Daten

Transportverschlüsselung beim E-Mail Versand mit der Privacy Compliance Mail

Veröffentlicht am 10 April 2019 | von Lisa Marie Lindemann

0

Mit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Mai 2018 sind auch die technischen Anforderungen an digitales Dialogmarketing gestiegen und Marketer versuchen, diesen gerecht zu werden. Dazu gehören unter anderem Anforderungen hinsichtlich der Verschlüsselung von Kommunikation. Kürzlich hat nun die Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI) in NRW eine Stellungnahme veröffentlicht, in der sie technische Anforderungen für die Versandverschlüsselung von E-Mails thematisiert. Inwiefern aber sind diese Anforderungen und Empfehlungen zur Umsetzung realistisch für echte Anwendungsfälle, z.B. in der Marketing- und Servicekommunikation? Kann überhaupt jeder Provider diese Anforderungen erfüllen? Und wenn die Anforderungen nicht erfüllt werden können, was dann? Es gibt durchaus Alternativen zur empfohlenen TLS-Verschlüsselung. Wie diese aussehen können, verraten wir Ihnen in diesem Blogbeitrag.

Doch sind Sie davon überhaupt betroffen? Grundsätzlich gelten die Anforderungen an Verschlüsselung für alle E-Mails, die personenbezogene Daten beinhalten. Dies können beispielsweise Transaktionsmails sein, die üblicherweise Adress- und Transaktionsdaten beinhalten. Auch in der Korrespondenz zwischen Unternehmen und Kunden, Unternehmen und Partnern aber auch unternehmensintern werden oftmals personenbezogene Daten übermittelt. So übermittelt beispielsweise der Hersteller BMW Motorrad personenbezogene Daten zu Testfahrtanfragen verschlüsselt per E-Mail an Vertragshändler (siehe Case Study am Ende des Artikels).

„Es bedarf mindestens der Transportverschlüsselung, wie sie von namhaften europäischen Providern standardmäßig angeboten wird“

Dies ist ein Zitat aus der erwähnten Stellungnahme vom 25.01.2019, welches ein Kriterium benennt, das Unternehmen, laut LDI, beim Versand von E-Mails erfüllen müssen. Aber wer genau sind „namhafte europäische Provider“? Diese Frage lässt sich nicht so leicht beantworten. Das Problem ist bereits das Wort “Provider”. Was ist damit gemeint? Wir gehen davon aus, dass hier E-Mail Service Provider gemeint sind. Wie sehen deren standardmäßige Transportverschlüsselungs-Methoden aus? Dazu wird im Weiteren ausgeführt, dass eine Transportverschlüsselung nach den technischen Richtlinien „BSI TR-03108 Sicherer E-Mail-Transport“ eingerichtet werden sollte. In diesen Richtlinien findet sich der Begriff „DANE“. Hierbei handelt es sich um eine Technik, mit der sich Domainnamen mit TLS-/SSL-Zertifikaten verknüpfen lassen, um so festzulegen, welche Sicherheitszertifikate für eine Domain gültig sind. Im Wesentlichen bedeutet dies, dass unter der „standardmäßig angebotenen Transportverschlüsselung“, also dem Mindestsoll, TLS zu verstehen ist. Doch selbst wenn diese Art der Verschlüsselung als Standard angesehen werden kann, da sie von den Meisten E-Mail Providern unterstützt wird, so eben doch nicht von allen. Wenn keine Verschlüsselung per TLS möglich ist, dann bekommt der Empfänger dies nicht mit und weiß nicht, dass seine Inhalte unverschlüsselt versendet wurden. Diese Tatsache birgt Problempotential.

Realistische Aussichten auf Einhaltung?

Wenn Sie selbst, bzw. Ihr E-Mail Service Provider Transportverschlüsselung per TLS anbietet, aber der Provider einer Ihrer Empfänger tut das nicht, dann kann diese Art der Verschlüsselung nicht durchgeführt werden. Denn der Empfänger könnte nicht entschlüsseln, was Sie versenden. Deshalb verständigen sich die Provider von Sender und Empfänger vor dem Übermitteln der E-Mail über die Art der Verschlüsselung. Was können Sie also tun? Nicht viel, da Ihre Nachrichten einfach unverschlüsselt versendet werden, wenn es keine TLS-Kompatibilität gibt. Hier zeigt sich deutlich das Problem, dass die Stellungnahme der LDI beinhaltet. Derzeit bieten längst nicht alle Provider die nötigen Methoden und Maßnahmen an. Das bedeutet, wenn Sie nicht unverschlüsselt oder gar nicht versenden wollen, brauchen Sie eine Alternative.

Sichere Weiterleitung ist der Schlüssel

Ein Lösungsweg sieht folgendermaßen aus: Sofern die verschlüsselte Übertragung der konkreten Nachricht nicht möglich ist, wird eine alternative Nachricht versendet, in der nur ein Link enthalten ist. Dieser leitet den Empfänger in einen gesicherten Bereich weiter (eine sichere Domain, Cloud, etc.), wo er mit separat gesendeten, autorisierten Zugangsdaten auf die Inhalte zugreifen kann. Zugangsdaten, wie Passwörter, sollten allerdings auch keinesfalls unverschlüsselt versendet werden. Hierfür könnten Sie eine SMS versenden, um die Daten mitzuteilen. Den Link versenden Sie also per E-Mail und das Passwort oder den Zugriffscode, ohne weitere Hintergrundinformationen und Kontext, per SMS. Auf diese Weise wird die Übermittlung, dank getrennter Kanäle, noch etwas sicherer.

Privacy Compliance Mail

Unsere Realtime Marketing Automation Technologie ELAINE® ermöglicht standardmäßig den verschlüsselten Versand über die erwähnte Methode mittels der Privacy Compliance Mail. Mittels eines sog. TLS-Bounce wird abgefragt, ob TLS-Verschlüsselung vom Empfänger unterstützt wird. Sollte dies nicht der Fall sein, so werden die Inhalte niemals unverschlüsselt verschickt, sondern es wird ein PDF mit dem Inhalt erstellt, auf welches der Empfänger über ein separat versendetes Passwort zugreifen kann. Der Versand des Passworts sowie des Links zum Dokument erfolgen automatisiert. Auf diese Weise können Sie die Anforderungen zur Transportverschlüsselung umsetzen, auch wenn die technischen Gegebenheiten bei Ihren Empfängern dies eigentlich nicht zulassen würden. Die Privacy Compliance Mail unterstützt damit die Umsetzung und die Ziele des LDI NRW.

Verschlüsselte Datenübertragung bei BMW Motorrad
In dieser Case Study zeigen wir Ihnen, wie BMW Motorrad per Privacy Compliance Mail personenbezogene Daten verschlüsselt zwischen Hersteller und Vertragshändlern überträgt. Klicken Sie zum Download auf das Cover und füllen Sie das Formular aus.

Thumb Case Study: BMW Motorrad

Bitte füllen Sie dieses Feld aus.

Bitte füllen Sie dieses Feld aus.

Bitte füllen Sie dieses Feld aus.

Bitte füllen Sie dieses Feld aus.

Bitte füllen Sie dieses Feld aus.

Bitte füllen Sie dieses Feld aus.

Hinweis: Ihre Daten werden nicht an Dritte weitergegeben. Die Einwilligung können Sie jederzeit durch Klick am Ende jeder E-Mail widerrufen.
* Pflichtfeld


Autor:


Die artegic AG unterstützt Unternehmen beim Aufbau von kundenzentriertem, digitalen, Best-In-Class Dialogmarketing. artegic hat über 10 Jahre Erfahrung im Bereich Marketing Engineering. Das Leistungsportfolio umfasst Beratung, IT-Integration und Technologie für Realtime Marketing Automation und Online CRM. artegic ist der führende deutsche Spezialanbieter von Standardsoftware für Realtime Marketing Automation mit E-Mail und Mobile sowie Betreiber einer der größten Software-as-a-Service Plattformen für digitales Marketing in Europa. Mit 65 Mitarbeitern an den deutschen Standorten Bonn und München sowie internationalen Repräsentanzen steht artegic für nachhaltig erfolgreiches Dialogmarketing mit signifikant besseren Ergebnissen und weniger operativem Aufwand. Kern der Lösungen von artegic ist die vielfach prämierte ELAINE Online Dialog CRM Suite für beeindruckendes digitales Cross-Channel Dialogmarketing in Echtzeit. 2015 wurde die Lösung von der Fachpresse zur besten europäischen Marketing Suite für kundenzentriertes Marketing gekürt. Über artegic Technologie stehen rund 82 Prozent der Deutschen Internetnutzer mit Unternehmen in Kontakt. Jeder dritte DAX Konzern sowie internationale Key-Player wie BMW, PAYBACK, RTL, BURDA, REWE, Web.de, und maxdome zählen zu den Kunden von artegic. Weltweit werden jeden Monat über artegic Technologie rund 2,7 Mrd. E-Mails, SMS und Social Media Messages in 141 Länder versandt. artegic ist vom TÜV Rheinland unternehmensweit nach dem internationalen Standard für IT- und Datensicherheit ISO/IEC 27001 zertifiziert. Das 2005 gegründete Fraunhofer Spin-Off wurde vielfach ausgezeichnet für Innovation und die richtungweisende Umsetzung datenschutzrechtlicher Anforderungen u.a. mit dem eco Internet Award, dem Cased Security Award und dem International Business Award (Stevie).

Tags: , ,



Nach Oben ↑