DSGVO (im E-Mail-Kontext)

Die Datenschutz-Grundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten in der EU. Im E-Mail-Authentifizierungs-Kontext ist sie an mehreren Stellen relevant.

DMARC Forensic Reports (RUF) können personenbezogene Daten enthalten — Header und teils Inhaltsfragmente einzelner Mails. Wer RUF aktiviert, muss die Verarbeitung datenschutzkonform gestalten und an einen TLS-gesicherten Empfänger senden. Aggregate Reports (RUA) sind dagegen unkritisch, weil sie nur aggregierte Metadaten enthalten.

Domain-Daten sollten datensparsam verarbeitet werden. Werkzeuge, die geprueefte Domains speichern, können diese hashen, statt sie im Klartext zu halten.

Hosting-Standort ist für DACH-Unternehmen ein eigenes Kriterium: Ein DMARC-Dienstleister, der Daten ausschließlich in der EU verarbeitet und einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO anbietet, vereinfacht die eigene Compliance erheblich gegenüber einem US-Anbieter mit Drittlandtransfer.

DSGVO und NIS2 wirken zusammen: Beide verlangen einen bewussten, dokumentierten Umgang mit Risiken und Daten.