Datenschutzprobleme bei Mailhosting-Anbietern

Als der Informatiker Jon Postel 1982 den Grundstein für das E-Mail-Protokoll SMTP (Simple Mail Transfer Protocol) legte, ging es um die Kommunikation in Forschungsnetzwerken. Verschlüsselung oder eine anderweitige Absicherung der E-Mail-Kommunikation standen noch nicht im Fokus. Das wurde mit der Zeit zum Problem, und so baute man immer mehr Schutzmaßnahmen um SMTP he­rum. Zu einer sicheren Mail-­Infrastruktur gehören heute unter anderem der mit TLS (Transport Layer Security) verschlüsselte Mailtransport per SMTP unter Mailservern sowie DNS-Einträge für die Verfahren SPF (Sender Policy ­Framework; legt fest, welche Server für eine Domain verschicken dürfen), DKIM (eine serverseitige Signatur aller Mails) und DANE (siehe Kasten auf Seite 136). Eine ausführliche Einführung in die Mail-Protokolle und etablierte Sicherheitsmaßnahmen finden Sie in [1].

Sicheres Mailen ist beileibe kein theoretisches Problem: Mit der europäischen Datenschutz-Grundverordnung (DSGVO) gilt seit drei Jahren ein Gesetz, das Vorgaben zur Sicherheit digitaler Kommunikation macht, sobald personenbezogene Daten verarbeitet werden. Unternehmen, Selbstständige und Vereine sind grundsätzlich für die Sicherheit ihrer ein- und ausgehenden E-Mails verantwortlich. Es ist ihre Aufgabe, Risiken zu minimieren, die sich aus der Verarbeitung personenbezogener Daten in E-Mails ergeben. Weil nur wenige Organisationen ihre Mail-­Infrastruktur komplett auf eigenen Servern im eigenen Rechenzentrum betreiben wollen, überlassen sie diese Aufgabe häufig Dritten – und schließen mit diesen einen Vertrag über Auftragsverarbeitung ab. Gerade kleinere Organisationen buchen die Dienstleistung gern als Paket bei einem Web- und Mailhoster.