Die Aufregung darüber, dass private und geschäftliche E-Mails mitgelesen werden können, scheint noch nicht alle Unternehmen wach gerüttelt zu haben. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat in der Vergangenheit bei Kontrollen immer wieder Mängel in der Konfiguration von Mailservern festgestellt, insbesondere mit Blick auf die Verschlüsselungsmöglichkeiten. Nun folgte eine automatisierte Onlineprüfung mehrerer tausend Server. Sie bestätigte die bisherigen Ergebnisse: Bei vielen Firmen entsprechen die Einstellungen nicht den Vorgaben des Bundesdatenschutzgesetzes (BDSG).
Maßgeblich ist die Anlage zu Paragraf 9 Absatz 1 des BDSG. Darin wird unter anderem auf „dem Stand der Technik“ entsprechende Verschlüsselungsverfahren hingewiesen. Dementsprechend achtete das Bayerische Landesamt für Datenschutzaufsicht vor allem auf den Einsatz des Verschlüsselungsprotokolls SSL/TLS – nur in Kombination mit dem Verfahren Perfect Forward Secrecy (PFS) – bzw. STARTTLS und darauf, ob „eine Verwundbarkeit durch die Heartbleed-Lücke auszuschließen“ ist. Zur Kontrolle wurden die Mail-Server über DNS-Abfragen in Erfahrung gebracht, um sie anschließend zu kontaktieren und zu prüfen, ob sie die jeweiligen Standards unterstützen.
Zur rechtlichen Gründlage schreibt das BayLDA: „Nach § 9 BDSG hat eine nicht-öffentliche Stelle, die selbst oder im Auftrag personenbezogene Daten erhebt, verarbeitet oder nutzt, die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführungen der Vorschriften des BDSG, insbesondere die in der Anlage zu § 9 BDSG genannten Anforderungen, zu gewährleisten.“
Firmen, die bei der Prüfung von 2.236 verantwortlichen Stellen mit 3.538 MX-Einträgen durchs Raster fielen, fanden anschließend ein Schreiben des BayLDA im Briefkasten. Sofern mindestens ein datenschutzrechtlicher Mangel gefunden wurde, muss nicht nur ein Antwortbogen ausgefüllt, sondern auch umgehend nachgebessert werden. Eine Anpassung ist auch all jenen Firmen anzuraten, die außerhalb von Bayern ansässig sind und bislang noch nicht aktiv geworden sind. Und zwar nicht nur im eigenen Interesse, sondern auch, um das Vertrauen von Kunden und Geschäftspartnern nicht aufs Spiel zu setzen.