Mit Sicherheit

Die E-Mail ist zu groß. Ich lege Ihnen die Daten mal schnell auf meine Dropbox.“ Wer als Unternehmer in der betrieblichen Praxis solche Aussagen hört, sollte das Kleingedruckte in den Nutzungsvereinbarungen des jeweiligen Cloud-Dienstes gut gelesen und verstanden haben. Aber auch, wer vertrauliche Daten per E-Mail versendet, bewegt sich auf dünnem Eis: Denn die Nachricht und sämtliche Anhänge werden mehrfach im Klartext gespeichert – auf dem E-Mail-Server des eigenen Providers, auf dem Mail-Server des Providers des Empfängers und gegebenenfalls bei weiteren Dienstleistern, die mit der Zustellung beauftragt sind. Man weiß in der Regel nicht, wer diese Dienstleister genau sind und welche Datenschutzbestimmungen sie einhalten. Sollte einer dieser Provider ein amerikanisches Unternehmen sein, liegen die Informationen im Klartext in den USA.

Wer das nicht möchte oder aus Gründen der betrieblichen Geheimhaltung nicht darf, verschlüsselt die Informationen nicht nur bei der Übertragung, sondern auch beim Zwischenspeichern während und am Ende des Transports. Bei dieser sogenannten Ende-zu-Ende-Verschlüsselung kann nur der Empfänger auf die Daten zugreifen. Die technischen Verfahren dafür sind seit Langem bekannt und gelten – richtig angewandt – nach wie vor als sicher. Jedoch mangelt es an der einfachen Nutzbarkeit von Verschlüsselung, sodass diese im betrieblichen Kommunikationsalltag immer noch zu wenig zum Einsatz kommt.

E-Mail-Verschlüsselung reicht nicht aus

Bei der E-Mail-Kommunikation beginnen die Hürden mit den verschiedenen Standards: Sowohl S/MIME als auch PGP/OpenPGP werden häufig verwendet, sind aber völlig inkompatibel zueinander. Auch wenn die Verfahren inzwischen in die allermeisten E-Mail-Programme integriert sind (zumindest nachrüstbar per Add-In), muss trotzdem noch eine Reihe von Voraussetzungen erfüllt sein, damit Sender und Empfänger sicher miteinander kommunizieren können. Das grundsätzliche Problem ist immer das gleiche: Der Sender weiß in der Regel nicht, ob der Empfänger Verschlüsselung akzeptiert, welches der etablierten Verfahren dieser verwendet und mit welchem Kryptoschlüssel die Informationen zu sichern sind. Das hat dazu geführt, dass auch 25 Jahre nach der ersten Veröffentlichung des PGP-Verfahrens gerade einmal 15 Prozent der Internet-Nutzer ihre E-Mails verschlüsseln, wie der IT-Branchenverband Bitkom im vergangenen Jahr in einer Studie feststellte.

Selbst wenn beide Seiten geklärt haben, dass die technischen Voraussetzungen für einen verschlüsselten E-Mail-Austausch zusammenpassen, stehen sie oft vor der nächsten Hürde – der Datengröße. Denn meist ist bei 50 Megabyte Schluss, sodass bei größeren Datenmengen alternative Verfahren für einen zuverlässigen und sicheren Datenaustausch gesucht werden müssen. An dieser Stelle kommen Dropbox & Co. ins Spiel: Diese Cloud-Speicherlösungen sind aus dem privaten Bereich bekannt, breit verfügbar und funktionieren hervorragend auch bei größeren Volumina.

Was jedoch im privaten Bereich rechtlich noch tragbar ist, kann nicht als Maßstab für die Unternehmenskommunikation gelten. Zumindest bei den bekannten, großen Cloud-Speicher-Anbietern liegen die Daten physisch entweder direkt in den USA oder unterliegen zumindest den rechtlichen Offenlegungsvorschriften der USA. Dies gilt auch für die kommerziellen Angebote dieser Cloud-Anbieter, die sich an Unternehmen richten. Dabei geht es nicht nur um den Schutz vor möglicher Staats- oder Industriespionage, denn eine Vielzahl von Datenlecks entsteht durch Unachtsamkeit oder beispielsweise weil ein Administrator seinem Arbeitgeber schaden möchte. Eine Ende-zu-Ende-Verschlüsselung kann solche Probleme im Prinzip unterbinden.

Der rechtliche Rahmen

Bei der sicheren Datenübermittlung geht es nicht nur um technischen Fragen, sondern auch um die Beachtung rechtlicher Vorschriften: Das Bundesdatenschutzgesetz (BDSG), das im Mai 2018 von der EU-Datenschutz-Grundverordnung (EU-DS-GVO) abgelöst wird, fordert in § 9 technische und organisatorische Maßnahmen, um die Vertraulichkeit von personenbezogenen Daten zu sichern. Um diese Vorgabe einzuhalten, könnte man theoretisch auf die elektronische Verarbeitung personenbezogener Daten verzichten oder von jedem Kommunikationspartner eine schriftliche Einverständniserklärung über die Art, den Umfang und die Nutzung der Daten einfordern. Das Entscheidende hierbei ist: Solange man keine Vereinbarung über die Auftragsdatenverarbeitung mit dem Dienstleistern schließt, den man mit der elektronischen Kommunikation betraut hat, ist man selbst der Verantwortliche im Sinne des BDSG und wird bei Datenschutzverstößen haftbar gemacht.

Auch das Bundesfinanzministerium hat mit den GoBD („Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“) Vorschriften erlassen, die seit Anfang 2017 von jedem Unternehmen einzuhalten sind. Dabei geht es um die vollständige und revisionssichere Aufbewahrung von geschäftsrelevanter elektronischer Kommunikation. Auch nach mehreren Jahren müssen Unternehmer also in der Lage sein, alle Rechnungen oder Verträge, die per E-Mail oder mittels anderer elektronischer Verfahren ausgetauscht wurden, auf Verlangen der Finanzbehörden herauszusuchen und die Korrektheit der Dokumente zu belegen.

Nachvollziehbar und beweisbar

Bei der E-Mail-Kommunikation ziehen die technischen Beschränkungen unmittelbar rechtliche Fragen nach sich: Der Empfang einer Nachricht lässt sich nicht zuverlässig nachvollziehen; zudem lässt sich die Weiterverbreitung einer einmal versandten E-Mail weder kontrollieren noch unterbinden. Der oft am Ende einer E-Mail hinzugefügte Wunsch „Bitte diese Informationen nicht weiterschicken!“ ist eine unzureichende Maßnahme für wirklich vertrauliche Dokumente. Es wäre wünschenswert, Nutzungsberechtigungen an versandten Dateien zu vergeben und diese Berechtigungen auch nach dem Versenden überwachen zu können.

Ebenso ist die Beweisbarkeit einer E-Mail eine wackelige Angelegenheit: Man zwar kann das Versenden einer Nachricht belegen, nicht jedoch deren Empfang. Die Behauptung „Ich habe diese E-Mail nie erhalten“ kennt jeder aus dem geschäftlichen Alltag. Im besten Fall ist dies nur ärgerlich, aber häufig kann es handfeste rechtliche Auswirkungen haben – beispielsweise wenn belegt werden soll, dass der Empfänger die bestimmte Version eines Vertragsentwurfs zu einem genauen Zeitpunkt erhalten hat. Seit Mitte 2016 existiert dazu die EU-Richtlinie eIDAS („Elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“), die digitale Verfahren zur Beweisbarkeit von Datenübertragungen regelt. Dabei handelt es sich im Kern um EU-weit geltende gemeinsame Vorgaben für elektronische Signaturen bzw. für Siegel und Zeitstempel von Dokumenten. Eine Datenübertragung unter Berücksichtigung dieser Vorschriften hat die gleiche Beweiskraft wie ein unterschriebenes Dokument.

Verfahren des Datenaustauschs überprüfen

Die Anforderungen an elektronische Datenkommunikation zwischen Unternehmen sind somit vielfältig: Den rechtlichen Rahmen bilden das BDSG bzw. demnächst die EU-DS-GVO sowie die Vorschriften der GoBD. Die unternehmerischen Anforderungen liegen darin, Vertraulichkeit, Integrität und Kontrolle der übertragenen Daten zusichern zu können. Wer dagegen unkoordiniert verschiedene Kommunikationsverfahren im Betrieb zulässt, animiert die Mitarbeiter zu „kreativen“ Lösungen und leistet damit der Entstehung einer „Schatten-IT“ im Unternehmen Vorschub, die einem vertraulichen und sicheren Datenaustausch zuwider läuft.

Sicherheit und Cloud müssen aber keine Gegensätze darstellen. Mit geeigneten Systemen kann gewährleistet werden, dass folgende Kernpunkte einer zuverlässigen, sicheren und rechtskonformen Kommunikationslösung auch unter Nutzung von Cloud-Diensten gewährleistet sind:

• Ende-zu-Ende-Verschlüsselung
• revisionssichere Archivierung
• Nachvollziehbarkeit und Beweisbarkeit
• Kontrolle der Datenverbreitung

Selbstverständlich kann eine solche Lösung nur funktionieren, wenn alle Mitarbeiter und Geschäftspartner damit umgehen können – sowohl in technischer Hinsicht (Lösung läuft „überall“ problemlos) als auch im Hinblick auf eine einfache Bedienbarkeit.