2016 hat die Europäische Union das wirksamste Datenschutzmandat seit Jahrzehnten verabschiedet und damit einen veralteten Satz von Richtlinien ersetzt, der zuletzt 1995 aktualisiert wurde. Seit seinem Inkrafttreten im Mai 2018 hat die Allgemeine Datenschutzverordnung (DSGVO) weltweit Wellen geschlagen und Unternehmen haben in den letzten Jahren versucht zu verstehen, was dies bedeutet, wie die Konformität gewährleistet werden kann und wie sich dies auf ihre Abläufe auswirken kann.
Die DSGVO ist derzeit in der gesamten EU als Recht anerkannt, und Unternehmen, die dort Geschäfte tätigen möchten, benötigen ein umfassendes Verständnis dessen, was damit verbunden ist. Die Verordnung zielt im Kern darauf ab, die Datenschutzgesetze in der gesamten Region zu harmonisieren, die Daten der EU-Bürger zu schützen und die Herangehensweise von Organisationen in der gesamten Region an den Datenschutz umzugestalten. Befürworter der DSGVO bezeichnen sie als «die wichtigste Änderung der Datenschutzbestimmungen in den letzten 20 Jahren» und stellen fest, dass «die Art und Weise, wie Daten in allen Sektoren verarbeitet werden, von der Gesundheitsfürsorge bis zum Bankwesen und darüber hinaus, grundlegend verändert wird».
Diese Beschreibung lässt GDPR erschreckend umfangreich klingen – und in vielerlei Hinsicht ist es das auch. Dieser umfassende Ansatz zur Datensicherheit bedeutet, dass im Gegensatz zu HIPAA oder DFARS, die nur bestimmte Branchen betreffen, die DSGVO-Bestimmungen von jeder Organisation eingehalten werden müssen, die innerhalb der EU und des Europäischen Wirtschaftsraums tätig ist. Die Regulierung ist weitreichend, ihr Wirkungsbereich massiv.
In anderer Hinsicht sind die Bestimmungen, die im Rahmen der DSGVO durchgesetzt werden, sowohl einfach als auch unkompliziert. Ähnlich wie bei den anderen Vorschriften in den USA, die in geringerem Umfang in Kraft sind, verlangt die DSGVO für alle IT-Geschäftsprozesse, in denen personenbezogene Daten zum Einsatz kommen, lediglich einen Datenschutz „von Haus aus und standardmäßig“. Die Verordnung sieht vor, dass für die Verarbeitung personenbezogener Daten Verantwortliche „geeignete technische und organisatorische Maßnahmen“ treffen müssen, um den Schutz dieser Daten zu gewährleisten – mit erheblichen Strafen bei Verstößen gegen das Gesetz.
Und machen Sie keinen Fehler: Die Strafen sind schwerwiegend. Nach der DSGVO können die Strafen für den Verlust, die Änderung oder die unbefugte Offenlegung von Daten bis zu 4% des weltweiten Jahresumsatzes oder 20 Mio. EUR betragen – je nachdem, welcher Betrag höher ist. Dies ist eine große Veränderung für jedes Unternehmen und unterstreicht die Bedeutung der Einhaltung der DSGVO-Regeln.
Also, was bedeutet das? Nicht zuletzt bedeutet dies, dass die Verschlüsselung von E-Mails eine sehr, sehr gute Idee ist. Seit dem Inkrafttreten der DSGVO wird die Verschlüsselung von E-Mails mit vertraulichen personenbezogenen Daten allgemein als Best Practice für den Geschäftsbetrieb angesehen. Dies sollte nicht überraschen. E-Mails in Europa weisen die gleichen Schwachstellen auf wie E-Mails in den USA. Nicht verschlüsselte E-Mails können von einer Reihe verschiedener Parteien gelesen werden, darunter der IT-Administrator des Unternehmens, der Internetdienstanbieter und der Clouddienst-E-Mail-Anbieter. Aus diesem Grund ist das Senden unverschlüsselter E-Mails mit persönlichen oder vertraulichen Informationen von Personen unter der DSGVO wahrscheinlich illegal.
Riskiere es nicht. Warum würdest du? Die S/MIME-Zertifikatstechnologie bietet eine einfache und effektive Möglichkeit, Daten zu verschlüsseln und dabei sowohl den Absender als auch den Inhalt einer E-Mail zu authentifizieren. Obwohl E-Mail-Zertifikate in GDPR nicht ausdrücklich verlangt werden, ist S/MIME der einfachste Weg, um sicherzustellen, dass Ihre E-Mail-Kommunikation weiterhin kompatibel ist. E-Mails, die durch S/MIME geschützt sind, bleiben vom Versand bis zum Öffnen verschlüsselt, so dass sie während der Übertragung nicht gelesen werden können. Diese Nachrichten und Anhänge bleiben auch verschlüsselt, während sie auf Mail-Servern gespeichert werden. Dies fügt eine weitere Sicherheitsebene hinzu, die Informationen zum Ruhezustand umfasst.
Für Unternehmen, die eine einfache Möglichkeit suchen, ihre E-Mail-Kommunikation auf die Einhaltung der DSGVO umzustellen, gibt es keine umfassendere Lösung als S/MIME. Die von S/MIME bereitgestellte End-to-End-Verschlüsselung bietet einen einfachen und benutzerfreundlichen Ansatz für die E-Mail-Sicherheit in allen Branchen.