Wenn verschlüsselte E-Mails Vertrauliches ausplaudern

Die Betreffzeile in der E-Mail-Verschlüsselung

Eigentlich sollen wir Mails immer verschlüsseln, damit niemand unbefugt mitlesen kann. Eigentlich. Aber erstens tut das fast niemand, denn: Verschlüsseln und Entschlüsseln nerven. Und zweitens gehen wir davon aus, dass zumindest innerhalb der Domain E-Mails von einer Mailadresse an die andere von außen nicht eingesehen werden können, heißt also, dass bei internen Mails an die Kolleginnen keine weitere Verschlüsselung nötig ist.

Dennoch finden wir im geschäftlichen Umfeld nicht selten eine Verschlüsselung vor. Nehmen wir einmal an, dass der dienstliche E-Mail-Verkehr intern wie extern erfolgreich verschlüsselt ist. Heißt das, dass alles erledigt ist und nichts mehr schiefgehen kann?

Nicht ganz. Gerade in Zeiten von Cyberangriffen und Kryprotrojanern kommt der Betreffzeile besondere Bedeutung zu, schließlich werden E-Mails immer häufiger gefälscht und für Angriffe genutzt. Bei Zweifeln wird die Mail womöglich gar nicht erst geöffnet. An der Betreffzeile sollte man also erkennen können, dass die Mail authentisch ist.

Das mag ein Grund sein, im Betreff eine möglichst genaue Beschreibung zu hinterlegen. Was man allerdings bedenken sollte: Die Betreffzeile ist nicht Teil der Verschlüsselung. Und damit steht sie nicht allein, denn beim Verschlüsseln einer E-Mail bleibt der gesamte Header unverschlüsselt. Dazu gehören beispielsweise das Absendedatum und die Absendeuhrzeit der Mail. Und eben die Betreffzeile. Dort sind, so lehrt es die Praxis, immer wieder Details zu Personen enthalten. Sprich: personenbezogene Daten.



E-Mail-Betreff und Datenschutz

Ein Beispiel für eine Betreffzeile: „Eberhard Häcker will Gehaltserhöhung auf 4.800 Euro – verdient der das im Projekt Software Mülldeponie Aglasterberg?“ Wenn der Name nur selten genug ist (und meiner ist das), ist die Person eindeutig identifizierbar. Dazu sind die Details ziemlich präzise, für eine Profilbildung geradezu prädestiniert. Außerdem ist ein Kundenprojekt benannt – zugegeben, wie die Gehaltsangabe erfunden – aber wer hat sowas noch nicht in einer Betreffzeile gesehen? Eigentlich würde ein allgemeiner Hinweis ausreichen, „Wunsch nach Gehaltserhöhung und Prüfung der Berechtigung“ etwa würde weder den Namen nennen noch das Projekt. Außerdem braucht es keine genaue Zahl. Und dennoch wäre der Betreff hinreichend genau für eine eindeutige Identifizierung.

Wo ist das Risiko? Die Betreffzeile einer E-Mail wird nicht oder nur auf bestimmten Abschnitten des Transports verschlüsselt und kann daher offen ausgelesen werden. In Verbindung mit dem Absender und den Empfängern (alle Mail-Adressen in den Zeilen „An“ und „Cc“) kann der Betreff einen wesentlichen Beitrag zur Erstellung eines Personenprofils leisten. Abgesehen davon, dass dies Informationen sind, die durch das Geschäftsgeheimnisgesetz und natürlich durch die DSGVO geschützt sind.

Datenschutzverstoß im Betreff

Was geht es den Datenschutz an? Sehr viel. Wenn die (nicht verschlüsselte) Betreffzeile quasi die Zusammenfassung der (ansonsten verschlüsselten) Mail enthält, ist das eine unbefugte Offenlegung und damit eine Schutzverletzung, egal ob diese nun faktisch ausgewertet wird oder nicht (sie wird, wie uns Edward Snowden anschaulich dargestellt hat). Nicht umsonst verweisen die Aufsichtsbehörden für den Datenschutz gebetsmühlenartig auf die Tatsache der fehlenden Verschlüsslung beim Header der Mail, insbesondere der Betreffzeile. Gleiches gilt übrigens für die Metadaten von Videokonferenzsystemen.

Metadaten in Videokonferenzsystemen.

Mehr dazu in einem der nächsten Datentipps!

Das bedeutet: Alle beschäftigten Personen mit E-Mail-Zugang müssen auf dieses Risiko angemessen vorbereitet sein. Dass eine solche Schutzverletzung eine Meldepflicht an die Aufsichtsbehörde auslöst, soll dabei nicht unerwähnt bleiben.

Tipps für datenschutzkonforme E-Mails

So vermeiden Unternehmen Datenschutzpannen in Betreffzeilen:

• sicherstellen, dass alle beschäftigten Personen mit geschäftlichem E-Mail-Konto zu Metadaten und insbesondere zur Betreffzeile geschult werden und die Gefährdung kennen
• die Beschäftigten mit angemessenen Schulungsmaßnahmen „unverfängliche“ Formulierungen für Betreffzeilen trainieren lassen
• immer wieder darauf hinweisen, in Betreffzeilen keine personenbezogenen oder auf Personen beziehbare Daten einzutragen

Und die Kernfrage: Wissen alle beschäftigten Personen mit Mailzugang, welche Gefährdungen für den Datenschutz von leichtfertigen Beschreibungen in der Betreffzeile von E-Mails ausgehen, und haben „unverfängliche“ Betreffzeilen trainiert?

Ich wünsche Ihnen sicheren E-Mail-Verkehr!