Das Datenschutzgesetz in Deutschland entwickelt sich weiter Auswirkungen des TTDSG auf Unternehmen und die E-Mail-Sicherheit

Von Andrew Bulkeley

Im Mai 2021 verabschiedete der Deutsche Bundestag mit dem TTDSG ein neues Datenschutzgesetz. Das Gesetz scheint auf den ersten Blick wenig Neues zu bieten, hat aber tatsächlich erhebliche Auswirkungen auf E-Mail-Dienstleister und Arbeitgeber, die ihren Mitarbeitern die Nutzung von Firmen-E-Mails für die private Kommunikation erlauben.

Anbieter zum Thema

Das TTDSG vereinheitlicht verschiedene deutsche Datenschutzgesetze und verschärft die Bestimmungen für E-Mails.
Das TTDSG vereinheitlicht verschiedene deutsche Datenschutzgesetze und verschärft die Bestimmungen für E-Mails.
(Bild: Production Perig - stock.adobe.com)

Das TTDSG wurde ursprünglich verabschiedet, um die Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy-Richtlinie) der Europäischen Union umzusetzen, eine Ergänzung der allgemeinen Datenschutzverordnung (GDPR), die offiziell als Richtlinie über den Schutz der Privatsphäre und der elektronischen Kommunikation bekannt ist. Die eigentliche Triebkraft war jedoch die Vereinheitlichung der zahlreichen Gesetze, die den deutschen Datenschutz regeln.

Das TTDSG trat im Dezember 2021 in Kraft und gewährt sogenannten "Over-the-Top"-Diensten (OTT) Datenschutz auf Telekommunikationsebene, ein Begriff, der sich auf Cloud-basierte E-Mail und andere webbasierte Nachrichtenübermittlung bezieht. Dieser Schritt ist wichtig, weil er allen, die nicht in eine Nachricht involviert sind, die Einsicht in diese Kommunikation untersagt. Mit dem Gesetz wird auch die Rolle von Unternehmen geklärt, die ihren Mitarbeitern die Nutzung von Firmen-E-Mails für den privaten Gebrauch gestatten.

Geschützte Kommunikation im neuen Gewand

Da webbasierte E-Mail-Anwendungen und Nachrichtendienste unter die OTT-Bestimmung fallen, können Anbieter wie Google und Facebook nach Angaben von Anwälten der CMS, E-Mails und Nachrichten nicht mehr für zielgerichtete Werbung oder andere Dienste analysieren.

Für Unternehmen gelten weniger strenge Anforderungen. Bisher war unklar, ob Arbeitgeber die E-Mails ihrer Mitarbeiter ohne deren Zustimmung lesen dürfen. Es wurde argumentiert, dass die Unternehmen in diesem Fall als E-Mail-Provider im Auftrag ihrer Mitarbeiter fungierten. Wenn die Arbeitgeber die Korrespondenz ohne Erlaubnis lesen, setzen sie sich einer möglichen strafrechtlichen Verfolgung nach den Datenschutzgesetzen aus.

In Verbindung mit einem kürzlich ergangenen Gerichtsurteil hat das TTDSG klargestellt, was ein Provider ist, so dass persönliche E-Mails auf Firmenkonten eher den GDPR-Vorschriften als dem strengeren deutschen Telekommunikationsrecht unterliegen. Nach Ansicht der Datenschutzexperten von JOWECON brauchen Arbeitgeber nur einen zwingenden Grund, um ohne Erlaubnis zu spionieren. [ii]

Trotz der Auswirkungen auf den E-Mail-Verkehr konzentriert sich ein Großteil der Medien auf die Bestimmungen, die sich mit Cookies befassen, da deutsche (und europäische) Internetnutzer permanent von Bannern belästigt werden, die sie auffordern, die Verwendung von Cookies für jede einzelne Website zu genehmigen. Das TTDSG macht den Weg frei für Dienste, die die Cookie-Präferenzen der Nutzer speichern und an die Websites weitergeben, so dass die Banner überflüssig werden.

Mehr Bürokratie zum Schutz von Rechten

"Die Privatsphäre muss auch in der digitalen Welt geschützt werden. Zugleich müssen wir Geschäftsmodelle ermöglichen. Die neuen Regeln schaffen ein Gleichgewicht", sagte der damalige Wirtschaftsminister Peter Altmaier, als das Gesetz im Mai verabschiedet wurde.

Obwohl Cookies wenig mit E-Mail zu tun haben, unterstreicht der Schritt die zentrale Rolle, die der Datenschutz spielt. Letztendlich, so sagen Datenschutzanwälte, wird das TTDSG wahrscheinlich durch eine deutsche Version der lang erwarteten EU-Datenschutzverordnung für elektronische Kommunikation ersetzt werden. Diese Verschärfung der bestehenden Datenschutzrichtlinie für elektronische Kommunikation sollte 2018 zusammen mit der Datenschutz-Grundverordnung (DSGVO) eingeführt werden, hat jedoch lange auf sich warten lassen und wird nun voraussichtlich 2025 in Kraft treten.

Während das deutsche TTDSG Fragen klärte, die bereits vor der Pandemie in Deutschland existierten, ringt man nun auch mit pandemiebedingten Datenschutzproblemen, wie jeder andere auch. Deutsche Unternehmen, die während der Pandemie das Arbeiten von zu Hause aus ermöglichten, haben sich als Eldorado für Cyberangriffe erwiesen, die auf Phishing, Ransomware und andere Angriffe spezialisiert sind. Neunundfünfzig Prozent der Unternehmen, die ihren Mitarbeitern das Arbeiten von zu Hause aus erlaubten, berichteten von Phishing-Angriffen seit Beginn der Pandemie, sowohl per E-Mail als auch per Telefon, so eine Umfrage des Digitalverbands Bitkom unter 1.000 deutschen Unternehmen. 52 Prozent davon gaben an, dass die Angriffe zu Schäden geführt haben.

In der weltweiten der Bekämpfung der Cyberkriminalität sind die deutschen Sicherheitsexperten laut dem Mimecast-Bericht "State of Email Security 2022" dennoch zwiespältig, wenn es um Cybersicherheit und Datenschutzpolitik geht. Auf die Frage nach der potenziellen Auferlegung staatlicher Vorgaben wie Mindeststandards für die Cybersicherheit, beschrieben die deutschen Umfrageteilnehmer ein "halbvolles Glas":

  • 69 Prozent gaben an, dass solche Vorschriften die allgemeine Cybersicherheit ihres Unternehmens mäßig bis stark verbessern würden.
  • 62 Prozent gaben an, dass vorgeschriebene Cybersicherheitsstandards ihr Risiko von Cyberangriffen mäßig bis stark verringern würden.
  • 65 Prozent sagten einen mäßigen bis starken Anstieg ihrer Kosten voraus.
  • 67 Prozent sahen einen entsprechenden Rückgang ihrer Handlungsfreiheit bei der Abwehr von Cyberangriffen.

Verschlüsselung ist nicht gleich Verschlüsselung

Unternehmen sind verpflichtet, jegliche digitale Korrespondenz zu verschlüsseln, die personenbezogene Daten enthält. Der Verband unabhängiger öffentlicher Datenschützer empfiehlt 2020 zwei Verschlüsselungsstufen, wobei es im Ermessen der Unternehmen liegt, welche Stufe angemessen ist.

Die Verschlüsselung der Daten während der Übermittlung sei für die meisten Korrespondenzen obligatorisch, so der Verband. Diese Verschlüsselungsstufe sei ausreichend für jede Kommunikation, die, wenn sie von Unbefugten eingesehen wird, nur eine normale Bedrohung für die "Rechte und Freiheiten" der in der E-Mail genannten Personen darstellen würde. Sollte die Gefährdung ein "erhöhtes Risiko" darstellen, empfiehlt der Verband eine Ende-zu-Ende-Verschlüsselung (E2EE).

E-Mail wird in Deutschland oft als unsicher angesehen. Die meisten Unternehmen und Behörden weigern sich, E-Mails für offizielle Korrespondenz zu verwenden, die zum Beispiel spezifische Zahlen oder identifizierende Informationen über Fusionen und Übernahmen enthalten könnte. Obwohl Einzelpersonen auf Datenschutzrechte verzichten können, in der Hoffnung, offizielle Antworten von Behörden oder Unternehmen per E-Mail zu erhalten, raten Anwälte von dieser Praxis ab, da Verwirrung über den Umfang der Erlaubnis - eine einzelne E-Mail, eine einzelne Angelegenheit oder die gesamte Korrespondenz - entstehen kann, wodurch Unternehmen und Behörden unnötigen Risiken ausgesetzt würden.

Die Quintessenz

Die politischen Entscheidungsträger in Deutschland bemühen sich um ein Gleichgewicht zwischen der Forderung nach Datensicherheit, dem effizienten Austausch notwendiger Informationen und der langsam voranschreitenden EU-weiten Regulierung. Cyber-Angreifer scheinen den politischen Bemühungen immer noch einen Schritt voraus zu sein.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48357866)