit
Ein wichtiger Grundsatz der DSGVO ist die Rechenschaftspflicht: Organisationen müssen nachweisen können, dass sie die geltenden Datenschutzvorschriften einhalten.
Es reicht nicht aus, lediglich Sicherheitsmaßnahmen zu ergreifen; Organisationen müssen auch nachweisen können, dass diese Maßnahmen dem mit der Verarbeitung verbundenen Risiko angemessen sind.
Das bedeutet, dass Organisationen einen Überblick darüber haben müssen, wie Informationen weitergegeben werden und welche Maßnahmen getroffen wurden, um unbefugten Zugriff zu verhindern. Ohne angemessene Protokollierung, Zugriffskontrolle und klare Aufbewahrungsfristen kann es schwieriger sein, im Nachhinein nachzuweisen, dass sorgfältig und im Einklang mit der DSGVO gehandelt wurde.
In unserem Artikel „Wann gilt eine E-Mail als rechtlich sicher versendet? “ erfährst du, wie dies rechtlich beurteilt wird.
Warum eine Standard-E-Mail nicht automatisch ausreicht
Standard-E-Mail bietet grundlegende Sicherheitsfunktionen wie die Transportverschlüsselung. Diese schützt den Inhalt während der Übertragung zwischen Mailservern, bietet jedoch für sich genommen keine vollständige Kontrolle über den Zugriff, die Verfügbarkeit oder die weitere Verbreitung von Dateien.
Eine E-Mail kann beispielsweise zwar korrekt versendet werden, aber dennoch beim falschen Empfänger landen. Außerdem lässt sich ohne zusätzliche Maßnahmen oft nur begrenzt nachvollziehen, wer eine Datei tatsächlich öffnet oder wie lange ein Dokument verfügbar bleibt.
Für Organisationen, die mit sensiblen personenbezogenen Daten arbeiten, können zusätzliche Vorkehrungen erforderlich sein, um angemessene technische und organisatorische Maßnahmen zu gewährleisten.
Mehr dazu erfährst du in unserem Artikel „Warum die Standard-Sicherheit von Outlook nicht ausreicht“.
Die Rolle von Datenschutzverletzungen und die Meldepflicht
Das Risiko einer behördlichen Durchsetzung wird konkret, wenn es zu einer Datenpanne kommt, die Risiken für die Rechte und Freiheiten der betroffenen Personen mit sich bringt.
In diesem Fall kann eine Organisation verpflichtet sein, den Vorfall der Datenschutzbehörde (Artikel 33 DSGVO) und in bestimmten Fällen auch den betroffenen Personen selbst zu melden (Artikel 34 DSGVO).
Ob eine Geldstrafe verhängt wird, hängt von Faktoren wie den folgenden ab:
- Die Schwere und das Ausmaß des Vorfalls
- Die Art und Sensibilität der betreffenden Daten
- Die getroffenen technischen und organisatorischen Maßnahmen
- Die Schnelligkeit und Sorgfalt der Reaktion der Organisation.
Neben möglichen Sanktionen spielt der Reputationsschaden oft eine mindestens ebenso große Rolle. Das Vertrauen von Kunden und Partnern kann schnell schwinden, wenn sich herausstellt, dass Informationen nicht angemessen geschützt sind.
Wie Unternehmen DSGVO-Risiken im E-Mail-Verkehr minimieren
Unternehmen, die DSGVO-Risiken minimieren wollen, blicken über den reinen Versand einer E-Mail hinaus. Sie richten den gesamten Prozess der Datenübertragung ein und legen dabei besonderen Wert auf Kontrolle, Sicherheit und Nachvollziehbarkeit.
Das bedeutet, dass Unternehmen nicht nur über Verschlüsselung nachdenken, sondern auch über:
- Wer Zugang zu Informationen erhält
- Wie lange Informationen verfügbar bleiben
- Ob der Zugang nachträglich widerrufen werden kann
- Ob Sicherheitsmaßnahmen nachweislich zielgerichtet sind und umgesetzt werden.
Durch die systematische Organisation dieser Elemente wird die E-Mail-Nutzung weniger von individuellen Entscheidungen abhängig und lässt sich besser steuern. Dies trägt zu einer risikobasierten und nachweisbaren Erfüllung der Sicherheitsverpflichtungen gemäß der DSGVO bei.
In unserem Artikel „Wie verhindert man Datenlecks bei der Dateiübertragung?“ erfahren Sie, wie Unternehmen dies in der Praxis umsetzen.
Wie Unternehmen dies sicher und nachvollziehbar umsetzen
Unternehmen, die das Risiko von DSGVO-Verstößen verringern möchten, entscheiden sich häufig für eine Lösung, die ihre bestehende Arbeitsumgebung um zusätzliche Kontrollmechanismen erweitert. Dabei geht es nicht darum, E-Mails zu ersetzen, sondern den Versandprozess besser zu steuern.
Mit FileCap fügen Sie Outlook oder Microsoft 365 eine zusätzliche Sicherheitsebene hinzu. Dateien werden während der Übertragung geschützt, Empfänger können überprüft werden und Sie können festlegen, wie lange Informationen verfügbar bleiben. Darüber hinaus werden die Daten innerhalb der EU bei einem europäischen Cloud-Anbieter gespeichert.
Das unterstützt Unternehmen dabei:
- Kontrolle über den Zugriff auf Dateien
- Schutz der Inhalte während des Versands
- Protokollierung zur Untermauerung der Nachvollziehbarkeit
- Einstellbare Dauer der Verfügbarkeit von Informationen
Dadurch lässt sich die E-Mail-Nutzung besser kontrollieren, und Organisationen können besser nachweisen, dass geeignete technische und organisatorische Maßnahmen getroffen wurden.
Weitere Informationen dazu findest du auf unserer Produktseite.
Schlussfolgerung
Das Risiko einer DSGVO-Geldbuße entsteht nicht durch die Nutzung von E-Mail an sich, sondern durch das Fehlen geeigneter und nachweisbarer technischer und organisatorischer Maßnahmen.
Insbesondere beim Versand sensibler personenbezogener Daten ist es wichtig, dass Organisationen darlegen können, wie Daten geschützt werden und welche Maßnahmen zur Risikominimierung getroffen wurden.
Durch eine systematische und risikobasierte Steuerung der E-Mail-Nutzung verringern Sie das Risiko von Datenlecks und möglichen Sanktionen erheblich.
Mit FileCap erweitern Sie Ihre bestehende Arbeitsumgebung um zusätzliche Kontrollfunktionen, sodass die E-Mail-Nutzung besser den Anforderungen der DSGVO entspricht und Unternehmen ihre Sicherheitsmaßnahmen nachweislich untermauern können.
Möchtest du wissen, wie dein Unternehmen die DSGVO-Risiken bei der E-Mail-Nutzung minimieren kann? Fordere eine Demo an oder teste FileCap 30 Tage lang kostenlos.
Häufig gestellte Fragen
Wann wird bei der Nutzung von E-Mails eine DSGVO-Geldbuße verhängt?
Eine DSGVO-Geldbuße kann verhängt werden, wenn eine Organisation keine ausreichenden technischen und organisatorischen Maßnahmen getroffen hat und dadurch personenbezogene Daten unberechtigtem Zugriff, Verlust oder unrechtmäßiger Verarbeitung ausgesetzt sind. Ob tatsächlich eine Geldbuße verhängt wird, hängt von den Umständen, der Schwere des Vorfalls und dem Grad der Schuld ab.
Ist der Versand personenbezogener Daten per E-Mail zulässig?
Ja, sofern geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten getroffen wurden. Organisationen müssen im Einzelfall prüfen, ob E-Mail ein geeignetes Mittel ist, und dies anhand einer risikobasierten Abwägung begründen können.
Wie vermeidet man DSGVO-Risiken beim E-Mail-Verkehr?
Die DSGVO-Risiken bei der E-Mail-Nutzung lassen sich verringern, indem der Prozess strukturell und risikobasiert gestaltet wird. Dazu gehören die Überprüfung der Empfänger, die Nachverfolgbarkeit des Zugriffs auf versendete Informationen, geeignete organisatorische Maßnahmen sowie die nachweisbare Umsetzung von Sicherheitsvorkehrungen.
