Der Verband der deutschen Internetwirtschaft eV hat ein »Gutachten zur Vereinbarkeit von DMARC mit der DSGVO und anderen Rechtsvorschriften« vorgelegt. Eine Vereinbarkeit des eMail-Sicherheitsstandards DMARC mit der Datenschutz-Grundverordnung (DSGVO) ist danach – in Grenzen – möglich.
Die Autoren Dr. Katharina Küchler (eco) und Patrick Ben Koetter (sys4 AG) gehen in dem 16-seitigen »Gutachten zur Vereinbarkeit von DMARC mit der DSGVO und anderen Rechtsvorschriften« der Frage nach, ob und unter welchen Umständen die eine oder die andere Form des DMARC-Reports, vor dem Hintergrund des Prinzips der Datensparsamkeit und auch dem Schutz personenbezogener Daten, rechtlich zulässig ist. Bei DARMAC (Domain-based Message Authentication, Reporting and Conformance) handelt es sich um den Internet-Standard RFC 7489, der dazu dient, Identitätsmissbrauch in eMails zu entdecken und zu unterbinden, was insbesondere zum Schutz vor Phishing und Spam wichtig ist. Der DARMAC-Standard sieht zwei unterschiedliche Berichtsformen vor, »aggregated reports« und »failure reports«, wobei erstere mehrere Zustellereignisse zusammenfassen und letztere detaillierte Informationen zu eMail-Authentifizierungsfehlern liefern.
In der rechtlichen Würdigung geht es um die Frage, ob durch die Reports personenbezogenen Daten verarbeitet werden und in welchen Fällen eine Verarbeitung dieser Daten erlaubt sein könnte. Während die »aggregated reports« nur die Angaben zur sendenden und empfangenden Domain enthalten, können die Daten in der Regel keiner natürlichen Person zugeordnet werden. Die »failure reports« hingegen enthalten die Ausgangs- und Empfänger-eMail-Adressen, die Betreffzeile und den Inhalt der gesendeten eMail. Das sind sensible persönliche Informationen, bei denen die Rechtmäßigkeit ihrer Verarbeitung von den spezifischen Umständen abhängt. Hier kommt es auf die Interessenlage der Beteiligten an: sind beispielsweise massive Phishing- und andere Sicherheitsbedrohungen zu bekämpfen, erscheint eine Verarbeitung nach Art. 6 Abs. 1 S. 1 f DSGVO möglich.
Das Gutachten kommt zu dem Schluss, dass »aggregated reports« im Allgemeinen datenschutzkonform sind, da sie keine direkten personenbezogenen Daten enthalten, solange die Informationen in den Berichten keine unmittelbare Verbindung zu einer natürlichen Person herstellen. »Failure reports« hingegen können sensible persönliche Informationen enthalten und ihre Rechtmäßigkeit hängt von den spezifischen Umständen ab, einschließlich der Notwendigkeit, Phishing und andere Sicherheitsbedrohungen zu bekämpfen. Die Autorinnen gehen auch auf strafrechtliche Aspekte ein, die im Hinblick auf eMail-Inhalte bei »failure reports« den Schutz des Fernmeldegeheimnis betreffen. Küchler und Kötter empfehlen, Vorsicht beim Umgang mit »failure reports« walten zu lassen, und schlagen vor, Organisationen sollten sicherstellen, dass diese Berichte keine unnötig sensiblen Daten enthalten.
Das lesenswerte Gutachten zur Vereinbarkeit von DMARC mit der DSGVO und anderen Rechtsvorschriften von eco eV erhält man nach Angabe einiger persönlicher Daten über einen per eMail versandten Downloadlink.