Laut DSGVO und Bundesdatenschutzgesetz sind bei der Verarbeitung und Übertragung personenbezogener Daten technische und organisatorische Maßnahmen zu treffen, um diese Daten zu schützen (Art. 32 DSGVO). Dabei ist die Art und Weise des Schutzes nicht festgelegt, sondern abhängig von Risiko, aktuellem Stand der Technik und den Implementierungskosten. Im Zweifelsfalle sollte man erklären und begründen können, welche Maßnahme man zum Schutz der Daten ergriffen hat und warum. Es besteht also keine generelle Pflicht zur Verschlüsselung von E-Mails solange man stichhaltig begründen kann, warum man es nicht tut. Eventuell ist es dann aber doch einfacher, eine Verschlüsselung der Mails durchzuführen, zumal sich Kosten und Aufwand relativ klein halten können.
Es gibt neben klassichen Verschlüsselungsverfahren wie S/MIME und PGP, die alle den Nachteil haben, dass der E-Mail-Empfänger über eine entsprechende Sicherheitsinfrastruktur und Schlüssel verfügen muss, noch andere Verfahren zur verschlüsselten Übertragung von Daten. Eine davon ist der Austausch von verschlüsselten PDF-Dateien (Secure PDF Exchange oder SPX). Fast jeder Empfänger verfügt über ein Programm, dass verschlüsselte PDF-Dateien mit dem richtigen Kennwort entschlüsseln und lesen kann, so dass die Hürde für den Einsatz dieser Verschlüsselungstechnik sehr gering ist. Die Verschlüsselung der gesamten E-Mail inklusive Anhänge erfolgt automatisch, entweder über festgelegte Regeln, wenn zum Beispiele bestimmte Daten oder Schlüsselwörter in der E-Mail gefunden werden, oder durch die Benutzung eines Plugins (bislang nur für Outlook einsetzbar). Hier sind viele Szenarien der Umsetzung denkbar. Ebenso bei den verwendeten Kennwörtern. Entweder es wird vom Versender angegeben oder das System kann das Kennwort für den Empfänger selbst generieren und schickt es an den Absender. Dieser überträgt das Kennwort über einen sicheren Kanal zum Empfänger, der dann die verschlüsselte PDF-Datei lesen und enthaltene Anhänge speichern kann. Das System kann so konfiguriert werden, dass automatisch für einen Empfänger immer wieder das gleiche Kennwort verwendet wird.
Benötigt wird auf Seite des Versenders eine Sophos Firewall (Sophos XG oder Sophos UTM) mit aktivierter E-Mail Protection oder eine Sophos E-Mail Appliance. Da bei ist es unerheblich, ob ein eigener Mailserver oder der Server eines Providers genutzt wird. Deshalb ist diese Lösung auch für kleinere Unternehmen geeignet. Eine kleine Appliance mit einjähriger Subscription ist für deutlich unter 1.000 Euro erhältlich und kann mehrere Hundert Mails pro Tag verarbeiten. Damit ist der Einstieg in eine sichere und DSGVO konforme Datenübertragung auch mit einem kleinen Budget möglich.