users lounge

Der Podcast für mehr IT-Sicherheit

#45 E-Mails richtig gestalten

Zwischen Signaturpflicht, Verschlüsselung und Security

20.06.2025 66 min

Zusammenfassung & Show Notes

Wir beleuchten Chancen und Risiken moderner E-Mail-Kommunikation: von neuen Bedrohungen wie Quishing über Microsoft Copilot bis hin zu Datenschutz und rechtlichen Vorgaben. Dabei geben wir praxisnahe Einblicke in Verschlüsselung, Signaturen, Werbung und zentrale Signaturverwaltung – für mehr Sicherheit, Rechtssicherheit und Effizienz im geschäftlichen E-Mail-Verkehr.

Wir diskutieren aktuelle Themen rund um E-Mail-Sicherheit, neue Bedrohungen, technologische Entwicklungen und Datenschutz. Dabei beleuchten wir Sicherheitslücken, Trends wie Quishing und die Integration von Microsoft Copilot in Outlook. Auch die Bedeutung des Datenschutzes und neue gesetzliche Anforderungen stehen im Fokus, ebenso wie Thunderbird als alternative E-Mail-Lösung.
Wir thematisieren die rechtlichen Rahmenbedingungen der E-Mail-Kommunikation im geschäftlichen Umfeld – von den Grundlagen der Nutzung über die Einhaltung von Datenschutzvorgaben bis hin zu Verschlüsselungstechnologien und Anforderungen an Signaturen. Zudem gehen wir auf die rechtlichen Konsequenzen von Werbung per E-Mail, die Rolle von Disclaimern und Spam-Filtern sowie die Notwendigkeit einer zentralen Signaturverwaltung ein.

Takeaways
  • E-Mails mit QR-Codes sind potenziell gefährlich.
  • Sicherheitsupdates sind unerlässlich für den Schutz vor Angriffen.
  • Microsoft Copilot bietet neue Funktionen zur Effizienzsteigerung.
  • Datenschutz hat Auswirkungen auf Marketingstrategien.
  • Thunderbird bietet eine Open-Source-Alternative zu Outlook.
  • Quishing ist eine neue Bedrohung, die Nutzer sensibilisieren sollte.
  • Zwei-Faktor-Authentifizierung ist ein Muss für die Sicherheit.
  • E-Mail-Kommunikation sollte regelmäßig überprüft werden.
  • Neue gesetzliche Anforderungen beeinflussen die Software-Sicherheit.
  • Technologische Innovationen können die E-Mail-Nutzung verbessern. E-Mails dienen der internen und externen Kommunikation.
  • E-Mails haben rechtliche Relevanz und müssen als Geschäftsbriefe betrachtet werden.
  • Die DSGVO erfordert eine Zweckbindung und Datenminimierung in E-Mails.
  • TLS-Verschlüsselung ist eine grundlegende Sicherheitsmaßnahme für E-Mails.
  • E-Mails müssen revisionssicher archiviert werden, um rechtlichen Anforderungen zu genügen.
  • E-Mail-Signaturen müssen gesetzliche Anforderungen erfüllen.
  • Werbung in geschäftlichen E-Mails ist nur mit Einwilligung erlaubt.
  • Professionelles Auftreten in E-Mails ist entscheidend.
  • Die Aufbewahrungsfrist für geschäftliche E-Mails beträgt in der Regel 10 Jahre.
  • PGP bietet eine höhere Sicherheit durch Ende-zu-Ende-Verschlüsselung. Der Ton macht die Musik in der E-Mail-Kommunikation.
  • Werbung sollte dezent und neutral gestaltet sein.
  • E-Mail-Signaturen sollten zentral verwaltet werden.
  • Disclaimern haben oft keine rechtliche Relevanz.
  • Spam-Filter müssen regelmäßig kontrolliert werden.
  • E-Mails gelten als angenommen, wenn der Server sie annimmt.
  • Bilder in E-Mails können technische Probleme verursachen.
  • Weniger ist mehr bei E-Mail-Inhalten.
  • Die Gestaltung von E-Mails sollte sachlich bleiben.
  • Unternehmen sollten ihre E-Mail-Kommunikation optimieren.

Transkript

So, dann ist doch das schon mal gedrückt.
René
00:00:59
Guter Start.
Michael
00:01:01
Der Start ist geglückt, wir haben Start gedrückt. Mach das ja raus.
René
00:01:08
So, herzlich willkommen zur users lounge Episode 45. Und Michael, nein, das werden wir nicht rausschneiden.
Michael
00:01:16
Doch, bitte, bitte, bitte, doch, bitte.
René
00:01:19
Nein. Nein, ja.
Michael
00:01:23
Hallo, René, ich grüße dich.
René
00:01:25
Moin, Michael. Hallo in die Runde. Ja, wir hatten letztes Mal, und da setzen wir genau an, du hattest letztes Mal ja mal so eingeworfen, komm, lass mal über E-Mail sprechen. Das werden wir heute auch tun. Das heißt, das wird unser Hauptthema heute sein. Und vorab, wie immer, die tollsten Nachrichten, Sicherheitslücken, so ein bisschen, worauf man zu achten hat aktuell. Bin mal gespannt, wo uns das jetzt noch hinführt heute. Ja, es gibt vieles. Aber wir haben, oder ich hab mich mal wirklich diesmal ein bisschen beschränkt auf so ein paar Sachen. Wir haben jetzt zum Beispiel die letzten Wochen immer wieder über die Fortinet-Geschichten unterhalten. Also, Fortinet war ja immer wieder ein Stichwort. Stichwort jede Episode irgendwie. Ist immer noch ein Thema, tatsächlich. Also, aus irgendeinem Grund gibt es immer noch sehr viele Firewalls, die da wirklich ein Riesenproblem haben, die auch noch nicht gepatcht sind. Die ja noch ein offenes Scheuntor darstellen. Problem dabei ist, dass ja immer noch diese Sicherheitslücke besteht, wo eben eine Remote-Code-Ausführung möglich ist. Und das Problem dabei ist halt, dass die Geräte mittlerweile vollständig übernommen werden können. Also, da haben sich die Angriffe jetzt so gewandelt, dass man wirklich dann freie Hand hat. Und da gibt es dann eben den Patch, das hatten wir ja letztes Mal schon gesagt. Also wirklich, bitte spielt die jetzt auch endlich ein, falls ihr dabei sein solltet, wenn ihr es noch nicht gemacht habt. Und zusätzlich beginnt mal mit einem intensiven Netzwerk-Monitoring. Nur so als kleinen Tipp nebenbei. Falls ihr euch nicht ganz sicher seid, ob alles safe ist, da wirklich verstärkt drauf gucken. Passiert bei mir im Netzwerk irgendwas, was so nicht sein sollte. Das wäre der erste Part. Dann gibt es jetzt eine neue Masche, würde ich es jetzt fast mal nennen. Und zwar ist es ein Outlook-Add-in-Exploit. Bedeutet, dass übermanipulierte Outlook-Add-ins eben die Verbreitung von Malware ausgeführt wird. Auch da bitte darauf achten, dass ihr nur autorisierte Add-ins auch wirklich nutzt. Problem ist dabei, man kann es nicht eben ganz einfach verhindern, so möchte ich es mal sagen. Es gibt jetzt keine Schutzsoftware davor. Klar, wenn die Malware sich verbreitet, ja. Aber grundsätzlich ist sie ja dann schon aktiv. Das heißt, da bitte achtet drauf, was ihr da installiert. Ganz, ganz wichtig. Und Microsoft hat auch angekündigt, da aktiv zu werden. Das heißt, es gibt neue Schutzrichtlinien, was eben diese Add-ins angeht. Bisher war das noch nicht so ganz straff gezogen. Deswegen gab es auch die Möglichkeit, manipulierte Add-ins wirklich einzuschleusen. Das ist etwas, wo Microsoft jetzt neue Richtlinien angekündigt hat, die jetzt in Kürze auch folgen werden. Aber Stand jetzt bitte aufpassen.
Michael
00:04:31
Kannst du, kurze Frage für mich als Nicht-Fachmann, kannst du über die Microsoft-Instanz die Installation von Add-ins per Administrationsoberfläche generell untersagen? Weil der beste Weg wäre ja Vermeidung. Die Frage ist, welche Add-ins sind sinnvoll, welche gebe ich frei? Du kannst ja sonst über die Softwarefreigabe und die Softwareverteilung, Intuance, etc., PP, schon mal regeln, was du machst. Und gerade bei Microsoft-Produkten. Aber kannst du Add-ins auch zentral steuern und verbieten? Zentral ausrollen, glaube ich, ja. Verbieten bin ich mir gerade unsicher.
René
00:05:05
Also du kannst sie ausrollen, aber du kannst halt nicht unterbinden, dass sie installiert werden. Weil es ist ja eine lokale Installation. Du installierst das in dein lokales Outlook. Könntest du natürlich über die Admin-Rechte und sowas machen, dass da eben nichts installiert werden kann. Das ist aber dann eine generelle Entscheidung, bin ich speziell aufs Outlook bezogen. Okay. Genau. Dann bleiben wir mal bei E-Mails. Es gibt neu das Quishing. Quishing ist eine Mischung aus Phishing und QR-Codes. Das heißt, das sind E-Mails mit eingebettetem QR-Code. Und die führen halt zu Fake-Logins. Und ja, das ist halt gerade auf mobilen Endgeräten und sowas sehr, sehr schwierig, weil da die URLs halt schwer kontrollierbar sind. Das ist ja nicht so wie auf dem Rechner, wo du mit dem Mauszeiger drüberfährst, sondern du hast ja nur die Möglichkeit, entweder schon beim iOS zum Beispiel mit dem Finger schon draufzutippen, damit du die URL siehst. In dem Augenblick wird sie aber auch geöffnet. Deswegen, also da muss man sehr, sehr vorsichtig sein. Da sollte man, also das ist jetzt ein Tipp unsererseits, QR-Codes wirklich erst mal misstrauen. Das ist halt nicht normal und auch nicht gang und gäbe, dass QR-Codes in E-Mails drin sind. Kann natürlich sein, aber in den meisten Fällen ist es eben nicht so. Und die Möglichkeit, die man hat, um das zu unterbinden, ist, dass man E-Mails über das MDM, dass man da eben die QR-Codes unterbindet. Also, dass man die komplett blockiert darüber. Das wäre eine Möglichkeit. Okay. Am Rechner natürlich wie gehabt, da sowieso.
Michael
00:06:49
Ich sage jetzt mal, E-Mails mit QR-Codes sind relativ selten, dass wir die über den Weg laufen. Also, da sollte man schon einen Guck für haben und die Sensibilisierung für haben. Mache ich es jetzt auf, gucke ich da rein oder lasse ich die Finger davon? Also, es siegt die Neugier oder es siegt die Vernunft. Vernunft wäre schön. Vernunft wäre schön, ja, ja. Ich erinnere mich da an einen Fall kurz vor Weihnachten mit so einer Weihnachtsgruß-Postkarte, die dann bei einem Unternehmen sehr teuer war, möchte ich mich mal so ausdrücken, weil Leute sehr interessiert waren, was denn hinter dieser Postkarte steckt, die gekommen ist.
René
00:07:23
Perfekt, Michael. Erzähle gerne mehr. Die zwei Minuten nehmen wir uns.
Michael
00:07:27
Das ist ein anderes Thema. Aber was klar ist, was wir hier vielleicht im Kontext mit QR-Codes noch mal sagen wollen, guckt mal, wenn ihr Parkautomaten, Geldautomaten, sonstige Sachen, die QR-Codes werden immer beliebter, es ist immer komfortabler, irgendwo einen QR-Code abzuscannen und die Masche über den schönen QR-Code, den bösen QR-Code zu kleben, nimmt immer mehr zu und guckt euch die QR-Codes einfach mal mit Sinn und Verstand an, bevor ihr da den Scan drüber laufen lasst. Sieht das aus, als wäre es ein Aufkleber, würde ich zum Beispiel schon mal die Finger weglassen. Nur für solche Sachen. Das wir da auch noch mal drüber gesprochen haben.
René
00:08:04
Schwierig dabei ist ja auch einfach, du kannst ja anhand des QR-Codes nicht erkennen, ob er schädlich ist oder nicht. Und das macht es halt so einfach den Angriff aus. Genau, dann LastPass. Da gab es ja einen Vault Leak, bedeutet, in LastPass wurden dann ganze Container gestohlen, so möchte ich es mal sagen. Also der ganze sogenannte Vault. Da lagen alle Kennwörter und sowas drin oder liegen alle Kennwörter drin. Und ja, da gab es halt Riesenprobleme. Und da ist es halt so, dass jetzt mal wieder noch eine Welle daraus entsteht. Und da ist es jetzt aktuell so, dass halt die Daten, die dort gestohlen wurden, jetzt auch noch mal aktiv genutzt werden, also für Logins und so. Also da bitte Vault-Daten noch mal checken, ob man da irgendwie noch was drin hatte oder ob da was aus diesem Zeitraum drin war, als eben der Datendiebstahl stattgefunden hat. Ich würde auf jeden Fall empfehlen, wenn man Daten da drin hatte, jetzt Kennwörter ändern, spätestens jetzt. Kennwörter ändern, auch die Passwort-Wiederherstellungsmethoden auch alle zurücksetzen, neu einrichten, sodass da eben auch nichts verloren geht. Ganz, ganz wichtig. Also da läuft man sonst wirklich Gefahr, dass es da Probleme geben wird.
Michael
00:09:29
Wenn man sowieso ändert und ist sowieso am Anpassen, guckt gleich, dass ihr zwei Faktor einbinden könnt. Guckt gleich, ob ihr andere Verschlüsselungsmethoden und andere Zugänge nutzen könnt und könnt eben da das Passwort beinahe eh dran müssen. Seht zu, dass ihr es gleich eine Nummer höher kriegt.
René
00:09:49
Richtig.
Michael
00:09:50
Passkeys ist da, glaube ich, ein gutes Ding. Amphilostick, zwei-Faktor-Authentifizierung etc., PP, viele bieten inzwischen irgendeine Lösung an und bei der Gelegenheit, wenn man sowieso dran muss, ich weiß, man ist manchmal ein bisschen träge und sagt, boah, es läuft doch alles gut, aber wenn ich es eh anpacke, dann kann ich es auch gleich zusehen, dass ich es ein Stück besser machen kann.
René
00:10:11
Vor allem danach läuft es immer noch gut.
Michael
00:10:13
Genau. Es ist halt einmal Zeit investieren. Es tut halt einmal weh an der Stelle, aber ein geklautes Kennwort tut mehr weh. Ich wollte gerade sagen, das andere tut mehr weh. Genau.
René
00:10:29
So, dann jetzt mal weg von den Sicherheitslücken, von den schlechten Sachen. Jetzt kommen wir auch mal wieder zu ein paar schönen, guten Dingen. Echt? Was gibt es Neues? Und zwar, ich glaube, Microsoft Copilot im Outlook ist da ein Punkt. Das heißt, dass jetzt mittlerweile der Copilot so eingebunden wird ins Outlook, dass man automatische E-Mail-Zusammenfassungen direkt hat, also in den E-Mail-Verläufen, braucht dann halt nicht alles durchscrollen. Man bekommt KI-basierte Antwortvorschläge, also ähnlich wie Teams, aber natürlich ein bisschen umfangreicher. Und ja, sowas wie To-Dos und so, also in Vorbereitungen von Meetings und so werden To-Dos auch vorgeschlagen.
Michael
00:11:14
Und das verkaufst du jetzt als Innovation und als gute Nachricht. Das Copilot durchschlägt bis ins Outlook inzwischen.
René
00:11:22
Sorry, aber Microsoft liest meine Nachrichten eh. Von daher kann ich auch wenigstens was Positives daraus ziehen. Am Ende des Tages muss man ja sagen, der Gedanke ist ein guter. Egal, was man davon halten mag, aber am Ende des Tages, wenn ich Mail-Verläufe über 20 Nachrichten habe, erst mal ist da natürlich fraglich, ob das generell sinnig ist. Aber wenn ich das habe, und ich kann es mir zusammenfassen lassen und mir schnell einen Überblick verschaffen, macht das schon Sinn. Also es bringt Effektivität mit sich.
Michael
00:11:51
Ja, wobei ich habe es aus, und ich sehe auch zu, dass ich es nicht einschalte, nicht auf die Admin-Oberfläche vom 365 Tenant gehe, begrüßt mich jedes Mal Copilot, ich möge mal bitte die Installation abschließen und ihr mal kurz bestätigen, jedes Mal drücke ich oben auf den Wichsen und sage, rutsch mir den Buckel runter, du jetzt nicht.
René
00:12:10
Aber ja. Ja, aber KI ist nun mal jetzt der Schritt und da geht es halt Stück für Stück weiter.
Michael
00:12:17
Auch um das klarzustellen, nur weil ich jetzt hier über das Copilot mal kurz drüber ziehe und sage, ich nehme es nicht, ihr kennt mich, ich bin da bekennender Mac-User, da habe ich das Apple Intelligence und habe JGPT, also das ist gleiche Kiste und absolut vergleichbar. Man muss nur einfach sagen, auf wen man sich einlässt, was man nimmt und auf welches System man sich organisiert. Ich will halt nicht alles überall laufen haben, sondern ich habe für mich die Entscheidung getroffen, ich sehe mal zu, dass ich 3.65 und den Copilot auslasse und komme trotzdem ganz gut klar, auch mit E-Mail-Zusammenfassung. Ich meine, das bietet ja Apple inzwischen auch an, mit dem letzten Update sind ja auch E-Mail-Zusammenfassungen gekommen. Ich kann die Verläufe jetzt rausclustern. Also Apple Intelligence hat ja auf den Mac jetzt auch Einzug gehalten seit einem halben Jahr ungefähr.
René
00:13:06
Ja, aber es ist ja, am Ende des Tages schickst du es in die gleiche Datenbank.
Michael
00:13:11
Wahrscheinlich.
René
00:13:12
Es ist beides Open AI, also am Ende des Tages. Ja, nein. Es sollte auch jetzt keine Debatte aufmachen, was gut oder was schlecht ist oder so. Das entscheidet jeder für sich selbst. Ich sehe darin tatsächlich einfach nur eine Effizienz. Und das führt Microsoft gerade immer weiter ein. Das ist jetzt gerade Stand der Dinge. Natürlich, was man dabei ein bisschen im Hinterkopf haben muss, ist Datenschutz. Aber auch da, wenn meine Daten schon bei Microsoft liegen, gut, was soll Microsoft mit dem doppelten Datensatz? Also am Ende des Tages ist immer die Frage, macht es Sinn, da wirklich nochmal ein Fass aufzumachen. So, dann ist es so, Apple hat auch seine Mail, also die ganze Mail-Funktion oder Mail-App überarbeitet. Und zwar haben die es jetzt so umgestellt, dass Datenschutz First ist. Siehst du? Ja. So, genau. Und zwar, also da ist es so, dass standardmäßig IP-Verschlüsselung stattfindet und auch ein Tracking-Schutz existiert. Und da ist es halt so, dass auch die Mails lokal geöffnet werden. Also es gibt keinen, was weiß ich. Es gibt ja diese Pixel, die man halt in Mails mit einbetten kann, wo dann eben ein Tracking dahinter liegt, was dann zu Google oder was weiß ich was führt. Das ist dann dadurch eben nicht mehr möglich. Hat natürlich aber auch Auswirkungen andersrum auf Newsletter. Also wenn man selber Newsletter verschickt, hat das natürlich ein bisschen, ja, ist es negativ ein bisschen für die Leute, die es verschicken, weil man halt eben nicht nachvollziehen kann, wurden die Mails jetzt geöffnet? Wo wurde draufgeklickt in der Mail oder wo hat man sich lange aufgehalten? Da gibt es ja genug Systeme, die das genau analysieren. Das ist eben dadurch nicht mehr möglich. Ja, das ist dann halt so. Wir wollen aber Datenschutz, also muss man halt auf diese Funktion auf der anderen Seite verzichten.
Michael
00:15:17
Nur die zwei Seiten. Datenschutz versus Marketing.
René
00:15:23
Ja, so kann man es so ziemlich zusammenfassen. Richtig. Ja, dann kommen wir mal zu einem ganz, ganz alten Bekannten, Thunderbird. Den gibt es noch. Über Thunderbird haben wir lange nicht mehr gesprochen. Ja, ist so. Thunderbird war ja auch abgekündigt, wurde dann aber als Open Source-Projekt einfach weitergeführt von anderen Leuten. Ich meine, war schon immer Open Source, so nicht. Aber es wurde dann nicht mehr von den ursprünglichen Machern weiterbetreut, sondern eben aus der Community heraus. Und das ist jetzt halt so, dass sich Thunderbird jetzt für M365 öffnet. Also es gibt eine direkte Integration. Okay. Und das Ziel dabei ist halt wirklich, eine Alternative zu Outlook selbst zu ermöglichen. Ich kann den Nutzen darin noch nicht so ganz erkennen, weil wenn ich M365 anbinde und die Sachen eh bei Microsoft liegen, ist halt die Frage, ob ich wirklich das Outlook noch ersetzen muss.
Michael
00:16:21
Das erkläre ich dir jetzt gleich. Weil genau den Use Case hatte ich nämlich vor einem Jahr und bin gescheitert oder vor zwei Jahren. Deswegen habe ich die Ohren gerade auf.
René
00:16:29
Perfekt, dann bist du jetzt an der Reihe.
Michael
00:16:33
Pass auf, es geht um Folgendes. Wenn du die kleine, nennen wir es mal die kleine Microsoft M365 Lizenz hast, hast du ja Outlook nur. Ah ja, jetzt kommen alle hergepackt. Hast du Outlook ja nur als Web-Anwendung drauf. Wenn du es trotzdem als lokale Anwendung haben willst, musst du dir lokal natürlich einen Client installieren. Also kriegst du Outlook nicht als App oder als Programm auf deinem Rechner drauf. So, Thunderbird hat das Problem gehabt. Das ist eine Alternative. Apple wollten wir nicht aus irgendwelchen Gründen. Apple Mail ist wirklich grottig, um es mal vorsichtig auszudrücken. Aber auch ein anderes Thema. Bei uns war auch Thunderbird eine Diskussion. Das haben wir auch installiert. Das Thema war nur, wenn du Thunderbird installierst. Es war aber noch auf dem Windows Rechner. Wenn du Thunderbird installierst, hast du das Thema, dass Thunderbird keine native Einbindung auf ein Exchange-Kondo hatte. Also die konnten Pop und IMAP, aber nicht Exchange. Und du musstest für eine Exchange-Anbindung noch ein Plugin kaufen, dass du ein Add-in... Wir hatten eben das Outlook-Add-in-Thema. Da musstest du ein Thunderbird-Add-in kaufen, was irgendwie, was weiß ich, 20 Euro oder 20 Dollar im Jahr gekostet hat, was die Schnittstelle zum 365 Plus zum Hosted Exchange geboten hat. Weil genau diese Konstellation habe ich vor zwei oder drei Jahren mal gefahren, weil ich ein 365 Kondo hatte, was eben nur diese 5,30 Euro Lizenz ist, also nur diese Online-Version ist. Ich aber eine App auf meinem Rechner haben wollte, also ein E-Mail-Client auf dem Rechner haben wollte. Und da war genau Thunderbird in Kombination mit diesem 20-Dollar-Add-in die Lösung. Von daher, wenn das jetzt so funktioniert und erst recht die Integration von 365 drin ist und das Ding auch wieder so aussieht, als wäre es nicht Windows 95, sondern wäre es mal im Jahr 2025 angekommen, kann das durchaus für genau solchen Fall eine Alternative sein. Weil nicht jeder braucht die große 365-Lizenz, um eben Outlook, Word und Excel lokal liegen zu haben. Für reine E-Mail.
René
00:18:32
Da hast du natürlich recht. Wenn es rein online ist, ja, ja, da macht es Sinn.
Michael
00:18:38
Aber das wäre jetzt das, wo ich aus der Praxis sagen kann, aus dem Grund hat sich der Nutzen erschlossen. Ansonsten, wenn du die große Lizenz hast, würde ich Outlook nehmen und dann bin ich durch.
René
00:18:51
Ja, den Ansatz hatte ich gerade so nicht im Kopf. Aber ja, absolut sinnig. Ja, dann, da wirst du wahrscheinlich eher noch was zu sagen können, EU-Cyber-Resilience-Act. Ja. Das ist ja, ja, da hat sich jetzt ein bisschen was geändert. Bedeutet, dass neue Anforderungen an sichere Software gibt. Also ab wann eine Software als sicher wirklich eingestufen wird. Und es hat halt klar Auswirkungen auf E-Mail-Verschlüsselungen, auf Plug-in-Anbieter, also generell auf die E-Mail-Dienste.
Michael
00:19:29
Ich wollte gerade sagen, das zieht sich sehr pauschal durch. Da können wir, wenn dann auch mal wieder einen eigenen Podcast zu aufnahmen, wo wir uns mal, das ist eine schöne Idee, lass mal ein Podcast-Thema machen, wo wir mal über sowas drüber gehen können. Cyber-Resilience-Act, Cloud-Act und so weiter. Wir machen mal eine Folge, die aktuellen Acts und ihre Aktoren oder irgend so einen Scheiß. Also irgendwie lassen wir uns mal was einfallen, dass wir die Dinge mal durchgehen und die Auswirkungen auf die Praxis haben. Genau, das können wir auf jeden Fall mal machen. Das ziehen wir uns mal in eine Folge rein und dann fangen wir mal mit einem Act an, gucken, ob wir eine ganze Folge füllen können oder ob wir mehrere Acts in einer Folge besprechen können. Das nehmen wir uns mal mit auf die To-Do-Liste. Ja, so machen wir das.
René
00:20:10
Perfekt.
Michael
00:20:11
Da ist nämlich mehr Feuer dahinter, wie man am Anfang denkt. Und das würde ich sauber ausarbeiten wollen, dass wir da auch entsprechenden Mehrwert bieten können.
René
00:20:20
Ja, wir haben ja selbst, als wir die letzten Male immer über US-Anbieter in unseren Rechenzentren und so gesprochen haben, da haben wir ja auch schon gemerkt, dass wir sehr, sehr oft über Richtlinien stolpern. Ich glaube, dass es auf jeden Fall ein interessantes Thema ist, wenn wir es nochmal umfangreicher anschneiden.
Michael
00:20:36
Können wir bei der Gelegenheit auch den Running Gag mit der NIST 2 nochmal mitnehmen. Da ist ein neuer Gesetzesentwurf diese Woche rausgekommen, den sie debattieren, der sich jetzt komischerweise ein bisschen geändert hat. Der sieht nicht mehr ganz so aus wie der alte Gesetzentwurf. Aber natürlich, wir gucken uns das, wir machen mal so eine Folge, das kriegen wir hin. Sehr gut.
René
00:20:56
Dann gehen wir das beim nächsten Mal an. Okay, Michael, dann kommen wir zu deinem Thema oder das Thema, was du beim letzten Mal auch vorgeschlagen hast. Jetzt geht es wirklich mal um E-Mails, weil man sieht halt immer hier und da irgendwas, was da drinsteht, was vielleicht keinen Sinn ergibt. Oder weiß ich auch nicht, nicht so gelebt wird, wie es eigentlich sein sollte. Da würde ich mal sagen, gehen wir mal einmal drauf ein.
Michael
00:21:22
Habe ich die Klappe schön aufgerissen beim letzten Mal. Und jetzt gucken wir mal, dass wir beide, ich habe dich ja mit ins Boot geholt zu der Sache, dass wir liefern können. Ja, lass uns mal über E-Mails sprechen. Wie du schon gesagt hast, es ist so viel Falsches, Unrichtiges und Krütze im Netz. Und auch in jeden E-Mails, die ich sehe, auch die, die ich von Dritten manchmal bekomme. Ich sage, bist du dir sicher? Und lass uns mal von einfach mal das Thema E-Mail durchkauen. Lass uns oben anfangen. Lass uns unten aufhören. Ganz oben ist die E-Mail-Adresse und der Inhalt. Ganz unten ist dann der Disclaimer. Und lass uns einfach mal von oben nach unten durchgehen und einfach mal so die Basics klären. Und da fange ich einfach mal ganz provokant an mit der Sache. Was will ich eigentlich mit einer E-Mail bezwecken? Also was macht eigentlich eine E-Mail? Dass man sich darüber einfach mal bewusst wird, weil das ist wichtig für das, was nachkommt. Und wenn ich sage, was ich mit einer E-Mail bezwecken will, dann ist es doch das Erste, was ich damit machen will. Ich will Informationen übertragen und kommunizieren. Und zwar intern und extern. Spam. Spam will ich verschicken. Spams, ich will Spams verschicken. Also ich nutze ja eine E-Mail für die Kommunikation. Intern und extern. Und für die Kommunikation einmal mit meinen Mitarbeitern, aber auch, und das ist das, was interessant wird, ist die externe Kommunikation. Und zwar zu Kundenpartnern, Behörden, Lieferanten, Dienstleistern etc. pp. Das heißt, ich nutze eine E-Mail als Kommunikationsmittel in ganz, ganz viele Dinge rein. Und natürlich ist das auch so, dass man sagt, in dem Moment mache ich mit diesen E-Mails auch Geschäftsvorgänge. Das heißt, ich schreibe ein Angebot, das schicke ich per Mail. Ich kriege Zugpferd, E-Rechnung, einmal kurz zurück, kurz den Bogenschirm. Ich kriege eine rechtlich relevante Sache zurück, also eine Rechnung. Ich schreibe Abstimmungen rein. Hier, wir kommen morgen, Preis ändert sich. Hier, wir machen sachliche Dinge. Das heißt, ich schreibe mit der E-Mail, dokumentiere ich Geschäftsprozesse und übermittele Informationen mit einem geschäftlich relevanten Inhalt. Und in dem Moment wird so eine E-Mail rein rechtlich halt eben zum Geschäftsbrief. Und das muss man sich einfach klar machen. Das ist für mich am Anfang super wichtig, dass man sich darüber klar wird. Und wir reden hier vom geschäftlichen Kontext. Wir reden nicht von privaten E-Mails, dass ich irgendwelche Einladungen zu Geburtstagen schicke von einer Privaten zu anderen Privaten, sondern wir reden über den Arbeitskontext. Und da ist ganz super wichtig, dass man sich darüber klar wird, dass man eine geschäftliche Kommunikation mit E-Mails betreibt. Und dadurch, dass das eine geschäftliche Relevanz hat, ich eine E-Mail mit einem Geschäftsbrief gleichsetzen kann. Das ist wichtig. Das ist der Startpunkt, dass wir uns darüber einmal klar geworden sind. Gibt es da von dir irgendwelche Einwände, die dagegen sprechen würden, dass ich Firlefanz erzähle? Nein. Ich würde es gerne versuchen, aber nein. Nein, natürlich. Das ist immer in der Praxis drin. Ich schicke Angebote, ich schicke Terminabsprachen, ich schicke Autobestellungen, all so Sachen. Also ich mache alles per Mail. Früher hätte ich einen Brief geschrieben, hätte einen Brief gedruckt. Heute mache ich das per Mail. Das heißt, ganz klar sind Mails betrieblicher Kontext und Geschäftsbriefe im Sinne der betrieblichen Kommunikation. Ja. Das ist super wichtig am Anfang zu verstehen, weil daraus ergibt sich alles andere. So. Habe ich eine E-Mail mit einem geschäftlichen Kontext, reden wir mal ganz kurz darüber, was die DSGVO sagen würde. Natürlich, Inhalt in einer E-Mail braucht eine Zweckbindung und eine Datenminimierung. Nur, dass wir da ganz kurz darüber gesprochen haben. Grundsätze DSGVO Artikel 5. Das, was ich da reinschreibe, muss einen gewissen Zweck erfüllen. Ich sollte nicht zu ausschweifend sein zum Thema Datenminimierung. Das rein, was ich brauche. Vernünftigen Kontext rein. Dann natürlich brauche ich die Anforderungen bei der E-Mail an die Vertraulichkeit. Da sprechen wir immer wieder von. Du hast eben auch wieder das Thema mit der E-Mail-Verschlüsselung aufgenommen. Frage an dich. Gibt es noch irgendwelche E-Mail-Anbieter, die nicht mindestens TLS 1.2 verschlüsseln? Nein, oder? Das ist doch... Moment.
René
00:25:38
Die es anbieten oder die es grundsätzlich nicht können? Gibt es welche, die es nicht können? Nein, das denke ich nicht. Also dann würden die auch offiziell nicht mehr so zugelassen werden. Die Zeit ist eigentlich vorbei. Hier wird zumindest keiner bekannt.
Michael
00:25:55
Und damit ist auch... Also TLS ist die Transportverschlüsselung einer E-Mail-Kommunikation. Das ist nicht zu vergleichen mit einer Ende-zu-Ende-Verschlüsselung, wie ich es mit S-Main oder PGP machen würde. Aber TLS ist eine Verschlüsselung für die Software. Und damit löst sich auch der Mythos, der erzählt wird, dass eine E-Mail nicht viel besser ist, wie eine Postkarte. Doch ist sie. Eine E-Mail ist höher zu werten und höher anzusehen und zu ranken, wenn wir vom Ranking reden wollen, wie eine Postkarte. Jeder, der erzählt, du schickst eine unverschlüsselte E-Mail, dann hast du es wie eine Postkarte. Das ist richtig. Aber keiner verschickt mir unverschlüsselte E-Mails. Und wir müssen differenzieren bei Verschlüsselungen. Habe ich eine Transportverschlüsselung, also eine TLS, oder habe ich die hochwertigere Ende-zu-Ende-Verschlüsselung. Und eine TLS-Verschlüsselung ist schon mal eine sehr gute, grundsolide Basis. Jetzt kann man immer wieder erzählen, wir machen... Haben wir das Thema E-Mail-Verschlüsselung schon mal gehabt? Dann kann man da auch schon mal nochmal ganz einen Deep Dive machen. Das ist an der Stelle, ich schneide es nur an. An der Stelle ist aber so, Ende-zu-Ende hat viele und einige technische Hürden. Die eine technische Hürde und die größte technische Hürde an der ganzen Sache ist, beide die Kommunikation machen, müssen das können. In dem Moment, wo einer das schon nicht kann, fällt das ganze Ding schon wieder von der Ende-zu-Ende auf eine signierte beziehungsweise auf eine transportverschlüsselte E-Mail-Runde. Das heißt, will ich es meinen oder will ich wirklich Ende-zu-Ende-Verschlüsselung haben, muss ich mir mit dem, mit dem, dem ich die Mail sende, einig werden, dass die auch Ende-zu-Ende verschlüsselt. Und zwar auch im gleichen Standard. Wenn ich auf S-Main stehe und der hat sich eine PGP-Verschlüsselung angeeignet, crasht das ganze Ding auch schon wieder. Das heißt, da ist die Ende-zu-Ende-Verschlüsselung noch lang nicht so, dass die durchgeladen ist, dass man das einfach umsetzen kann und auch so im Alltag angekommen ist, dass man sagen kann, mach doch einfach Ende-zu-Ende und dann bist du fertig. So einfach ist die Technik an der Stelle nicht.
René
00:28:00
Nee, man fällt auch immer auf den größten gemeinsamen Nenner zurück.
Michael
00:28:04
Genau. Ja, also, wie gesagt, das Thema haben wir. Dann muss es natürlich nachvollziehbar sein.
René
00:28:12
Ja, schieß los. Wir sollten gleich aber kurz, also wenn du mit Verschlüsselung durch bist, sollten wir gleich aber noch mal kurz einmal zumindest PGP erklären. Ja, bitteschön.
Michael
00:28:24
Feuer frei.
René
00:28:24
Kann ich, kann ich gleich übernehmen. Nee, aber du kannst erst sonst dein, dein Gedankengang zu Ende führen. Dann würde ich den dann anhängen.
Michael
00:28:31
Nee, ich war, ich war mit dem Verschlüsselungsgedankengang, war ich fertig.
René
00:28:35
Sehr gerne. Okay. Ja, weil du hast es gerade ein paar Mal genannt und wir haben, glaube ich, wir sind bisher noch gar nicht auf PGP eingegangen hier bei uns. Und dementsprechend wäre es, denke ich, gar nicht so schlecht, wenn wir einmal kurz drüber sprechen. Also, es gibt ja eine Ende-zu-Ende-Verschlüsselung. Das heißt, nur auf den, auf den Mail-Servern wird meine Mail wieder entschlüsselt. Also da liegt sie dann wieder so, dass sie quasi gelesen werden kann. Und das ist eben bei PGP nicht so. Also da bleibt die Mail sogar auf dem Mail-Server verschlüsselt liegen. Der Mail-Server selbst kann nicht sehen, was da wirklich drin ist. Und das ist ja schon, schon nochmal ein Schritt weiter als das, was man eben mit einem S-Mail-Zertifikat zum Beispiel hat. Weil wir da, wie gesagt, der Transportweg, der ist verschlüsselt, aber die Endgeräte am Ende, also die Mail-Server entschlüsseln das Ganze wieder, weil sie sich über dieses Zertifikat austauschen. Das Zertifikat führt ja bis in meine, in mein E-Mail-Postfach und auf den Mail-Server. Deswegen gibt es immer dieses öffentliche Zertifikat. Das ist ja das für den Mail-Server und dann das Private, was auf meinem Postfach zeigt oder auf meiner Mailbox. So, und das heißt, sobald es da angekommen ist, ist der Transportweg abgeschlossen. Da wird es wieder entschlüsselt. Und das ist eben bei PGP nicht so. Also da ist mein Endgerät das Entscheidende.
Michael
00:29:59
Kommen wir gleich zum nächsten Knackpunkt an der ganzen Sache.
René
00:30:05
Ja, ganz kurz. PGP, ich finde den Namen witzig. Deswegen möchte ich es einfach nur noch mal kurz nennen. PGP steht für Pretty Good Privacy. Also sehr, sehr schöner, einfallsreicher Name. Aber ja, genau.
Michael
00:30:20
So, jetzt pass auf, jetzt mache ich einen Bogen, spann ich einen schönen Bogen über die ganze Sache und nehme das gerade mit, das Thema. Wir haben eben gesagt, dass die E-Mail geschäftlich relevant ist. Ja. Und in dem Moment machen wir uns einen Fass auf oder ist ein Fass geöffnet worden, der uns zum Beispiel in die GUBD reinbringt. Ordnungsgemäße Buchführung, Aufbewahrung von Aufzeichnungen und Unterlagen in elektronischer Form. Du bist im 257 HGB drin. Handelsbriefe, Buchungsbelege. Du bist in der Abgartenordnung drin und das müsste 147 sein mit steuerlich relevanten Unterlagen. Das heißt, du bist einfach in einer Gesetzessache drin, wo du entsprechende Aufbewahrungs- und Archivfristen hast. Und das ist der Grund, warum wir immer propagieren und immer wie so eine indische Gebetsmühle sagen, archiviert E-Mails. Ihr müsst E-Mails Revisionssicher, bitte. Revisionssicher archivieren. Unveränderlichkeit. Und die müssen so archiviert werden, wie sie eingegangen ist, sodass ihr auch keine Möglichkeit habt, die zu manipulieren, bevor die ins Archiv gehen. Das bedeutet, oder das ist der Grund dafür, warum E-Mail-Archiver eine sehr hohe Frequenz haben oder eine sehr hohe Abtastrate haben, das Postfach abzukrawlen. Dass die einfach die Mails kriegen, bevor ihr da drin rumschreibt, die wieder abspeichert und sonst irgendwas. Und das bedeutet auch gleichzeitig, dass ein Outlook-Ordner, den ihr einfach in eurem Postfach habt, den ihr Archiv nennt und wo ihr alles reinwerft, das ist nicht das Archiv im Sinne der GOBD oder im Sinne von der Abgabeordnung, wo ihr rechtssicher archivieren könnt, sondern ihr braucht ein Archivprogramm, was sicherstellt, dass die E-Mails unveränderbar, sprich revisionssicher, gespeichert werden, über einen Zeitraum. Steuerliche Relevanz, Rechnung sind wir klassisch bei 10 Jahre, normale Handelsbriefe werden wir bei 6 Jahren. In der Regel sehe ich das, dass E-Mail-Postfächer einfach auf 10 Jahre eingestellt werden und ab dafür, und das kriege ich auch datenschutzrechtlich so abgedeckt, dass ich da rauskomme und bin bei meinen 10 Jahren drin. Und hier ist jetzt wichtig, und das ist das, was viele bei PGP und auch bei lokalen Verschlüsselungen nicht sehen oder aufpassen. Wenn ihr eine lokale Verschlüsselung habt, also bleiben wir bei PGP, dann hängen die Dinge verschlüsselt bei euch im E-Mail-Archiv drin. Und ihr müsst zusehen, dass ihr über die nächsten 10 Jahre den Schlüssel so aufbewahren könnt, dass ihr die E-Mail auch wieder entschlüsselt einem Steuerberater, einem Steuerprüfer bei einer Wirtschaftsprüfung vorlegen und zeigen könnt. Da nützt es nichts, wenn ihr die verschlüsselte Mail im Archiv habt, ihr kommt aber nicht mehr dran, weil euch der Schlüssel fehlt, sondern wenn ihr das macht, stellt sicher, dass der Schlüssel so von euch aufbewahrt wird und so aufgehoben wird, dass ihr 10 Jahre lang in der Lage seid, diesen Schlüssel zu verwenden, um eine E-Mail aufzuholen. Und aus dem Grund, und das ist auch das, was du eben gesagt hast, aus dem Grund bietet es sich an. Ich weiß, es gibt E-Mail-Provider, beziehungsweise, um mal einen Namen zu nennen, dürfen wir ja, No Spam Proxy bietet das zum Beispiel an, an der Stelle, oder auch Hornet Security bietet das an, die verschlüsseln die E-Mail in dem Moment, wo sie rausgehen und entschlüsseln in dem Moment wieder, wo sie reinkommen, so dass du die Mails bei dir, also dass du zwar verschlüsselte Kommunikation hast, die sehr hoch sicher ist, aber du die unverschlüsselte Mail am letzten Moment bei dir im Archiv drin hast. Das ist ein super Benefit. Und wenn ich eine Risikoabwertung machen oder eine Risikoabwägung machen müsste, wäre ich immer bei der Version und nicht bei der Version, ich hebe mir noch zehn Jahre lang einen Schlüssel auf, um ins Archiv zu kommen.
René
00:34:23
Ich glaube, das hängt auch viel vom Bereich ab, in dem man aktiv ist. Also, wie hochsensibel sind meine Daten? Wer verwaltet vielleicht auch mein Archiv für mich? Also, das muss man immer wirklich für sich selber entscheiden. Ich würde jetzt nämlich nicht so weit gehen, zu sagen, okay, PGP ist schlecht, weil ich das Zertifikat aufbewahren muss, sondern ich würde das Zertifikat einfach gut aufbewahren.
Michael
00:34:47
Ja, aber das ist ein was mehr, wo du aufpassen musst, dass dir es nicht verloren geht.
René
00:34:54
Das stimmt, natürlich. Wie gesagt, für mich kommt es halt immer nur darauf an, wie sicher muss ich es aufbewahren, aus meiner Sicht, also wie ich es hier herangehensweise und welche Compliance habe ich vielleicht auch dahinter. Und dann würde ich entsprechend wählen. Aber ich finde, das Zertifikat alleine oder der Schlüssel darf nicht alleine das Kriterium dafür sein, ob ich das jetzt so mache oder eben nicht. Du hast natürlich Recht, es ist einfacher, wenn man es nicht macht.
Michael
00:35:20
Aber ja. Das Mindeste, was ist, ich muss mir dieser Sache bewusst werden, dass ich die Zertifikate, wenn ich in eine Endverschlüsselung reingehe, dass ich mir bewusst sein muss, ich muss auch zusehen, ich muss an meine E-Mails im Archiv denken, weil E-Mails, geschäftliche Relevanz, geschäftliche Relevanz gleich, GOPD, Handelsregister, Abgabeordnung, erzählt steuerlich relevant, gleich zehn Jahre Aufbewahrungsfrist, unveränderlich und revisionssicher. Das ist so die Kette.
René
00:35:50
Man muss es einfach nur mit im Auge behalten. Ja, genau.
Michael
00:35:58
Also, wir nähern uns von oben nach unten. Ja, ganz wichtig. Wir haben uns jetzt mal über den Inhalt unterhalten. Wir haben uns darüber unterhalten, dass die E-Mails eine rechtliche Relevanz haben. Wir haben einen kurzen Bogen gemacht über die Archivfrist. Gehen wir so ein Stückchen tiefer und gehen wir noch immer nochmal dran. Wir haben eben gesagt, das ist rechtsrechtlich relevant. Das heißt, ich muss in einer E-Mail auch alle meine Angaben zu meinem Unternehmen machen, dass die E-Mail, die gesendet wird, ganz klar dem Unternehmen zuzuordnen ist. Und zwar sind das ganz klassische Sachen. Da kommen wir jetzt zur E-Mail-Signatur. Das heißt, ich brauche in einer E-Mail eine Signatur. Bei mir, Michael Kornmann, Kurs Kornmann, Sudetenstraße, Hüttenberg, E-Mail-Adresse. Das heißt, ich muss unten eine rechtliche Melde, eine rechtlich meldefähige oder eine anschreibefähige E-Mail-Adresse unten drin haben, dass mir theoretisch gerichtliche Post zugestellt werden kann. Das muss unten rein. Und das bedeutet auch, wir haben gesagt, E-Mail-Signaturen, wir brauchen eine Pflicht und solche Pflichten ergeben sich zum Beispiel, wenn ich eine GmbH bin, viele Unternehmen sind, ergibt sich das zum Beispiel aus dem Paragraph 35a aus dem GmbH-Gesetz. Da steht das zum Beispiel drin und da sind Anforderungen an die Signatur genannt. Das heißt, vollständiger Firmenname, Rechtsform, Sitz der Gesellschaft, die Registernummer muss drin sein, Geschäftsführer muss drin sein und wenn vorhanden, unser Steuer-ID. Das heißt, ich brauche eine meldepflichtige Adresse plus diese zusätzlichen Angaben. Und das ist das, was wichtig und zwingend erforderlich in der Signatur einer E-Mail stehen muss.
René
00:37:31
Michael, wo wir gerade dabei sind, und da möchte ich dich kurz unterbrechen, weil wir beide haben dieses Gespräch mal über meine Signatur geführt. Kann ich auch offen sagen. Wir haben bei uns in der Signatur logischerweise auch Dinge drin stehen und du hattest mich dann mal angesprochen, hey, du hast da was vergessen in deiner Signatur, die steht nicht drin und hast aber im Gegenzug auch gesagt, okay, das eine oder andere brauchst du nicht reinschreiben, es reicht, wenn es im Impressum auf der Website steht, auf die du aber in deiner Signatur verweist. Welche Punkte sind das? Also was kann ich aus meiner Signatur weglassen, was ich dann auf der Website darstelle?
Michael
00:38:01
Ja. Genau, du musst in die Signatur mindestens das reinschreiben, bei einer GmbH, was ich dir eben gesagt habe. Firmennamen, Sitz der Gesellschaft, HR, Vertretungsprojekt, die Steuer-ID. Was du da dir jetzt wieder sparen kannst, das ein bisschen spitzklinkerig dadurch gemacht, deine eigene E-Mail-Adresse, deine Telefonnummer, deine Faxnummer, deine Webseite, dein sonstigen Kram. Sondern du musst an dieser Stelle deine Firma sauber benennen und musst klar identifizieren, von wem die E-Mail kommt. Und diese Daten, die Daten, die da unten drinstehen, müssen dazu führen, dass du diese Daten nehmen kannst, kannst sie auf den Briefumschlag schreiben und kannst eine gerichtliche Ladung dir zustellen, um es mal blöd auszudrücken. Das ist das, was in der Mail drinstehen muss. Alles weitere ist Gutschen, Add-on, machen Hinweise auf Impressum.
René
00:39:00
Okay, gut. Also alles andere kann man dann übers Impressum lösen. Genau. Ich kann jetzt gerade leider gar nicht mehr sagen, was ich damals drinstehen hatte, aber da hattest du mich halt darauf hingewiesen, dass ich das nicht brauche. Ich weiß gar nicht, was mir gefehlt hat, aber deswegen sind wir ja ins Gespräch gekommen und da war das halt, dass wir über das Impressum dann quasi gestolpert sind, dass du gesagt hast, hey, komm, dann kannst du jetzt auf die Website verweisen, alles Weitere, das steht ja da, deswegen brauchst du es dann nicht nochmal separat da reinschreiben. Genau. So. Genau. Ja. Es gibt, also was passiert, angenommen, ich würde jetzt einen Brief schreiben wollen. Es gibt ja Unternehmen, die sich für hip und jung und modern und wie auch immer halten, da schreiben die Leute nur noch ihren Vornamen rein. Ja. Könnte man ja theoretisch machen. Das ist nicht erlaubt, weil ich kann der Firma ja trotzdem einen Brief schicken, aber dem Ansprechpartner dann wahrscheinlich nicht direkt. Genau.
Michael
00:40:02
Und das ist ein Problem. Du musst die Person benennen können. Du musst die Person, die die E-Mail schreibt, komplett benennen können. Viele E-Mails haben oben inzwischen nur noch die Initialen drin, MK, RG, LM für Lieschen, Müller, also die haben nur noch oben Initialen drin, das ist nicht eindeutig. Du musst in der Signatur deinen vollständigen Vornamen und Nachnamen einschreiben.
René
00:40:25
Okay. So, was wäre denn die Konsequenz daraus? Ich meine, klar, wenn ich jetzt das nicht vollständig da drin stehen habe, wirkt es wenig professionell, das ist mir klar, aber was hat das für rechtliche Konsequenzen? Gibt es da wirklich was oder gibt es ja erstmal so, hey, kurzes Anschreiben, Anstupsen, hey, mach doch mal bitte oder gibt es da wirklich Konsequenzen für?
Michael
00:40:46
Also das ist Gummi. Am Ende vom Tag muss ich das sagen, es kommt darauf an, wie man das typisch immer sagt und am Ende vom Tag macht dir das Tür und Tor auf für einen, der dich ärgern will, Hashtag Abmahnanwälte, Leute, die es auf die Spitze treiben wollen, die dir irgendwas Böses wollen. Wenn du das jetzt nicht korrekt machst und die Welt ist in Ordnung, das kann passieren, das macht die nächsten fünf Jahre, die nächsten zehn Jahre, dudelt das Ding durch, ohne dass da was passiert, ohne dass da was in Ordnung ist, also nur mit Vornamen oder was. Es ist meiner Meinung nach, und deswegen erkläre ich das ja hier, du solltest aufpassen, dass du die Spielregeln einhältst, dass du das einfach richtig machst, dass das zum professionellen Auftreten gehört. Das ist genauso wie, du hast eine vernünftige Datenschutzerklärung auf der Webseite, du hast ein vernünftiges Impressum, das ist deine Visitenkarte. Das schickst du an so viele Kunden, an so viele Dritte, an so viele Leute, diese E-Mail-Signatur sehen so viele Menschen, kommen gleich andere Punkte der Signatur, also E-Mails kriegen so viele Menschen. Mach es professionell, mach es hochwertig und mach es so, dass du keinem eine Angriffsfläche bietest an dieser Stelle. Das ist einfach der Tipp.
René
00:41:50
Mir ging es darum, nur weil gehört habe ich es noch nie, dass jemand tatsächlich da angesprochen wurde, und für mich wäre halt nur interessant, nehmen wir mal an, es würde Bußgelder geben, sind die wirklich jetzt sehr, sind die, dass sie wehtun, oder sind das dann so 200 Euro, du, du, du, und komm, mach doch mal. Das finde ich immer spannend, das mal zu hören.
Michael
00:42:13
Wir können gerne unten in die Folge nochmal einen Link machen mit ein paar Urteilen oder mit einem Urteil mit dazu, dann kann man das nochmal nachlesen, aber bei all den Dingen, wir reden jetzt heute mal echt über spielverderberrechtliche Seiten und alles andere ist eine Risikoabwertung. Was aber ich wesentlich enger sehe, oder wo ich wesentlich mehr drauf gucke und sage, jetzt da müssen wir wirklich mal drauf gucken, ob da jetzt ein Vorname, ein Nachname drin steht, ist natürlich die Tatsache, Signaturen, 99 Prozent der Signaturen, und das ist so, jetzt kommen wir immer weiter tiefer in die E-Mail, da fängt es immer an, mich aufzuregen, mich zu ärgern, 99 Prozent der Signaturen hören eben nicht dabei auf, wenn ich die meldepflichtige Adresse unten drin habe. Übrigens, was du in die Signatur auch noch reinmachen solltest, Link in die Datenschutzerklärung, Hinweis zur Datenverarbeitung, dass die Leute regelmäßig da draufklicken können, da ist hier ein Link in die Datenverarbeitung rein, das sollte man auch noch drin haben, sorry, wenn ich das eben vergessen habe, das gehört meiner Meinung nach auch absolut zur Pflichtangabe und kann auch negativ ausgelegt werden, wenn nicht, weil du musst dir bei der Verarbeitung von personenbezogenen Daten zu dem Zeitpunkt der Verarbeitung informieren und das kannst du eben über einen Link in die Datenschutzhinweise machen. Aber, wie gesagt, 99 Prozent hören dabei eben nicht auf, sondern dann fängt es richtig an. Und da kommen wir zu dem Punkt, was darf eine E-Mail nicht sein? Und zwar darf eine E-Mail nicht sein, Werbung. Eine E-Mail von Geschäftskontext darf keine Werbung sein. Warum darf E-Mail keine Werbung sein? Weil es gibt das UWG und es gibt im UWG den Paragraph 7 und im UWG Paragraph 7 steht drin, dass ich Werbung nur nach Einwilligung senden darf. Das heißt, habe ich Werbung, dürfte ich die Werbung eigentlich nur schicken, wenn ich mir eine Einwilligung dafür geholt habe. Nur, wie will ich mir eine Einwilligung holen, wenn ich irgendeinen Geschäftsbrief hin und her verschicke? Den muss ich ja versenden. Das heißt, ich bin da in einer absoluten Zwickmühle drin und die einzige Lösung, die ich da habe, da wird das Marketing jetzt gleich aufheulen, ich habe keine Werbung in meinen E-Mails drin. Und da ist es von der Auslegung her relativ eng, was jetzt an Werbung anzusehen ist und was keine Werbung ist. Und da sage ich auch immer, weniger ist mehr an dieser Stelle.
René
00:44:34
Ja. Wir sitzen gerade in der Users' Lounge. Also in meiner Signatur ist zum Beispiel ein Banner drin, der auch mit auf dieses Format weist. Ist das Werbung oder nicht? Muss ich es entfernen?
Michael
00:44:51
Natürlich nicht, das ist die Users' Lounge. Das ist ja keine Werbung, das ist eine Pflichtveranstaltung. Nein, aber jetzt mal genau genommen, muss ich es entfernen? Nein. Also da macht der Ton die Musik und da macht die Musik auch, wie ich es bewerbe, beziehungsweise bewerbe, dann ist es schon Werbung, wie ich es gestalte. Was ich da unten vermeiden will ist, du kannst zum Beispiel, wenn du da unten so große Banner machst mit, wir sind die Tollsten, wir sind die Schönsten, wir sind die Größten, unsere Zertifizierungen haben alles bestanden, wir tauben die tollsten Maschinen und Top-Ten-Anbieter und 30 Bilder unten rein, dass du es einfach als Werbung auslegen kannst, dann ist es eine Werbung. Informierst du aber dezent und neutral, dann ist es eine Information. Also da muss man sich angucken, das muss man sich kritisch angucken. Da ist so eine pauschale Aussage, was Werbung ist, was keine Werbung ist, ist tricky, aber was man sagen kann, es wird halt sehr eng ausgelegt, was eine Werbung ist und was keine Werbung ist.
René
00:45:48
Also würde ich persönlich, wenn ich das jetzt, was du gerade gesagt hast, wenn ich das jetzt einordnen sollte, würde ich persönlich wahrscheinlich sagen, in dem Augenblick, wo es so ein Hauptaugenmerk in meiner Nachricht wird, also ob es jetzt der Text oben ist oder unten drunter ein großes Bild oder sonst irgendwas, wenn also eins meiner Hauptanliegen in dieser Mail die Werbung für etwas anderes ist,
Michael
00:46:13
dann ist es eine Werbung. Und wenn ich unten in meiner Signatur ein Banner drin habe, was fast so groß ist wie die gesamte E-Mail vom Text, den ich oben geschrieben habe, du hast das halt einfach, solche Dinge. Ich sage mal, wenn wir mal sagen, wenn ich so einen Tipp geben will und kann, was ist denn noch zulässig? Sind es so reine Informationen, so Terminbestätigung, Rechnung, neutral gehalten Hinweise, wie nächste Woche findet unser User Slong statt, aber ohne werblichen Charakter, sondern besuchen Sie jetzt hier kostenlos unseren User Slong und Vollgas, das kann dir schon wieder als Werbung ausgelegt werden. Also da solltest du Kram machen. Da geht es auch drum, um zum Beispiel eine blumige Sprache, wie ich das eben gesagt habe. Dann schreibst du das schön und machst da so einen tollsten Werbetext unten nochmal in die Signatur rein oder ladest alle deine Zertifizierungen noch drauf oder war die letzten 10 Jahre Top Innovator oder sowas. Das kann dir nach UWG alles als Werbung ausgelegt werden. Deswegen ist auch hier wieder mein Hinweis, sorry ans Marketing, weniger ist mehr. So neutral und dezent die Signatur halten, wie es nur geht an dieser Stelle. Ganz davon ab, ganz davon ab, das ist jetzt so eine persönliche Sache, würde ich gleich mal fragen, ich kriege so viele Mails, wo unten Bilder drin sind, die einfach crashen, weil es nicht funktioniert, weil es in irgendeinem anderen Format gesendet worden ist, weil es unsauber ist, weil die Größen nicht sauber definiert sind, weil du halt einfach siehst, da wurde das eine übers andere gelegt, dann habe ich auch schon E-Mails gehabt, da war die ganze Signatur als wunderschönes JPEG unten in die Signatur, als Signatur eingebunden in die E-Mail, das konntest du nicht lesen, dann kommen die Anhänge, die Bilder nicht in die Mail, dann hast du als Anhänge obendran, kennst du das, weißt du, was ich meine? Ja, natürlich.
René
00:48:07
Das ist häufig so, also gerade, wenn unterschiedliche Formate genutzt werden, da ist es so das größte Thema, dann hast du auf einmal einen kleinen Kreis, was ein kleiner Kreis sein soll, und zack ist der einfach über dem ganzen Bildschirm, dieser Kreis, wo ein Newsletter-Symbol einfach drin sein soll, also das sind schon krasse Dinge, aber ja, gibt es häufig, also auch gerade mit den Anhängen, was du gerade sagst, das hängt auch damit zusammen, wenn man dann eben aus unterschiedlichen Anwendungen arbeitet, also zum Beispiel Apple Mail Outlook, da kann sowas auch schon häufiger mal passieren, gerade wenn man, ich sag mal das eigene Logo, du hast dein eigenes Logo in der Signatur, und da ist es durchaus möglich, dass dieses Logo nochmal als Bild oben angehangen wird, das macht Apple auch ganz gerne.
Michael
00:49:02
Ja, nicht alleine Apple, aber du hast halt eine Summe X an verfügbaren E-Mail-Clients, die durch die Gegend rennen, die alle damit klarkommen, und der eine kommt halt eher besser klar, der andere kommt schlechter klar, deswegen ich habe zum Beispiel alle Bilder verbannt, ich arbeite unten mit Texten nur noch drin in die ganzen Sachen, weil ich einfach sage, ich finde es uncool, wenn solche Bilder durch die Gegend fliegen, wenn auf einmal das bei der Mail zu groß ist, wenn die Dinge auf einmal als Anhang oben drankommen, sondern für mich ist wichtig, diese E-Mail muss sachlich bleiben und fertig, und deswegen stehen bei mir zum Beispiel Bilder komplett aus der Signatur und aus der E-Mail verbannt. Aber es ist eine Geschmackssache, aber was man wissen muss, nur weil man es bei sich an seinem Rechner im Outlook in der Signatur oder bei irgendeinem Signaturprogramm super toll hingerichtet hat und es super toll aussieht und sich mal hausintern eine E-Mail hin und her geschickt hat, heißt das nicht, dass das bei allen E-Mail-Clients auf der ganzen Welt, wo ich die E-Mail hinsende, auch genauso schick und genauso schön aussieht.
René
00:50:04
So, und auch dazu möchte ich kurz was sagen.
Michael
00:50:07
Ja, sehr gerne.
René
00:50:08
Weil du gerade gesagt hast, wenn wir uns intern die Daten hin und her schicken und uns das mal angeguckt haben, gute Systeme unterbinden, dass die Signatur intern wieder angehangen wird, um den Kommunikationsfluss höher zu halten, dass man eben schneller nachvollziehen kann, worum wirklich der Text ist. Das finde ich auch sehr, sehr gut, weil es die Datenmenge auch einfach verringert.
Michael
00:50:31
Absolut sinnvoll.
René
00:50:33
Und wenn man sich für eine Software entscheidet, ich finde, das ist schon ein Kriterium, gerade was die E-Mail-Archivierung und sowas angeht, um da das ganze System zu entlasten. Das macht schon was aus.
Michael
00:50:43
Und was halt auch ein großer Vorteil ist, wenn wir von einer Signatur reden und reden gerade von dem Thema, wenn ich ein Unternehmen habe mit größer fünf Mann, kriege ich das Thema E-Mail-Signatur nicht mehr einheitlich unter Kontrolle, wenn ich das mal so behaupten darf.
René
00:51:00
Von Hand hinein.
Michael
00:51:03
Ja, dann trag mal unten rein, dass wir jetzt Urlaub haben, oder trag mal unten rein, weil wir nicht verfügbar sind, oder pass mal kurz den Datenschutzhinweis an oder sowas. Also mein Tipp geht ganz klar dahin, guckt, dass ihr irgendwelche Systeme findet, wo ihr Signaturen zentral verwalten könnt, wo ihr von oben nach unten sagen könnt, das ist unsere einheitliche Unternehmenssignatur, die sieht gut aus. Wenn ich von einem Unternehmen von drei Personen E-Mails kriege und jede Signatur sieht anders aus, ja, okay? Also das nur mal so als Tipp und als Sache rein, dass man da mit einer Zentralsignatur arbeiten kann, weil je mehr Leute beteiligt sind, je mehr E-Mails rausgehen, je größer ist die Wahrscheinlichkeit, dass es crasht und nicht mehr einheitlich aussieht. Genau.
René
00:51:48
Also wenn ihr dann ein gutes System wollt, meldet euch gerne bei ServeCom. Wir machen das schon.
Michael
00:51:56
Okay, das zum Thema Signatur. Kommen wir zum letzten und das, was wir folgen, also zum untersten Punkt bei der E-Mail und das ist dieser berühmte, kennst du den auch, diesen Disclaimer? Da steht unten so ein Disclaimer und da steht da drin, diese E-Mail ist vertraulich und nur für den Adressaten bestimmt. Sollten Sie fälschlicherweise die E-Mail gekriegt haben, sind Sie verpflichtet, diese zu löschen und das Ganze steht da noch in Deutsch und in Englisch unten drin und das baut irgendwie so vier Zentimeter auf, gefühlt oder acht.
René
00:52:25
Michael, ja, den kenn ich sowieso, aber weißt du, welchen ich noch viel geiler finde?
Michael
00:52:30
Wen kennst du denn noch?
René
00:52:31
Wenn unten drunter steht CO2-sparend was weiß ich und bitte verzichten Sie aufs Ausdrucken. Die Leute, die immer gedruckt haben, werden auch diesen Satz, genau, aber die werden auch diesen Satz mitdrucken. Also hätte ich besser diesen Satz nicht drauf. Also, das ist so sinnfrei. Und das Problem bei den Disclaimern ist ja in den allermeisten Fällen, dass es rechtlich gar nichts bringt. Also selbst wenn da drin steht vertraulich, es ändert gar nichts. Und es macht ja auch keiner gezielt, je nach Nachricht, diesen Disclaimer an oder aus. Die stehen einfach unter allem.
Michael
00:53:05
Die sind auch pauschal unten drin, aber wenn mir jetzt wirklich das Hoppala passiert, dass ich eine E-Mail an einen falschen Adressaten bringe, der muss ja oben die E-Mail lesen, bevor er unten zum Disclaimer kommt. Wie will er denn vergessen, was er oben gelesen hat, bevor er unten gesehen hat, dass er das nicht lesen darf und dass die E-Mail gar nicht für ihn bestimmt ist? Also aus rechtlicher Sicht sind die Dinger am meisten absolut wirkungslos. Also das ist, was soll es bezwecken? Viele haben es unten drin stehen, die fühlen sich rechtlich in so eine Sache drin rein, aber ich kann halt die Vertraulichkeit nicht einseitig erzwingen durch diesen Disclaimer. Also ich kann ihm das nicht einfach ... Bundeswehr hieß es früher Vergatterung. Ich kann ihn nicht einfach dazu vergattern, dass er das jetzt einhalten muss und das kriege ich einfach pauschal nicht hin. Das heißt, diese Rechtsverbindlichkeit habe ich nicht an dieser Stelle und von daher, wer es drin hat, ich sage jedem, ey, werf doch raus, erklär sie, wenn er es drinlassen will, soll er es drinlassen, ist nicht mein Thema, aber eine rechtliche Relevanz von dem Ganzen, was da unten drin steht, in dem Bereich Disclaimer, den sehe ich nicht. Und den sehe ich auch bei Gerichten nicht.
René
00:54:09
Michael, aber jetzt gerade du aus Datenschutzsicht, wenn jemand diesen Disclaimer braucht, weil er ja so sensible Daten da verschickt, wäre es nicht sinniger, eine Verschlüsselung zu nutzen?
Michael
00:54:27
Oder eigentlich sogar Vorgabe? Selbst wenn ich hochvertrauliche Daten schicke, ist der Disclaimer ja nicht die Lösung meines Problems, wenn ich sie falsch versende. Weil die Daten sind ja weg, die sind ja abgegriffen. Nach wie vor bleiben wir ruhig bei dem Thema. Auch mit einem Disclaimer wäre das Versenden einer E-Mail mit brisantem Inhalt an einen falschen Empfänger ein meldepflichtiger Datenschutzvorfahrt. Dann kann ich ja jetzt nicht sagen, ich habe jetzt 500 Gehaltslisten, auf einmal nicht an Steuerberater, das wäre Hölle, aber rein konstruierter Fall, an einen Steuerberater, sondern an irgendeine Konkurrenzfirma geschickt, aber ist ja nicht schlimm, was will denn passieren, ich habe einen Disclaimer unten drin. Ich glaube, an der Stelle merkt man, wie sinnlos und sinnfrei so ein Disclaimer wäre.
René
00:55:13
Ja, definitiv. Die Sache ist ja auch, was würde passieren? Also ich meine, am Ende des Tages, selbst wenn du es an die richtige Person schickst, ich weiß nicht, wie es datenschutztechnisch geregelt ist, aber wenn ich wirklich hochsensible Daten habe, bin ich da nicht verpflichtet, diese sogar zu verschlüsseln?
Michael
00:55:31
Ja.
René
00:55:33
Selbst wenn die da ankommt, der Kommunikationsweg war ja im schlechtesten Fall unverschlüsselt und die Daten sind trotzdem abgeflossen.
Michael
00:55:40
Bleiben wir bei den Gehaltslisten, bleiben wir bei der großen Menge. Natürlich kriegt dein Unternehmen von der Datenschutzbehörde einen interessierten Brief und du musst dich mit dem Thema auseinandersetzen und natürlich hast du einen Vorfall, natürlich hast du was falsch gemacht, aber du hast nichts falsch gemacht im Sinne von, oder du hättest es nicht besser machen können, indem du den Disclaimer reingetan hättest oder hättest den Disclaimer entsprechend geschrieben, sondern du hast was falsch gemacht, weil du deine technischen, organisatorischen Maßnahmen nicht so unter Kontrolle hast, dass du von Grund auf unterbunden hast, das eben so zu tun, wie du es getan hast. Also E-Mail nicht verschlüsselt, Anhänge mit einem Passwort, Passwort über eine zweite E-Mail oder SMS oder Kommunikationsweg, ein Passwort, was ich einmal im Jahr oder einmal alle drei Monate mit meinem Empfänger vereinbare, was man sich gegenseitig merkt, wo man genau weiß, wenn man Daten austauscht, ach, das ist der Steuerberater, da wird jetzt Mandantnummer plus Jahreszahl plus Monat sein oder irgend sowas, also, denn es gibt viele Mechanismen, und das ist viel wichtiger, viele Mechanismen, die man machen kann, technisch und organisatorisch, um eben sicherzustellen, dass sowas nicht passiert, keine Lösung und keine angemessene Maßnahme ist ein Disclaimer in eine Mail zu schreiben. Ja. Genau. Das ist so die Sache. Also von daher, ja, ich, jeder, der einen drin hat, wer ihn drin haben möchte, ja, schön, aber ich, die rechtliche Relevanz, auch das, wenn ich das weg verschicke und der andere wird Whistleblowing betreiben, dann werde ich den von Cadi ziehen und sage, du hast Informationen freigegeben, obwohl ich dir in der E-Mail unten im Disclaimer gesagt habe, du darfst nicht, ob er dann in einem Gericht mit seinem Verfahren durchkommt und der Richter sagt, ja, aber hier, sie haben ja, nachdem sie das oben gelesen haben, unten im Disclaimer gelesen, ja, nein, also da ist mir auch nichts bekannt, das, nein, ja.
René
00:57:23
Bestes Beispiel, also, das muss man sich ja einfach mal vor Augen füllen, was das eigentlich bedeutet. Das wäre, als wenn ich einen Brief nehme, wo jetzt wirklich, was weiß ich, persönliche Daten drauf sind, schmeiß den in den Briefkasten und danach nehme ich ein Post-it und schmeiß das hinterher und sage, lies das bitte nicht.
Michael
00:57:38
Ja, genau. Also, wie gesagt, Disclaimer, Disclaimer, keine gute Idee.
René
00:57:44
Bitte einfach entfernen, macht einen blöden Eindruck. Ist vielleicht nett gemeint, aber bringt gar nichts. Also, es sieht nicht schön aus, es hat auch nicht den Vorteil, dass es irgendwie wirklich darauf hinweist, dass man drucken soll oder nicht. Das hat auch keine rechtliche Relevanz und am Ende des Tages ist es wirklich schädlich, was die Datenmenge angeht und auch wenn jemand auf der anderen Seite sitzt und sagt, ich möchte mir das ausdrucken, ja, bei einer 2-Zeilen- E-Mail-4-Zeilen-Disclaimer ausdrucken, vielleicht ist es genau das Gegenteil.
Michael
00:58:13
Vielleicht ist es genau das Gegenteil.
René
00:58:16
Nutzt es einfach gar nicht. Aus meiner Sicht, bitte nicht. Es ist Schwachsinn.
Michael
00:58:21
Sind wir beim E-Mail. Lass uns bitte das E-Mail, wir sind noch schon fortgeschritten in der Zeit, aber einen Punkt hätte ich noch. Und zwar geht es mir noch mal, wir haben jetzt so viel über Verschlüsselung, über Disclaimer, über Signaturen, über Mails mit Signaturen etc. Lasst mich noch mal ganz kurz das Thema mit dem Spam-Filter aufnehmen, weil ich das noch super wichtig finde. Und zwar geht es da drum, wann gilt eine E-Mail als gelesen oder als angenommen?
René
00:58:53
Naja, sobald der Mail-Server oder, ja, doch ein Mail-Server diese Mail annimmt. Und das bedeutet auch, mein Spam-Filter, wenn er sie annimmt, gilt auch als Mail-Server, also er nimmt die Mail an. Entweder gibt er eine Rückmeldung und sagt, sie wurde nicht zugestellt. Dann ist sie nicht angenommen, weil der Spam-Filter auch wirklich dem Gegenüber signalisiert, ich habe sie nicht angenommen. Und wenn er es nicht signalisiert, dann bin ich natürlich in der Pflicht, selber darauf zu achten.
Michael
00:59:22
Das ist super wichtig. Unternehmen können sich nicht rausreden. Also formal gilt eine E-Mail als angenommen, wenn der Mail-Server des Gegenüber, wo ich sie hingesendet hat, die Mail angenommen hat. Also wenn der sagt, alles klar, ich nehme sie und gebe keine Fehlermeldung zurück, gilt die E-Mail als angenommen. Das ist der Zeitpunkt. Das ist nicht der Zeitpunkt, wenn Michael Kornmann Outlook aufmacht und liest diese E-Mail. Das ist nicht der Zeitpunkt, wann die angenommen ist. Und das ist super wichtig zu wissen im Kontext mit Spam-Filtern. Weil wenn nämlich Rechnungen, Betroffenenanfragen nach DSGVO, sonstige relevante E-Mails in einem Spam-Filter landen oder ich einen Spam-Filter habe, muss ich regelmäßig diesen Spam-Filter tracken, weil der Spam-Filter die E-Mail als Postfachserver annimmt. Es gibt E-Mail-Programme oder es gibt Spam-Filter, ich weiß auch da, um wieder einen Namen zu nennen, ich weiß, NoSpamProxy macht es, ich meine, Hornet können das auch, kannst du aber gleich nochmal was dazu sagen. Die lehnen Spams einfach grundsätzlich ab. Das heißt, die haben gar keinen Spam-Eingang, sondern die sagen einfach, alles, was wir als Spam deklarieren, nehmen wir erst gar nicht an, um genau dieses Problem nicht zu haben und weisen einfach stumpf zurück. Habe ich einen Spam-Filter posteingangsfach, muss ich mir als Mitarbeiter Gedanken machen, dass ich diesen Spam-Filter, also diese Spam-Quarantäne regelmäßig kontrolliere. Das ist meine Pflicht, weil formal ist die Mail, die da in dem Spam-Filter liegt, eingegangen im Unternehmen.
René
01:01:03
Also ist es so, dass wir, es ist nicht pauschal so, dass die Systeme alle sagen, okay, wir weisen ab. Das ist eine Konfigurationssache. Natürlich gibt es ein Postfach, wo es reinlaufen kann, aber nicht muss. Also im besten Fall, wie du gerade gesagt hast, im besten Fall ablehnen, Rückmeldung geben lassen und fertig. Das ist der optimale Fall, weil dann ist man rechtlich auf der sicheren Seite und wozu soll man Mails lesen, die vielleicht dann wirklich als Spam gekennzeichnet werden. In der Regel sind die Spam-Filter mittlerweile sehr, sehr gut oder sehr fortgeschritten. Klar, es gibt immer neue Maschen, aber ich glaube, dass es immer seltener passiert, dass normale Mails wirklich im Spam-Filter landen. Klar, wenn ich eine falsche Regel erstellt habe oder so, kann es passieren.
Michael
01:01:46
Aber du darfst dich da nicht drauf verlassen. Natürlich nicht. Wenn eine Betroffenen-Anfrage, Betroffene müssen innerhalb von vier Wochen Auskunft kriegen, kannst du theoretisch verlängern, aber wenn so eine Betroffenen-Anfrage oder irgendeine Rechnung oder was wochenlang bei dir im Spam-Filter rumdümmelt, weil du einfach den Spam-Filter nicht kontrollierst, dann ist das dein Problem. Dann hast du ein Thema mit, dann kannst du dich nicht rausreden. Boah, hab ich ja nicht gesehen, lag ich am Spam-Filter. Sondern, nein, du hast ein Log, wann die Mail angenommen wurde, wann die Mail in den Spam geschoben wurde und das ist der Log, Datum, Uhrzeit, wann die E-Mail bei dir im Unternehmen eingegangen ist.
René
01:02:26
Mir ging es ja auch jetzt nicht darum zu sagen, okay, nutzt jetzt dieses Postfach, mir ging es einfach nur darum zu sagen, okay, man braucht eigentlich heutzutage, damals war es wirklich so, es gab ja, was heißt damals, sagen wir mal vor fünf Jahren, seitdem haben sich die Erkennungen schon deutlich verbessert und da hatte man immer so ein bisschen das Risiko, dass normale Mails, weil man vorher vielleicht noch nicht so viel Kommunikation hatte, dann in den Spam-Org verschoben wurden. Heutzutage ist das aber eher selten, also die Mails, die gut, also die, die vertrauenswürdig sind, die kommen auch in der Regel so durch und das bedeutet, wenn ich meinen Spam-Filter wirklich so einstelle, dass er abweist, ich bekomme die Mail gar nicht erst, bin ich eigentlich auf der sicheren Seite, also ich brauche keine Angst zu haben, dass 20% meiner Mails irgendwie verloren gehen, sondern lass es mal eine aus tausend sein und dann wird sich derjenige dann melden, wenn das nicht funktioniert. Aber lieber so rum als andersrum.
Michael
01:03:21
Genau, ja. Das ist richtig, dein Ansatz ist der richtige. Du brauchst im Prinzip den Spam, das Spam-Pfostfach nicht mehr, weil du kannst abweisen, weil die Erkennung inzwischen so gut ist, dass du da beruhigt auf den Kopf drücken kannst. Richtig. So, das war einmal schnell hoch, schnell runter, mal eben schnell das kleine Kapitel E-Mail.
René
01:03:46
Genau. Ja, was ich anbieten kann, Michael, damit wir mal noch so ein kleines Call to Action haben, schickt uns doch mal eure Signaturen, wenn ihr da mal Lust darauf habt, dass wir uns die anschauen. Also, wir werden natürlich nichts veröffentlichen, so nicht, aber wir können da gerne einmal drüber schauen und euch mal unsere Meinung dazu geben oder vielleicht auch Verbesserungsvorschläge, gerade Michael aus Datenschutzsicht. Und ja, also das können wir euch auf jeden Fall anbieten, schickt uns einfach gerne mal eine Nachricht und dann schauen wir uns die an und dann bekommt ihr auch ganz sicher eine Antwort. Garantiert. Genau. Ja, sehr gut. Ja, Michael, wir haben gutes Wetter. Ich würde alle in ein hoffentlich sonniges Wochenende entlassen wollen.
Michael
01:04:38
Das ist lieb von dir. Das werde ich jetzt auch tun. Sehr schön.
René
01:04:42
Ja, dann würde ich sagen, von meiner Seite aus, vielen Dank Michael, vielen Dank in die Runde. Wir hören uns in 14 Tagen wieder. Bis dahin, wie immer, auf allen Social-Media-Kanälen, auf den Podcast-Plattformen und so weiter, folgen, teilen, Likes dalassen, kommentieren, wie auch immer. Wir reagieren auf alles und freuen uns auch, ja, wenn man da immer wieder was liest oder eben auch mal sieht, dass es euch gefällt. Von daher, so, das waren meine Worte zum Wochenende hin. Alles Gute, bis dahin, ciao.
Michael
01:05:17
Werft den Grill an, macht das Bier kalt, ein schönes Wochenende. Grüß euch, Wetzlar. Tschüss.

Feedback geben

Dir gefällt der Podcast und Du möchtest das mal loswerden? Du hast Tipps für neue Themen oder magst über den Inhalt bestimmter Folgen diskutieren? Dann wähle im Formular die jeweilige Episode aus und schreib uns eine Nachricht. Vielen Dank für Dein Feedback!

Mit einem Klick auf "Nachricht absenden" erklärst Du Dich damit einverstanden, dass wir Deine Daten zum Zwecke der Beantwortung Deiner Anfrage verarbeiten dürfen. Die Verarbeitung und der Versand Deiner Anfrage an uns erfolgt über den Server unseres Podcast-Hosters LetsCast.fm. Eine Weitergabe an Dritte findet nicht statt. Hier kannst Du die Datenschutzerklärung & Widerrufshinweise einsehen.

★★★★★

Gefällt Dir die Show?
Bewerte sie jetzt auf Apple Podcasts