Karl Heinz: DSGVO und E-Mail

Hallo,

ein Kunde hat mir folgende Frage gestellt, bevor ich meinem Kunden die Frage beantworte möchte ich diese hier diskutieren:

Wie muss ich den E-Mail Verkehr mit Auftraggebern und Auftragnehmern in Bezug auf die DSGVO sichern?

Meine Antwort wäre wie folgt:

Grundsätzlich muss man zwischen Verbindungsverschlüsselung (SSL/TLS oder STARTTLS) und Inhaltsverschlüsselung (S/MIME oder OpenPGP) unterscheiden.

Während die Verbindungsverschlüsselung bei deutschen Mailanbietern Standard ist (es ist nicht mehr möglich einen deutschen Mailanbieter ohne SSL/TLS oder STARTTLS zu nutzen, es sei denn man nutzt einen Web-Client bei welchem dann https, und damit auch eine Verschlüsselung, verwendet wird), ist die Angelegenheit bei Inhaltsverschlüsselung etwas komplizierter.

Bei Inhaltsverschlüsselung ist es notwendig gesondert gemeinsam mit JEDEM E-Mail Partner S/MIME oder OpenPGP einzurichten, hierzu müssen die jeweiligen öffentlichen Schlüssel zunächst ausgetauscht werden. In der Praxis wird zum einen der Aufwand zu groß sein, zum anderen die technische Komplexität für einen Normalo zu hoch sein um für jeden E-Mail Partner S/MINE oder OpenPGP einzurichten.

Um auf Ihre Frage zurück zu kommen: Sie müssen nichts tun 😀.

Zu diesem Sachverhalt ein paar Fragen:

  1. Ist meine Antwort an den Kunden so korrekt?

  2. Gibt es ein Gesetz das festlegt, dass deutsche E-Mail Anbieter SSL/TLS oder STARTTLS bei Desktop-Clients bzw. https bei Web-Clients verwenden müssen?

  3. Im nachfolgend verlinktem Artikel wird behauptet das S/MIME oder OpenPGP Pflicht sind. Zitat:

Ab dem 25. Mai 2018 verschärft die Datenschutz-Grundverordnung (DSGVO) die Lage: E-Mail-Verschlüsselung wird endgültig zur Pflicht.

Ist das was im Artikel behauptet wird Unsinn? Wie soll etwas Pflicht sein, was aufgrund folgender Gründe in der Praxis nicht machbar ist:

  • Viel zu großer Aufwand (Wer richtet schon für alle E-Mail Partner S/MIME oder OpenPGP ein)
  • Zu hohe technische Komplexität (Für einen Normalo nicht ohne Hilfe umsetzbar)

https://www.psw-consulting.de/blog/2018/04/25/dsgvo-e-mail-verschluesselung-ist-pflicht/

Viele Grüße

--
"Die Deutsche Rechtschreibung ist Freeware, sprich, du kannst sie kostenlos nutzen. Allerdings ist sie nicht Open Source, d.h. du darfst sie nicht verändern oder in veränderter Form veröffentlichen."
  1. Hallo Karl Heinz,

    Ich würde den Begriff Normalo nicht verwenden.

    Bis demnächst
    Matthias

    --
    Rosen sind rot.
    1. Hallo Matthias,

      Ich würde den Begriff Normalo nicht verwenden.

      ich auch nicht und das dazugehörige "zu hoch" eher durch etwas wie "zu spezialisiert" ersetzen.

      Gruss
      Henry

      --
      Meine Meinung zu DSGVO & Co:
      „Principiis obsta. Sero medicina parata, cum mala per longas convaluere moras.“
  2. Hallo,

    zu 1: Wenn dein Kunde kein Techniker ist, hast du ihn wahrscheinlich im ersten Satz schon verloren. Endnutzer schalten ab, wenn sie so viele Fachbegriffe auf einmal lesen, das kann ich aus Erfahrung sagen.

    Stattdessen würde ich mit dem "Sie müssen nichts tun"-Teil anfangen und danach die Erklärung schreiben.

    Den eingeklammerten Text im 2. Absatz solltest du nur dann schreiben, wenn du alle dt. Mailprovider kennst. Solange unverschlüsselte Emails noch technisch möglich sind und es kein anderslautendes Gesetz gibt (und das ist so), wäre es möglich, dass Emails ohne Transportverschlüsselung ankommen.

    Das lässt sich z.B. hier überprüfen.

    "Normalo" würde ich auch nicht verwenden.

    zu 2: Bislang nicht. Es gibt zwar ein Urteil zu unverschlüsselten Kontaktformularen, das könnte als "ähnliche Situation" angesehen werden, da auch beim Emailversand Art. 5 DSGVO, Satz 1 f angewendet werden kann.

    Aber auch hier war Transportverschlüsselung (https) ausreichend und keine Inhaltsverschlüsselung gefordert.

    zu 3: Der verlinkte Artikel ist von einem Zertifikats-Anbieter bzw. -Reseller. Die verdienen damit ihr Geld und daher raten sie natürlich dazu, mehr Verschlüsselung zu kaufen. Zusätzlich wird der Unterschied zwischen Transportverschlüsselung und Inhaltsverschlüsselung im späteren Teil dann einfach vergessen.

    Durch die Transportverschlüsselung gibt es eine Verschlüsselung und damit einen ausreichenden Schutz. Dass es noch besser geht (Inhaltsverschlüsselung) sollte klar sein.

    Grüße

    1. hallo

      zu 2: Bislang nicht. Es gibt zwar ein Urteil zu unverschlüsselten Kontaktformularen, das könnte als "ähnliche Situation" angesehen werden, da auch beim Emailversand Art. 5 DSGVO, Satz 1 f angewendet werden kann.

      Verlass dich nicht auf der Link. von einem umfassenden 'müssen' bei Verschlüsselung kann nicht die Rede sein. Es gelten immer noch die Faktoren Verfügbarkeit und Verhältnismässigkeit.

      --
      Neu im Forum! Signaturen kann man ausblenden!
      1. Ich bin neugierig: Was wäre an einem SSL-Zertifikat für eine Webseite unverhältnismäßig oder "nicht verfügbar"?

        Jeder ernstzunehmende Webhoster bietet SSL-Zertifikat an, durch Let's Encrypt geht das (nahezu) kostenfrei.

        1. hallo

          Ich bin neugierig: Was wäre an einem SSL-Zertifikat für eine Webseite unverhältnismäßig oder "nicht verfügbar"?

          Jeder ernstzunehmende Webhoster bietet SSL-Zertifikat an, durch Let's Encrypt geht das (nahezu) kostenfrei.

          Ja und? Wir reden von Müssen, was involvieren müsste, dass alle anderen Kanäle abzuschalten sind.

          Und nein, ich bin noch nicht mal verpflichtet, ein https geschütztes Webformular anzubieten. Ich darf einfach so einen Maillink posten.

          --
          Neu im Forum! Signaturen kann man ausblenden!
    2. @@Erik,

      Gibt es ein Gesetz das festlegt, dass deutsche E-Mail Anbieter SSL/TLS oder STARTTLS bei Desktop-Clients bzw. https bei Web-Clients verwenden müssen?

      zu 2: Bislang nicht. Es gibt zwar ein Urteil zu unverschlüsselten Kontaktformularen, das könnte als "ähnliche Situation" angesehen werden, da auch beim Emailversand Art. 5 DSGVO, Satz 1 f angewendet werden kann.

      Aber auch hier war Transportverschlüsselung (https) ausreichend und keine Inhaltsverschlüsselung gefordert.

      Fazit:

      Es gibt weder ein Gesetz das Transportverschlüsselung noch ein Gesetz das Inhaltsverschlüsselung vorschreibt. Ist das so korrekt?

      Nun handelt es sich bei der DSGVO ja auch um ein Gesetz. In der DSGVO wird klar darauf hingewiesen, dass personenbezogene Daten geschützt werden müssen. Nehmen wir an ich versende eine E-Mail mit personenbezogenen Daten ohne Transportverschlüsselung und/oder ohne Inhaltsverschlüsselung. Nehmen wir des weiteren an der E-Mail Empfänger geht zu seinem Rechtsanwalt und sagt diesem folgendes:

      Ich habe eine E-Mail mit personenbezogenen Daten erhalten, diese E-Mail war nicht tranport- und/oder inhaltsverschlüsselt, ich bitte Sie deshalb darum den Sender der E-Mail abzumahnen, weil hier ein klarer Verstoß gegen die DSGVO vorliegt.

      Hierzu zwei Fragen:

      1. Wie würde der Rechtsanwalt reagieren? Würde er die Abmahnung senden oder nicht?
      2. Die DSGVO fordert einen ausreichenden Schutz personenbezogener Daten, demnach muss man alles dafür tun, damit personenbezogene Daten geschützt werden. Alles dafür tun heißt ich muss E-Mails mit personenbezogenen Daten sowohl tranport- als auch inhaltsverschlüsseln. Das ist zumindest mein aktuelles Verständnis. Nun könnt Ihr mir sicherlich erklären warum das nicht so ist.
      1. hallo

        1. Wie würde der Rechtsanwalt reagieren? Würde er die Abmahnung senden oder nicht?
        2. Die DSGVO fordert einen ausreichenden Schutz personenbezogener Daten, demnach muss man alles dafür tun, damit personenbezogene Daten geschützt werden. Alles dafür tun heißt ich muss E-Mails mit personenbezogenen Daten sowohl tranport- als auch inhaltsverschlüsseln. Das ist zumindest mein aktuelles Verständnis. Nun könnt Ihr mir sicherlich erklären warum das nicht so ist.

        Die DSGVO fordert angemessene Massnahmen zum Schutz personenbezogener Daten.

        Hört doch endlich auf euch selber zu kriminalisieren.

        --
        Neu im Forum! Signaturen kann man ausblenden!
        1. @@beatovich,

          Die DSGVO fordert angemessene Massnahmen zum Schutz personenbezogener Daten.

          Ist Transportverschlüsserung angemessen? (Ich würde sagen ja, weil kaum Aufwand)

          Ist Inhaltsverschlüsselung angenommessen? (Ich würde sagen nein, weil viel zu großer Aufwand und in der Praxis nicht umsetzbar)

          1. hallo

            @@beatovich,

            Die DSGVO fordert angemessene Massnahmen zum Schutz personenbezogener Daten.

            Ist Transportverschlüsserung angemessen? (Ich würde sagen ja, weil kaum Aufwand)

            Wenn damit ein umfangreicher Umzug/Serverwechsel verbunden ist... Etliche Sites haben seit der DSGVO ihren Dienst eingestellt. Aufwand zu gross.

            --
            Neu im Forum! Signaturen kann man ausblenden!
        2. Hallo beatovich,

          Die DSGVO fordert angemessene Massnahmen zum Schutz personenbezogener Daten.

          Was aber diverse "Goldgräber" nicht davon abhält diese "angemessenen" Maßnahmen zu deren Gunsten auszulegen und Abmahnungen zu versenden und/oder, aufgrund der vorherrschenden Angst, spezielle Dienstleistungen anzubieten, bzw. zu suggerieren wie absolut notwendig diese seien.

          https://www.psw-consulting.de/blog/2018/04/25/dsgvo-e-mail-verschluesselung-ist-pflicht/

          *absichtlich nicht verlinkt.

          Hört doch endlich auf euch selber zu kriminalisieren.

          Das tun andere.
          https://t3n.de/news/dsgvo-abmahnung-ssl-fehlt-1091180/

          Von der angekündigten Abmahnsperre hört man auch nichts mehr.
          https://t3n.de/news/dsgvo-union-plant-abmahnungen-verbot-1085430/

          Und es ist letztendlich nur eine Frage der Zeit, wann die Wettbewerbs(Abmahn)Vereine auf diesen (DSGVO)Zug aufspringen. Im Influencer-Bereich sind diese nach wie vor rege unterwegs.

          Gruss
          Henry

          --
          Meine Meinung zu DSGVO & Co:
          „Principiis obsta. Sero medicina parata, cum mala per longas convaluere moras.“
          1. Hallo

            Die DSGVO fordert angemessene Massnahmen zum Schutz personenbezogener Daten.

            Was aber diverse "Goldgräber" nicht davon abhält diese "angemessenen" Maßnahmen zu deren Gunsten auszulegen und Abmahnungen zu versenden und/oder, aufgrund der vorherrschenden Angst, spezielle Dienstleistungen anzubieten, bzw. zu suggerieren wie absolut notwendig diese seien.

            https://www.psw-consulting.de/blog/2018/04/25/dsgvo-e-mail-verschluesselung-ist-pflicht/

            *absichtlich nicht verlinkt.

            Wir leben halt im Kapitalismus. Da wollen Geschäftemacher Geschäfte machen. Soweit, so normal.

            Hört doch endlich auf euch selber zu kriminalisieren.

            Das tun andere.
            https://t3n.de/news/dsgvo-abmahnung-ssl-fehlt-1091180/

            Ein Kontaktformular verschlüsselt zu übertragen, ist State of the Art. Das kann man wohl zu unter vertretbarem Aufwand verbuchen. Ob die im verlinkten Bericht genannte Kostennote von 12500€ Schmerzensgeld zu zahlen ist, soll ein Gericht klären. So what?

            Bloß, weil eine Abmahnung eintrudelt, heißt das nicht, dass man diese anerkennen muss. Eine Abmahnung ist keine Verurteilung. Ab damit zum Anwalt, der sich, je nach konkretem Fall, vor Lachen kringeln oder die Stirn in Falten werfen wird und absehen, was passiert.

            Und es ist letztendlich nur eine Frage der Zeit, wann die Wettbewerbs(Abmahn)Vereine auf diesen (DSGVO)Zug aufspringen. Im Influencer-Bereich sind diese nach wie vor rege unterwegs.

            Ich weiß ja, dass du die DSGVO für ganz ganz schlimm und quasi für den Untergang des Abendlands hältst, aber was ein Bericht über Abmahnungen wegen nicht als solcher gekennzeichneter Werbung mit der DSGVO zu tun hat, bleibt wohl auf ewig dein Geheimnis. Welches Argument wolltest du damit stützen?

            Tschö, Auge

            --
            Eine Kerze stand [auf dem Abort] bereit, und der Almanach des vergangenen Jahres hing an einer Schnur. Die Herausgeber kannten ihre Leser und druckten den Almanach auf weiches, dünnes Papier.
            Kleine freie Männer von Terry Pratchett
            1. hallo

              Bloß, weil eine Abmahnung eintrudelt, heißt das nicht, dass man diese anerkennen muss. Eine Abmahnung ist keine Verurteilung. Ab damit zum Anwalt, der sich, je nach konkretem Fall, vor Lachen kringeln oder die Stirn in Falten werfen wird und absehen, was passiert.

              Die interessantere Frage ist eigentlich, wie erreiche ich, dass ungerechtfertigtes Abmahnen richtig weh tun kann.

              --
              Neu im Forum! Signaturen kann man ausblenden!
            2. Hallo Auge,

              Wir leben halt im Kapitalismus. Da wollen Geschäftemacher Geschäfte machen. Soweit, so normal.

              Normal != richtig, deshalb gebe ich dir in dem Punkt auch recht, denn nicht den Geschäftemachern gilt mein Vorwurf, sondern den Instanzen die die Grundlagen dafür schaffen.

              Ein Kontaktformular verschlüsselt zu übertragen, ist State of the Art. Das kann man wohl zu unter vertretbarem Aufwand verbuchen. Ob die im verlinkten Bericht genannte Kostennote von 12500€ Schmerzensgeld zu zahlen ist, soll ein Gericht klären. So what?

              Ja, für dich ist alles OK, wie es ist, ich weiß. Zum Glück teile ich diese Meinung nicht.

              Bloß, weil eine Abmahnung eintrudelt, heißt das nicht, dass man diese anerkennen muss. Eine Abmahnung ist keine Verurteilung. Ab damit zum Anwalt, der sich, je nach konkretem Fall, vor Lachen kringeln oder die Stirn in Falten werfen wird und absehen, was passiert.

              Ach und der Anwalt macht das kostenlos? Du machst es dir aber ziemlich einfach, wenn du das so locker siehst. Viele scheuen die Kosten und den unabsehbaren Ausgang und zahlen deshalb lieber oder machen gleich den Laden zu. Siehe browser-Statistik.de

              Ich weiß ja, dass du die DSGVO für ganz ganz schlimm und quasi für den Untergang des Abendlands hältst, aber

              Nein, für die subtile Einleitung zur Kontrolle des Internets.

              was ein Bericht über Abmahnungen wegen nicht als solcher gekennzeichneter Werbung mit der DSGVO zu tun hat, bleibt wohl auf ewig dein Geheimnis. Welches Argument wolltest du damit stützen?

              Nicht mein Geheimnis, sondern allen (wirklich)Lesenden,darum habe ich es verlinkt, zugänglich:

              Bei allen bisherigen Entscheidungen wurden die wegen unzulässigem Influencer Marketing "Angegriffenen" durch Wettbewerbsverbände abgemahnt. Bei diesen Wettbewerbsverbänden handelt es sich um eine deutsche Eigenheit, die bereits das Wettbewerbsgesetz von 1896 vorsah. Die Wettbewerbsverbände haben ein eigenes Recht zur Verfolgung von Wettbewerbsverstößen, das sonst nur Konkurrenten des Werbenden zusteht. Die Existenz von Wettbewerbsverbänden ist politisch gewollt und wird dadurch gerechtfertigt, dass Mitbewerber gegen ein unlauteres Wettbewerbsverhalten ihrer Konkurrenten nicht einschreiten, weil sie die mit der Rechtsverfolgung verbundenen Risiken und Mühen nicht auf sich nehmen können oder wollen.

              Du glaubst doch nicht, dass die sich das entgehen lassen, wenn schon der Erfolg bei anderen Verstößen so groß ist?

              Gruss
              Henry

              --
              Meine Meinung zu DSGVO & Co:
              „Principiis obsta. Sero medicina parata, cum mala per longas convaluere moras.“
              1. Hallo

                Ein Kontaktformular verschlüsselt zu übertragen, ist State of the Art. Das kann man wohl zu unter vertretbarem Aufwand verbuchen. Ob die im verlinkten Bericht genannte Kostennote von 12500€ Schmerzensgeld zu zahlen ist, soll ein Gericht klären. So what?

                Ja, für dich ist alles OK, wie es ist, ich weiß. Zum Glück teile ich diese Meinung nicht.

                Für mich ist keineswegs „alles in Ordnung“. Für Rechtsstreite haben wir aber funktionierende Regeln. Entweder ich akzeptiere eine Abmahnung, oder teilweise oder nicht. Die im fraglichen Fall geforderten 12500€ Schmerzensgeld halte ich für hanebüchen, würde ich also nicht akzeptieren. Daraus ergeben sich Dinge, die zu tun sind, Wege, die zu gehen sind. Der Erste führte zu einem Anwalt meines geringsten Misstrauens.

                Bloß, weil eine Abmahnung eintrudelt, heißt das nicht, dass man diese anerkennen muss. Eine Abmahnung ist keine Verurteilung. Ab damit zum Anwalt, der sich, je nach konkretem Fall, vor Lachen kringeln oder die Stirn in Falten werfen wird und absehen, was passiert.

                Ach und der Anwalt macht das kostenlos?

                Natürlich nicht. Kapitalismus, vergessen?

                Du machst es dir aber ziemlich einfach, wenn du das so locker siehst. Viele scheuen die Kosten und den unabsehbaren Ausgang und zahlen deshalb lieber oder machen gleich den Laden zu. Siehe browser-Statistik.de

                Der offensichtlich von privater Hand betriebene Dienst browser-statistik.de ist hier meiner Meinung nach eher ein Sonderfall. Solche Dienste werden wohl in den wenigsten Fällen von Privatpersonen betrieben, sondern vorwiegend von Vereinigungen und Firmen und die können sich einerseits eine juristische Vertretung durchaus leisten und haben andererseits die Mittel bereitzustellen, um die Vorgaben von Gesetzen zu erfüllen. Damit fallen Abmahngründe von vornherein weg und gut is.

                Ich weiß ja, dass du die DSGVO für ganz ganz schlimm und quasi für den Untergang des Abendlands hältst, aber

                Nein, für die subtile Einleitung zur Kontrolle des Internets.

                Da fallen mir tausend andere Entscheidungen und Gesetze ein, aber ganz gewiss nicht die DSGVO.

                was ein Bericht über Abmahnungen wegen nicht als solcher gekennzeichneter Werbung mit der DSGVO zu tun hat, bleibt wohl auf ewig dein Geheimnis. Welches Argument wolltest du damit stützen?

                Nicht mein Geheimnis, sondern allen (wirklich)Lesenden,darum habe ich es verlinkt, zugänglich:

                Bei allen bisherigen Entscheidungen wurden die wegen unzulässigem Influencer Marketing "Angegriffenen" durch Wettbewerbsverbände abgemahnt. Bei diesen Wettbewerbsverbänden handelt es sich um eine deutsche Eigenheit, die bereits das Wettbewerbsgesetz von 1896 vorsah. Die Wettbewerbsverbände haben ein eigenes Recht zur Verfolgung von Wettbewerbsverstößen, das sonst nur Konkurrenten des Werbenden zusteht. Die Existenz von Wettbewerbsverbänden ist politisch gewollt und wird dadurch gerechtfertigt, dass Mitbewerber gegen ein unlauteres Wettbewerbsverhalten ihrer Konkurrenten nicht einschreiten, weil sie die mit der Rechtsverfolgung verbundenen Risiken und Mühen nicht auf sich nehmen können oder wollen.

                Ja nun, das sind die Entsprechungen für die Verbraucherschutzverbände für Endverbraucher. Ich habe bis jetzt nichts davon gehört oder gelesen, dass die in Sachen DSGVO abmahnberechtigt sind. Da das nicht jeder ist, gibt es ja die Fälle mit Fälschungen von Mandaten von Firmen, die diese Mandate nie ausgestellt haben.

                Du glaubst doch nicht, dass die sich das entgehen lassen, wenn schon der Erfolg bei anderen Verstößen so groß ist?

                Warum hören und lesen wir dann nicht schon seit einem Monat von den immer wieder beschworenen Abmahnwellen? Es gibt sie offensichtlich nicht. Sollte uns das nicht zu denken geben?

                Tschö, Auge

                --
                Eine Kerze stand [auf dem Abort] bereit, und der Almanach des vergangenen Jahres hing an einer Schnur. Die Herausgeber kannten ihre Leser und druckten den Almanach auf weiches, dünnes Papier.
                Kleine freie Männer von Terry Pratchett
      2. Hallo

        1. Wie würde der Rechtsanwalt reagieren? Würde er die Abmahnung senden oder nicht?

        Frage das bitte einen/den Anwalt. Nicht nur, dass wir das schlecht einschätzen können, die Frage wird auch jeder Anwalt unterschiedlich beantworten.

        1. Die DSGVO fordert einen ausreichenden Schutz personenbezogener Daten, demnach muss man alles dafür tun, damit personenbezogene Daten geschützt werden. Alles dafür tun heißt ich muss E-Mails mit personenbezogenen Daten sowohl tranport- als auch inhaltsverschlüsseln. Das ist zumindest mein aktuelles Verständnis. Nun könnt Ihr mir sicherlich erklären warum das nicht so ist.

        Wo steht das in der DSGVO? Bitte verlinke den/die fraglichen Artikel.

        Tschö, Auge

        --
        Eine Kerze stand [auf dem Abort] bereit, und der Almanach des vergangenen Jahres hing an einer Schnur. Die Herausgeber kannten ihre Leser und druckten den Almanach auf weiches, dünnes Papier.
        Kleine freie Männer von Terry Pratchett
        1. @@Auge,

          1. Wie würde der Rechtsanwalt reagieren? Würde er die Abmahnung senden oder nicht?

          Frage das bitte einen/den Anwalt. Nicht nur, dass wir das schlecht einschätzen können, die Frage wird auch jeder Anwalt unterschiedlich beantworten.

          Das Problem ist das die wenigisten Anwälte den technischen Hintergrund verstehen.

      3. Tach!

        Es gibt weder ein Gesetz das Transportverschlüsselung noch ein Gesetz das Inhaltsverschlüsselung vorschreibt. Ist das so korrekt?

        Es wird kaum ein Gesetz geben, das die Dinge so explizit regelt, weil man nicht möchte, dass man morgen schon wieder ein Gesetz verfassen muss, indem eine neue Gegebenheit berücksichtigt werden muss. Gesetztestexte sind deshalb oftmals absichtlich allgemein gehalten. Ob im konkreten Fall die eine oder andere Maßnahme ausreicht, muss im Zweifelsfall letztlich ein Gericht klären.

        Nehmen wir des weiteren an der E-Mail Empfänger geht zu seinem Rechtsanwalt und sagt diesem folgendes:

        Ich habe eine E-Mail mit personenbezogenen Daten erhalten, diese E-Mail war nicht tranport- und/oder inhaltsverschlüsselt, ich bitte Sie deshalb darum den Sender der E-Mail abzumahnen, weil hier ein klarer Verstoß gegen die DSGVO vorliegt.

        Ein Rechtsanwalt kann keinen Verstoß gegen ein bestimmtes Gesetz ahnden. Das ist Sache der Staatsanwaltschaft und anderer Behörden. Abmahnungen können nur aufgrund einer rechtlichen Beziehung zwischen beiden Parteien ausgesprochen werden. - Dazu braucht es auch keinen Rechtsanwalt. Es wird nur meistens über einen Rechtsanwalt geregelt, weil man annimmt, dass der sich damit auskennt und keinen anfechtbaren Fehler beim Formulieren der Abmahnung macht. - Eine der üblichen rechtlichen Beziehungen, aufgrund derer Abmahnungen ausgesprochen werden, ist das Wettbewerbsrecht. Wenn du aber keinen Nachteil durch die unverschlüsselte Mail aus wettbewerblicher Sicht hast, fällt das als Abmahnungsgrund weg.

        Und wenn man sieht, dass jemand etwas verkehrt macht, dann darf man denjenigen auch direkt ansprechen, und muss nicht gleich die große Keule rausholen.

        1. Die DSGVO fordert einen ausreichenden Schutz personenbezogener Daten, demnach muss man alles dafür tun, damit personenbezogene Daten geschützt werden. Alles dafür tun heißt ich muss E-Mails mit personenbezogenen Daten sowohl tranport- als auch inhaltsverschlüsseln. Das ist zumindest mein aktuelles Verständnis. Nun könnt Ihr mir sicherlich erklären warum das nicht so ist.

        Wenn du etwas genau wissen möchtest, ist es nicht sehr sinnvoll, dass Hörensagen die Grundlage dafür ist. Du darfst und solltest das Gesetz selber lesen, wenn du wissen möchtest, was damit geregelt werden soll.

        dedlfix.

      4. Hallo Karl Heinz,

        meine Meinung(!) zum und meine Erfahrung mit dem Thema E-Mail-Verschlüsselung:

        Schon aus eigenem Interesse - Schutz deiner Zugangsdaten - solltest du die Verbindung zwischen deinem Rechner und dem Server deines Mail-Providers nur verschlüsselt aufnehmen. Aber das sollte inzwischen Standard sein. Auf den Transport zwischen den Mailservern und zum Empfänger hast du keinen Einfluss. Wenn der Absender einer Mail für den kompletten Transportweg zum Empfänger verantwortlich gemacht werden kann, ist das Medium E-Mail tot.

        Bei der Inhaltsverschlüsselung müssen beide, Sender und Empfänger, ein Schlüsselpaar haben und die öffentlichen Teile ausgetauscht haben. (Bei uns z.B. durch Austausch einer unverschlüsselten aber signierten Mail). Und hier fangen die Probleme an: Hat der Empfänger einen persönlichen Schlüssel? Hat der Empfänger ein Mailprogramm, das die von deinem Programm verschlüsselte Mail entschlüsseln kann?

        Meine Erfahrungen da sind eher durchwachsen: mit einem Azubi habe ich ausschließlich verschlüsselte Mails ausgetauscht, das ging "irgendwie" alles automatisch. Wenn ich aber andere Kollegen anschreibe, oder auch meine private Adresse, kommt eine Fehlermeldung (… Verschlüsselung nicht möglich …). Ich habe da bisher weder eine Gesetzmäßigkeit noch einen Grund gefunden.

        Main Fazit daher:

        • Der Mailtransport muss verschlüsselt erfolgen, soweit dein Einfluss reicht.

        • Der Inhalt sollte verschlüsselt werden, wenn erforderlich und wenn möglich. Evtl. musst du vertrauliche Daten in Papierform verschicken, oder aber, wie es meine Versicherung macht, nur den Link zu einem verschlüsselten Download.

        Gruß
        Jürgen

        PS: Schmankerl am Rande: Uns erreichen inzwischen die ersten Anfragen zu den in unseren Systemen gespeicherten personenbezogenen Daten. Diese Anfragen enthalten u.A. Name und Benutzerkennung und werden - natürlich - unverschlüsselt per E-Mail an uns geschickt.

  3. Hallo,

    mal abgesehen von den verständlicheren Bestimmungen der DSGVO, fiel mir gerade etwas auf einer Seite auf, was eine Frage nach sich zieht.

    Die Datenschutzaussagen müssen(glaube ich), ähnlich Anbieterkennzeichnung, leicht zugänglich sein. Gerade sah ich, dass eine Seite sich zwar Mühe damit gibt, aber die Ansicht nicht IE-kompatibel ist. Daher mal die Frage, ob jemand weiß wie das zu handhaben ist, welche Browser unterstützt werden müssen und wie sieht es mit Screenreadern etc. aus?

    Gruss
    Henry

    --
    Meine Meinung zu DSGVO & Co:
    „Principiis obsta. Sero medicina parata, cum mala per longas convaluere moras.“
    1. Hallo,

      Die Datenschutzaussagen müssen(glaube ich), ähnlich Anbieterkennzeichnung, leicht zugänglich sein. Gerade sah ich, dass eine Seite sich zwar Mühe damit gibt, aber die Ansicht nicht IE-kompatibel ist. Daher mal die Frage, ob jemand weiß wie das zu handhaben ist, welche Browser unterstützt werden müssen und wie sieht es mit Screenreadern etc. aus?

      was meinst du mit „aber die Ansicht nicht IE-kompatibel ist.“? Unlesbar oder sieht beknackt aus?

      Einfache Textseiten müssen in allen (gängigen) Browsern (der IE11 gehört dazu) und von Screenreadern lesbar sein. Oder gilt die DSGVO nicht für alle?

      Gruß
      Jürgen

      1. Hallo JürgenB,

        was meinst du mit „aber die Ansicht nicht IE-kompatibel ist.“? Unlesbar oder sieht beknackt aus?

        teilweise unlesbar und (nebensächlich) sieht deshalb natürlich auch unschön aus.

        Einfache Textseiten müssen in allen (gängigen) Browsern (der IE11 gehört dazu) und von Screenreadern lesbar sein. Oder gilt die DSGVO nicht für alle?

        Wer nutzt heutzutage schon eine einfache Textseite? Und nein, nicht jede Seite muss(gesetzlich) barrierefrei sein, während DSGVO für (fast)alle EU-Seiten gilt.

        Gruss
        Henry

        --
        Meine Meinung zu DSGVO & Co:
        „Principiis obsta. Sero medicina parata, cum mala per longas convaluere moras.“
        1. Hallo

          was meinst du mit „aber die Ansicht nicht IE-kompatibel ist.“? Unlesbar oder sieht beknackt aus?

          teilweise unlesbar und (nebensächlich) sieht deshalb natürlich auch unschön aus.

          Wenn die Datenschutzerklärung „leicht zugänglich“ sein soll [1], entspricht sie dieser Forderung nicht, wenn sie „teilweise unlesbar“ ist.

          Einfache Textseiten müssen in allen (gängigen) Browsern (der IE11 gehört dazu) und von Screenreadern lesbar sein. Oder gilt die DSGVO nicht für alle?

          Wer nutzt heutzutage schon eine einfache Textseite? Und nein, nicht jede Seite muss(gesetzlich) barrierefrei sein, während DSGVO für (fast)alle EU-Seiten gilt.

          Dann muss eben die Datenschutzerklärung selbst eben doch „eine einfache Textseite“, also eine HTML-Seite sein [2]. Das läuft dann in allen Browsern. Es sollte jedenfalls nicht dagegen sprechen, die Seiten eines Auftritts, den technischen und juristischen Anforderungen nach, auf unterschiedlicher technischer Basis aufzubauen.

          Tschö, Auge

          --
          Eine Kerze stand [auf dem Abort] bereit, und der Almanach des vergangenen Jahres hing an einer Schnur. Die Herausgeber kannten ihre Leser und druckten den Almanach auf weiches, dünnes Papier.
          Kleine freie Männer von Terry Pratchett

          1. Man denke an dieser Stelle auch an die Forderung, sie in verständlicher Sprache abzufassen, die viele Erklärungen wegen der maßlosen Verwendung juristischer Begriffe meiner Meinung nach nicht erfüllen. ↩︎

          2. Ich verstehe sowieso nicht, warum so viele Seiten – oft eines sich schnell abnutzenden Effekts wegen – Barrieren aufbauen, wo keine sein müssten. ↩︎

        2. Hallo Henty,

          Impressum und Datenschutzhinweis sind für mich einfache Textseiten.

          Gruß
          Jürgen

          1. hallo

            Impressum und Datenschutzhinweis sind für mich einfache Textseiten.

            ausser wenn's um deine Website geht...

            Theoretisch lassen sie sich als reine txt Dateien erstellen. Warum denn auch mit Semantik die Zugänglichkeit unnötig erschweren. Sei das Brot so trocken wie die Paragraphen, die danach verlangen.

            --
            Neu im Forum! Signaturen kann man ausblenden!
            1. Hallo Beat,

              warum soll sich „einfache Textseite“ und Semantik ausschließen?

              Gruß
              Jürgen

              1. hallo

                warum soll sich „einfache Textseite“ und Semantik ausschließen?

                Wir können in text/plain natürlich von der Semantik von unicode emojis reden.

                text/html ist keine einfache Textseite. Quelltext lesen war noch nie ein Genuss.

                --
                Neu im Forum! Signaturen kann man ausblenden!
                1. Hallo Beat,

                  ok, aber für mich ist eine Seite, die nur Text enthält, eine „einfache Textseite“. Ob die Seite dann als txt ausgeliefert wird, oder als semantisches HTML spielt da für mich keine Rolle.

                  Um aufs Thema zurückzukommen: Impressum und Datenschutzhinweis können als einfache nur aus Text bestehende HTML-Seite so erstellt werden, dass sie jeder Browser lesbar darstellen kann. Das kann natürlich beliebig aufgehübscht werden, aber so, das es, wenn die eingesetzte Technik nicht unterstützt wird, lesbar bleibt.

                  Gruß
                  Jürgen

  4. Hallo,

    vielen Dank für die zahlreichen Antworten. Ich ziehe mal ein Fazit bzw. passe die Rückmeldung an meinen Kunden wie folgt an. Ich werde mich persönlich mit dem Kunden treffen, demnach bekommt er die recht komplexe E-Mail noch persönlich erklärt.

    Hier also die E-Mail:

    Technische Grundlagen der E-Mail Verschlüsselung

    Grundsätzlich muss man bei der Verschlüsselung bezogen auf E-Mails zwischen der Transportverschlüsselung (SSL/TLS oder STARTTLS) und Inhaltsverschlüsselung (S/MIME oder OpenPGP) unterscheiden.

    Bei der Transportverschlüsselung wird der Kanal zwischen E-Mail Client (Web-Client oder Desktop-Client des Senders und/oder Empfängers) und E-Mail Server (des Senders und/oder des Empfängers) verschlüsselt. Durchläuft die Nachricht während des Versands andere „fremde“ E-Mail-Server, die weder dem Sender noch dem Empfänger zuzuordnen sind, so haben weder Sender noch Empfänger einen Einfluss auf diese Server, demnach ist hier nicht gewährleistet, dass der Kanal, über welchen die Nachricht übertragen wird, bei diesen „fremden“ E-Mail Servern verschlüsselt ist. Auf fremden E-Mail Servern ist somit keine Transportverschlüsselung garantiert.

    Bei der Inhaltsverschlüsselung wird die Nachricht selbst verschlüsselt, somit liegt die Nachricht nur beim Sender und beim Empfänger im Klartext vor. Einem Angreifer, der die Nachricht während der Übertragung abfangen würde, läge nur die verschlüsselte Nachricht vor. Zur verschlüsselten Übertragung wird ein asynchrones Verschlüsselungsverfahren wie z.B. S/MIME oder OpenPGP verwendet. Die nachfolgenden beiden Videos erklären OpenPGP im Detail. Das erste Video erläutert die Theorie (interessant vor allem ab 5 Minuten und 10 Sekunden), das zweite Video erläutert die Praxis. Aus dem zweiten Video sollte ersichtlich werden, dass bei der Inhaltsverschlüsselung von E-Mails etwas Arbeit erforderlich ist. Sowohl beim Senden als auch beim Empfangen von verschlüsselten E-Mail sind Vorbereitungen beim Sender UND beim Empfänger zu treffen.

    • Möchte man eine verschlüsselte E-Mail versenden, so muss man zunächst den öffentlichen Schlüssel des Empfängers erhalten. Dazu müssen sowohl Sender und Empfänger Ihren E-Mail Client für PGP konfigurieren.

    • Möchte man eine verschlüsselte E-Mail empfangen, so muss man zunächst dem Empfänger den eigenen öffentlichen Schlüssel zukommen lassen. Dazu müssen sowohl Sender und Empfänger Ihren E-Mail Client für PGP konfigurieren.

    In der Praxis ist konsequente Inhaltsverschlüsslung mit ALLEN E-Mail Partnern deshalb nicht umsetzbar, zum einen, weil nicht alle E-Mail Partner über das nötige Know How verfügen um PGP einzurichten, zum anderen, weil der Aufwand ein zumutbares Maß übersteigen würde.

    DSGVO und E-Mail Verschlüsselung

    Die DSGVO fordert einen angemessenen Schutz personenbezogener Daten. Nun stellt sich die Frage wie angemessen laut Gesetzgeber definiert wird. Genau das ist der Knackpunkt. Zum aktuellen Zeitpunkt liegt hier noch keine Definition vor. Man wir hier abwarten müssen, bis der Gesetzgeber dies genauer definiert oder bis eine Klage vorliegt bezüglich welcher der EuGH entsprechend entscheidet.

    • Grundsätzlich bin ich der Meinung, dass bei einem EuGH-Urteil angemessen bezogen auf die Transportverschlüsselung sicherlich zutreffen wird, zumal ich keinen deutschen Mailanbieter kenne der noch ohne Transportverschlüsslung arbeitet und da die Einrichtung damit garnicht anders möglich ist.

    • Hinsichtlich der Inhaltsverschlüsselung bin ich der Meinung, dass aufgrund der nicht möglichen (zumindest bezogen auf ALLE Mailpartner) bzw. nur sehr aufwändig möglichen Umsetzung in der Praxis „angemessen“ bei einem EuGH-Urteil nicht zutreffen wird.

    Mein persönliches Fazit aus DSGVO Perspektive

    Transportverschlüsslung sollte unbedingt angewandt werden. Auf Inhaltsverschlüsselung kann man verzichten.

    1. Hallo Karl Heinz,

      … Auf Inhaltsverschlüsselung kann man verzichten.

      diese Aussage würde ich vom Inhalt der Mail abhängig machen, und auch von den technischen Gegebenheiten. 1und1 und DomainFactory schicken mir ihre Rechnungen per E-Mail, da ich bei beiden ein Mail-Konto habe und die Transportverschlüsselung sichergestellt ist. Meine Versicherung und auch meine Bank schicken mir dagegen nur Infos, dass Nachrichten zum Download bereitliegen.

      Gruß
      Jürgen

    2. Servus!

      Vielen Dank an @Karl Heinz und die anderen Foristen für diese sehr verständliche Zusammenfassung.

      Ich habe diese auf seinen Vorschlag hin im SELF-Blog veröffentlicht:

      Technische Grundlagen der E-Mail Verschlüsselung

      Herzliche Grüße

      Matthias Scharwies

      --
      "An alle, die nie an mich geglaubt haben und gesagt haben, aus mir werde nie was. Ich bin jetzt Admin bei einer WhatsApp Gruppe!"
      1. @@Matthias,

        Ich habe diese auf seinen Vorschlag hin im SELF-Blog veröffentlicht:

        Vielen Dank an den Frühaufsteher.