Kürzlich durfte ich als Gast bei einem Podcast von “Das Duumvirat“ mit dem Titel „Die Mail-Verschlüsselung ist fast kaputt“ teilnehmen, der sich ganz dem Thema E-Mail-Verschlüsselung widmete. Wir gehen darin u.a. der Frage nach, ob Unternehmen verpflichtet sind ihren E-Mail Verkehr zu verschlüsseln. Auslöser war eine Mitteilung der Bremer Datenschutzbehörde, dass Rechtsanwältinnen und Rechtsanwälte in der E-Mail-Kommunikation mit ihren Mandantinnen und
Mandanten eine Ende-zu-Ende-Verschlüsselung berücksichtigen müssen.
Ist das rechtlich haltbar und realistisch oder völlig weltfremd? Und was sagen die Datenschutzaufsichtsbehörden dazu?
Wir diskutierten weiter über zwei der bekanntesten und am häufigsten verwendeten Methoden: PGP (Pretty Good Privacy) und S/MIME (Secure/Multipurpose Internet Mail Extensions).
PGP ist eine Verschlüsselungs- und Authentifizierungstechnologie, die häufig für E-Mails und Daten im Allgemeinen verwendet wird. Es verwendet ein asymmetrisches Verschlüsselungssystem, bei dem jeder Benutzer über zwei Schlüssel verfügt: einen öffentlichen Schlüssel zum Verschlüsseln von Nachrichten und einen privaten Schlüssel zum Entschlüsseln.
Auf der anderen Seite steht S/MIME, eine Standardspezifikation für die Verschlüsselung von E-Mails. S/MIME verwendet ebenfalls das Prinzip der asymmetrischen Verschlüsselung, bietet aber zusätzlich eine digitale Signatur, die die Authentizität und Integrität der Nachricht bestätigt. S/MIME ist in vielen gängigen E-Mail-Clients bereits integriert, was die Nutzung erleichtert.
Während des Podcasts hatten wir Gelegenheit, die Vor- und Nachteile beider Verfahren zu diskutieren. Ein wesentlicher Unterschied liegt in der Art und Weise, wie die Schlüssel verwaltet werden. PGP ermöglicht es den Benutzern, ihre Schlüssel selbst zu verwalten, während S/MIME auf eine Zertifizierungsstelle angewiesen ist, um die Schlüssel zu verwalten und zu verteilen.
Wir sprachen auch über die tatsächlichen und rechtlichen Herausforderungen im Zusammenhang mit E-Mail-Verschlüsselung. Dazu gehören Themen wie Benutzerfreundlichkeit, Schlüsselverwaltung und die Notwendigkeit, das Bewusstsein für die Bedeutung von E-Mail-Sicherheit zu schärfen.
In diesem Zusammenhang haben wir auch darüber gesprochen, wie elektronische Signaturen rechtlich zu bewerten sind:
Die gesetzliche Grundlage für digitale Signaturen legt die europäische eIDAS-Verordnung.
Die Verordnung unterscheidet drei digitale Signaturen:
- die einfache elektronische Signatur
- die fortgeschrittene elektronische Signatur
- die qualifizierte elektronische Signatur
Wir beraten Unternehmen in allen rechtlichen Fragen im Zusammenhang mit der Digitalisierung!
