E-Mail-Verschlüsselung ist Pflicht für Berufsgeheimnisträger
Der Sächsische Landesdatenschutzbeauftragte Andreas Schurig hat in seinem aktuellen Tätigkeitsbericht auf die Pflicht zur Verschlüsselung bei E-Mails von Berufsgeheimnisträgern (Apotheker, Ärzte und Rechtsanwälte, …) hingewiesen, wenn diese sensible personenbezogene Daten enthalten.
Laut Schurig ist insbesondere das Versenden von Gesundheitsdaten per unverschlüsselter E-Mail rechtlich unzulässig, da es sich hierbei um besondere Arten von personenbezogenen Daten i.S.v. § 3 Abs. 9 BDSG handelt. Dies würde nicht den Anforderungen der Nr. 4 der Anlage zu § 9 BDSG entsprechen. Danach muss gewährleistet sein, dass personenbezogene Daten bei der elektronischen Übertragung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Schurig begründet dies mit der Tatsache, dass eine unverschlüsselte E-Mail von allen an der Übertragung beteiligten Stellen problemlos mitgelesen werden kann und nicht dem aktuellen Stand der Technik entsprechen.
Für die in § 203 Strafgesetzbuch (StGB) genannten Berufsgeheimnisträger wie z.B. Apotheker, Ärzte und Rechtsanwälte kann dies laut Schurig auch zu einer Strafbarkeit wegen der Verletzung von Privatgeheimnissen führen. § 203 StGB schütze die Individualinteressen Betroffener in besonderer Weise dadurch, dass er Geheimnisträgern wie z.B. Rechtsanwälten, denen Betroffene im Rahmen der Mandatserteilung regelmäßig Geheimnisse anvertrauen, für den Fall der Verletzung ihrer Geheimhaltungs- und Verschwiegenheitspflichten entsprechende Strafen androht. Wegen des hohen Schutzbedarfs der Kommunikationsinhalte sei daher in jedem Fall eine Verschlüsselung des E-Mail Verkehrs erforderlich.
Soweit die rechtliche Theorie. In der Realität ist dieses Problembewusstsein jedoch noch nicht verbreitet genug. Die Nutzung einer Verschlüsselungslösung wird oft aufgrund des vermeintlich hohen Aufwands und den Kosten nicht in Erwägung gezogen. Tatsächlich hält sich beides aber mittlerweile in Grenzen und bei einer modernen Softwarelösung verschickt der Anwender seine E-Mails ganz normal ohne zusätzlichen Aufwand. Der Knackpunkt ist, dass auch der Empfänger die Verschlüsselung einsetzen muss damit das Ganze funktioniert. Letztlich scheitert daran die verschlüsselte Kommunikation oftmals in der Praxis.
Berufsgeheimnisträger sollten sich daher auf sichere Kommunikationswege wie Post oder Fax beschränken, wenn sie keine E-Mail Verschlüsselung nutzen können. Falls es in dieser Ausgangslage doch einmal notwendig sein sollte, eine E-Mail mit sensiblen Daten zu verschicken, sollte man diese in einer verschlüsselten und passwortgeschützten Zip-Datei verschicken. Dabei muss man natürlich ein ausreichend starkes Passwort verwenden. Dieses lässt man dann dem Empfänger durch ein anderes, sicheres Kommunikationsmittel (z.B. am Telefon) zukommen.