E-Mails der nächsten Generation

E-Mails der nächsten Generation

ENTSCHEIDER kompakt im Interview mit Georg Nestmann, CEO der Comcrypto GmbH. Wer E-Mails datenschutzkonform versenden möchte, muss bislang einen beträchtlichen Aufwand mit einer Ende-zu-Ende-Verschlüsselung betreiben. Heute sprechen wir mit Georg Nestmann, CEO von Comcrypto über seine praxistaugliche Lösung für dieses Problem.

Entscheider kompakt: In Ihrer Unternehmensbeschreibung geben Sie an, dass der überwiegende Teil geschäftlicher E-Mails nicht datenschutzkonform übertragen wird. Woher beziehen Sie dieses Wissen?

Georg Nestmann: Das ist tatsächlich so. Schauen Sie in Ihren Gesendet-Ordner: Wie viele der E-Mails, die Sie an Empfänger außerhalb Ihres Unternehmens versendet haben, enthalten personenbezogene Daten? Namen, Adressen, Bankverbindungen, persönliche Angaben? Von Versicherungs-, Gesundheits-, Finanz- oder Sozialdaten müssen wir da noch gar nicht sprechen, die Datenschutzanforderungen greifen schon viel früher. Und jede dieser E-Mails hätte verschlüsselt übertragen werden müssen. Das erfüllen leider die wenigsten, weil es zu schwierig ist.

Entscheider kompakt: Was ist der Unterschied zwischen Transport- und Inhaltsverschlüsselung und wann wird sie jeweils zwingend benötigt?

Georg Nestmann: Dazu gibt es jetzt endlich klare Aussagen der deutschen Datenschutzkonferenz, also des Gremiums der Datenschutzbehörden der Länder und des Bundes. Seit Mai 2020 steht fest: eine „normale“ Transportverschlüsselung, wie sie heutzutage in der Breite verwendet wird, genügt höchstens für unsensible Informationen. Eine bessere Wahl zur sicheren E-Mail-Übertragung ist die qualifizierte Transportverschlüsselung. Sie ist zwar technisch deutlich aufwendiger, aber einmal umgesetzt sind auf diese Weise sicher übertragene E-Mails wie ein postalisches Einschreiben zu werten.
Sie können also sicher gehen, dass Ihre E-Mail den richtigen Empfänger-Briefkasten erreicht hat und kein unbefugter Dritter Zugriff auf die Daten hatte. Das genügt für normales und hohes Schadensrisiko und damit für die Alltagsanforderungen in Industrie, Wirtschaft, sozialen Einrichtungen und Verwaltung. Nur wenn eine Schweigepflicht besteht, muss eine E-Mail Ende-zu-Ende verschlüsselt werden. Diese Abgrenzung ist auch absolut nachvollziehbar, denn Ende-zu-Ende-Verschlüsselung benötigt die Abstimmung mit jedem einzelnen Empfänger und ist sehr aufwändig. Das ist in der Breite gar nicht machbar, und das weiß natürlich auch die Datenschutzkonferenz.

Entscheider kompakt: Sobald E-Mails personenbezogene Daten enthalten, müssen sie verschlüsselt übertragen werden. Wie kann man prüfen ob dieses Problem bereits auf Serverebene ausreichend gelöst ist?

Georg Nestmann: Wir haben dafür einen Testempfänger eingerichtet. Schreiben Sie einfach eine Testmail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. und warten auf das Testergebnis. Ich sage es aber gleich vorweg: Die meisten E-Mail-Server werden durchfallen, da sie die notwendigen Sicherheits- und Datenschutzprüfungen einfach nicht durchführen können oder praktikabel beherrschen.

Entscheider kompakt: Wann ist im Geschäftsbereich ein normales Risiko gegeben und wann muss man von einem erhöhten Risiko sprechen?

Georg Nestmann: Die Datenschutzkonferenz hat dafür viele Praxisbeispiele geliefert. Daten mit normalem Risiko sind z.B. Buchungsbestätigungen oder Rechnungen. Hohes Risiko liegt vor bei Gehaltsnachweisen oder Zeugnissen, Sozialdaten oder Angaben zur Gesundheit, politischen oder sexuellen Orientierung einer Person. Die Daumenregel lautet: Hätte eine betroffene Person, wenn eine E-Mail wegkommt oder manipuliert wird, dadurch einen hohen materiellen oder auch gesellschaftlichen Schaden zu befürchten, oder liegt die Schadenshöhe darunter?
Mit unserer qualifizierten Transportverschlüsselung kann man sich diese Klassifizierung sparen, sie erfüllt die Datenschutzanforderungen für jedes dieser Beispiele.

Entscheider kompakt: Die Datenschutzkonferenz der Datenschutzbehörden der Länder und des Bundes (DSK) hat Ihre Technologie bestätigt. Damit gilt sie als DSGVO- konform. Was macht Ihre Lösung darüber hinaus einfach und praxistauglich?

Georg Nestmann: Die Mitarbeiter werden aus der Pflicht genommen, sich um den Datenschutz kümmern zu müssen. Sie klicken bei einer E-Mail einfach auf „Senden“ und unsere Software erledigt den Rest. Das ist ganz entscheidend. Denken Sie an Unternehmen und Konzerne mit tausenden und abertausenden Mitarbeitern. An die Schulungsaufwände, die Steuerungs- und Kontrollaufwände, all diese organisatorischen Einzelmaßnahmen. Und trotzdem bleibt die Fehlerquelle Mensch. Das erzeugt viel Reibung, das hemmt Digitalisierung und Kommunikation, daran hat niemand Freude. Die Mitarbeiter nicht, die Datenschützer nicht, die IT-Abteilung nicht, und letztlich auch nicht der Kunde, Patient oder Bürger, der ewig keine Antwort erhält oder mit Passwörtern hantieren muss, nur um eine E-Mail lesen zu können. Mit unserer Lösung fällt das alles weg bzw. wird auf die wenigen Fälle reduziert, wo es wirklich notwendig ist. Man kann unser Produkt tatsächlich mit einem einzigen Klick einrichten, hat als Datenschutzbeauftragter oder Compliance Officer danach alles im Blick und kann an einer zentralen Stelle tatsächlich agieren. Man sieht das erste Mal, wo überhaupt Datenschutzprobleme bestehen und kann die Datenschutz-Policy für die E-Mail-Kommunikation zentral umsetzen.

Entscheider kompakt: Für welche Unternehmensarten und Unternehmensgrößen ist Ihre Technologie besonders geeignet?

Georg Nestmann: Bei großen Unternehmen sind die Effekte natürlich am größten, da geht es ganz schnell um Einsparpotenziale im Millionenbereich. Auch bei der Entlastung der Mitarbeiter sind die Effekte beträchtlich. Handelt es sich dann noch um Branchen der Versicherungswirtschaft, der Finanzdienstleistungen, des Sozial- oder Gesundheitswesen, die im großen Maße mit personenbezogenen Daten im hohen Risikobereich umgehen und die Pflicht haben, ihre Prozesse sicher zu digitalisieren, ist die Lösung von Comcrypto die richtige Antwort und hochkompatibel mit allem, was sich diese Unternehmen schon an IT-Landschaft aufgebaut haben.
Wir haben dieses Produkt aber so entwickelt, dass es auch für KMU, für kleine und kleinste Unternehmen und sogar für den Freiberufler funktioniert und bezahlbar ist. Es wird einfach im monatlichen Abonnement genutzt, auf Wunsch als Cloud-Service. Der Preis richtet sich nach der Anzahl der Postfächer des Unternehmens. Wie viele E-Mails dann verschickt werden, an wie viele Empfänger und ob große Dateianhänge dabei sind, spielt aber keine Rolle, das Programm arbeitet still und leise im Hintergrund.

Entscheider kompakt: Wir bedanken uns für diese wichtigen und interessanten Informationen.
Die Interviewfragen stellte Erika Alkemper-Heinrich

Kontakt:

dfmag qr comcrypto

comcrypto GmbH
Brückenstraße 4
09111 Chemnitz

Tel.: +49 (0) 371 256206-00

Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.
Internet: https://www.comcrypto.de