Viele Unternehmen greifen bei der Lohn- und Gehaltsabrechnung auf die Dienste von Steuerberatern zurück. In der Kommunikation werden dabei meistens E-Mails genutzt. Das ist natürlich erstmal kein Problem. Doch wenn sensible Daten wie Lohnabrechnungen auf elektronischem Weg verschickt werden, muss man einiges beachten.
E-Mails kein sicherer Kommunikationsweg
Per se sind E-Mails kein sicherer Kommunikationsweg. Der
Inhalt einer Mail kann auf dem Transport von einem Mail-Server zu einem anderen
abgefangen werden. Außerdem liegen die Mails unverschlüsselt auf den Rechnern
des Sendes und Empfängers und können auch dort unberechtigt gelesen werden. Um
personenbezogene Daten per E-Mail zu versenden, sind daher Sicherheits- und
Verschlüsselungsmaßnahmen nötig. Das gilt ums mehr, wenn im Anhang Daten zu
Löhnen und Gehältern übermittelt werden.
Transportverschlüsselung ist Pflicht
Jede E-Mail mit personenbezogenen muss beim Transport
verschlüsselt sein. Das bedeutet, dass auf dem Weg von einem Mail-Server zu
einem anderen über einen gesicherten Tunnel verschickt wird. Dieses Verfahren
nennt sich Transport Layer Security (TLS) und steht derzeit in der Version 1.3.
zur Verfügung. Die Vorgängerversion TLS 1.2. gilt aus Datenschutzsicht als
derzeitiger Stand der Technik und muss für die Transportverschlüsselung
eingesetzt werden. Alle größeren Mail-Provider bieten dieses Verfahren
inzwischen standardmäßig an. Wenn Sie in Ihrem Unternehmen eine eigene
Mailserver betreiben, müssen Sie das TLS-Zertifikat auf dem Server einrichten.
Ende-zu-Ende-Verschlüsselung
Die Transportverschlüsselung endet beim Mail-Server des
Empfängers. Dort liegen die Mails dann unverschlüsselt, auch auf dem Weg vom
Mail-Server zu dem Rechner des Empfängers gibt es keinen Schutz mehr. Dieses
Schutzniveau reicht bei sensiblen Daten nicht aus. Daher ist hier eine
weitergehende Verschlüsselung notwendig, zum Beispiel eine so genannte
Ende-zu-Ende-Verschlüsselung. Dabei wird die gesamte E-Mail samt Inhalt
verschlüsselt und erst auf dem Rechner des Empfängers wieder entschlüsselt.
Dazu muss ein passender Schlüssel vom Sender zum Empfänger geschickt werden,
der die Verschlüsselung wieder aufhebt und die Mail gelesen werden kann. Die
Erstellung der Schlüsselpaare – einen für den Sender und einen für den
Empfänger – erfolgt über einfache Tools.
Anhänge über Cloud-Dienste
Eine Ende-zu-Ende-Verschlüsselung ist sehr sicher, aber durch die Schlüsselverwaltung auch etwas aufwändig. Einfacher und ebenfalls sicher ist die Variante, sichere Cloud-Speicher zu verwenden. Dabei wird der Mail-Anhang in einem Cloud-Speicher in einem Nutzerkonto gespeichert, der Empfänger erhält dazu Zugang und kann den Anhang über einen gesicherten Zugang herunterladen. Diese Methode wird gerade von Steuerberatern zunehmend genutzt, da auch die DATEV so einen geschützten Online-Speicher anbietet. Sender und Empfänger müssen beide bei dem Cloud-Dienst angemeldet sein, dann ist der Zugang aber sehr einfach. Mit dieser Methode wird aber nur verhindert, E-Mail-Anhänge ungesichert zu verschicken. Die werden einfach in den Cloud-Speicher hochgeladen und vom Empfänger wieder herunterladen. Der Inhalt im Text der E-Mail ist dadurch nicht geschützt und sollte daher keine wichtigen personenbezogene Daten enthalten.
Egal ob mit Ende-zu-Ende-Verschlüsselung oder über einen
Cloud-Dienst: Wenn Sie in Ihrem Unternehmen personenbezogene Daten mit Ihrem
Steuerberater austauschen, reicht eine reine Transportverschlüsselung nicht
aus. Wählen Sie daher eine der anderen, sicheren Möglichkeiten und sorgen Sie
dafür, dass sowohl der Steuerberater wie auch Ihre Mitarbeiter, die mit ihm in
Kontakt stehen, diese Methode zuverlässig einsetzen.