Sie befinden sich hier:

Erstellung einer Checkliste für die datenschutzgerechte E-Mail-Nutzung

Ob und inwieweit die notwendigen Maßnahmen zur Gewährleistung des Datenschutzes und der Datensicherheit ergriffen sind, sollte mit Hilfe einer Checkliste überprüft werden.

Bei einer ungeregelten E-Mail-Nutzung besteht die Gefahr, dass sensible (personenbezogene) Daten Unbefugten zur Kenntnis gelangen oder E-Mails zum Verbreiten von Schadprogrammen wie Viren, Würmer und Trojanische Pferde genutzt werden. Aber auch organisatorische Mängel und menschliches Fehlverhalten müssen so weit wie möglich beim Versand und Empfang von E-Mails ausgeschlossen werden. Deshalb müssen für den elektronischen Datenaustausch Regelungen getroffen und Maßnahmen ergriffen werden, um die Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch übertragenen Nachrichten zu gewährleisten.

Ob die ergriffenen Maßnahmen ausreichen oder zusätzliche Maßnahmen zu ergreifen sind, sollte mit Hilfe der folgenden Checkliste überprüft werden:

  • Wo werden die Daten gespeichert (auf dem Mail-Server und/oder lokal beim Client) und wie werden diese Ordner gesichert und abgesichert (z. B. mittels restriktiver Rechtevergabe und Verschlüsselung)?
  • Existiert ein Konzept zur Ausfallsicherheit?
  • Darf der E-Mail-Client für private Zwecke benutzt werden?
  • Sind die zentral vorgegebenen und eingerichteten Einstellungen – soweit möglich – vor Veränderungen durch den Benutzer geschützt?
  • Wie ist der Zugriff auf die E-Mails gegenüber Unbefugten geschützt (z. B. bei der Anmeldung zum Mail-Server, auf Betriebssystemebene, Kennwortschutz für E-Mail-Client)?
  • Wird das Kennwort zum Mail-Server verschlüsselt übertragen?
  • Wurde eine Poststelle (z. B. zur Beantwortung bzw. Abweisung unzustellbarer E-Mails) eingerichtet?
  • Dürfen mit E-Mail sensible (personenbezogene) Daten übermittelt werden?
  • Sind die Vertraulichkeit, Verfügbarkeit und Integrität der mittels E-Mail übertragenen Daten gewährleistet (z. B. durch Einsatz einer datenschutzgerechten Verschlüsselung und der elektronischen Signatur)?
  • Auf welcher Ebene erfolgt eine kryptografische Absicherung?
    - Netz-zu-Netz-Absicherung (z. B. durch ein VPN)
    - Client-zu-Mailserver-Absicherung (Ver- und Endschlüsselung erfolgt beim Mailserver)
    - Client-zu-Client-Absicherung (Ver- und Endschlüsselung erfolgt direkt beim E-Mail-Client)
  • Ist die Einstellung der Sicherheitsstufe (z. B. Hoch) vorgegeben?
  • Werden E-Mails oder Anlagen von E-Mails, die gefährlichen oder verdächtigen ausführbaren Code enthalten, bereits am Mailserver geblockt?
  • Ist der E-Mail-Client so eingestellt, dass aktive Inhalte in HTML-Mails nicht automatisch ausgeführt werden können (z. B. Abschaltung der Vorschau-Funktion)?
  • Ist geregelt, dass aufgrund der Virengefahr und zur Vermeidung von Kompatibilitätsproblemen E-Mails möglichst nur im Nur Text-Format verschickt werden?
  • Existiert eine Anweisung, dass E-Mail-Anhänge nicht direkt geöffnet werden dürfen, sondern zunächst auf eine Festplatte gespeichert werden müssen?
  • Ist gewährleistet, dass aktuelle Viren-Scanner beim Mail-Server (E-Mail-Checker) und E-Mail-Client eingesetzt werden?
  • Ist die (regelmäßige) Löschung der E-Mails geregelt?
  • Existiert eine Vertretungsregelung für
    - geplante Abwesenheitszeiten (z. B. Einrichtung eines Vertreters, Autoreply-Funktion des Abwesenheitsassistenten)?
    - ungeplante Abwesenheitszeiten (Vorsicht bei der erlaubten privaten Nutzung)?
  • Ist eine Bedienungsschulung (zur Vermeidung von Fehlbedienungen und zur Gewährleistung der Einhaltung der vorgegebenen Richtlinien) für Outlook gewährleistet (z. B. Schulung bezüglich Verschlüsselungsmöglichkeiten und Einsatz der digitalen Signatur, Sicherheitseinstellungen, Einrichtung von Stellvertretern)?
nach oben