E-Mail-Ver­schlüs­se­lung ist Pflicht für Berufs­ge­heim­nis­trä­ger

Der Säch­si­sche Lan­des­da­ten­schutz­be­auf­trag­te Andre­as Schu­rig hat in sei­nem aktu­el­len Tätig­keits­be­richt auf die Pflicht zur Ver­schlüs­se­lung bei E-Mails von Berufs­ge­heim­nis­trä­gern (Apo­the­ker, Ärz­te und Rechts­an­wäl­te, …) hin­ge­wie­sen, wenn die­se sen­si­ble per­so­nen­be­zo­ge­ne Daten ent­hal­ten.

Laut Schu­rig ist ins­be­son­de­re das Ver­sen­den von Gesund­heits­da­ten per unver­schlüs­sel­ter E-Mail recht­lich unzu­läs­sig, da es sich hier­bei um beson­de­re Arten von per­so­nen­be­zo­ge­nen Daten i.S.v. § 3 Abs. 9 BDSG han­delt. Dies wür­de nicht den Anfor­de­run­gen der Nr. 4 der Anla­ge zu § 9 BDSG ent­spre­chen. Danach muss gewähr­lei­stet sein, dass per­so­nen­be­zo­ge­ne Daten bei der elek­tro­ni­schen Über­tra­gung nicht unbe­fugt gele­sen, kopiert, ver­än­dert oder ent­fernt wer­den kön­nen. Schu­rig begrün­det dies mit der Tat­sa­che, dass eine unver­schlüs­sel­te E-Mail von allen an der Über­tra­gung betei­lig­ten Stel­len pro­blem­los mit­ge­le­sen wer­den kann und nicht dem aktu­el­len Stand der Tech­nik ent­spre­chen.

Für die in § 203 Straf­ge­setz­buch (StGB) genann­ten Berufs­ge­heim­nis­trä­ger wie z.B. Apo­the­ker, Ärz­te und Rechts­an­wäl­te kann dies laut Schu­rig auch zu einer Straf­bar­keit wegen der Ver­let­zung von Pri­vat­ge­heim­nis­sen füh­ren. § 203 StGB schüt­ze die Indi­vi­dual­in­ter­es­sen Betrof­fe­ner in beson­de­rer Wei­se dadurch, dass er Geheim­nis­trä­gern wie z.B. Rechts­an­wäl­ten, denen Betrof­fe­ne im Rah­men der Man­dats­er­tei­lung regel­mä­ßig Geheim­nis­se anver­trau­en, für den Fall der Ver­let­zung ihrer Geheim­hal­tungs- und Ver­schwie­gen­heits­pflich­ten ent­spre­chen­de Stra­fen androht. Wegen des hohen Schutz­be­darfs der Kom­mu­ni­ka­ti­ons­in­hal­te sei daher in jedem Fall eine Ver­schlüs­se­lung des E-Mail Ver­kehrs erfor­der­lich.

Soweit die recht­li­che Theo­rie. In der Rea­li­tät ist die­ses Pro­blem­be­wusst­sein jedoch noch nicht ver­brei­tet genug. Die Nut­zung einer Ver­schlüs­se­lungs­lö­sung wird oft auf­grund des ver­meint­lich hohen Auf­wands und den Kosten nicht in Erwä­gung gezo­gen. Tat­säch­lich hält sich bei­des aber mitt­ler­wei­le in Gren­zen und bei einer moder­nen Soft­ware­lö­sung ver­schickt der Anwen­der sei­ne E-Mails ganz nor­mal ohne zusätz­li­chen Auf­wand. Der Knack­punkt ist, dass auch der Emp­fän­ger die Ver­schlüs­se­lung ein­set­zen muss damit das Gan­ze funk­tio­niert. Letzt­lich schei­tert dar­an die ver­schlüs­sel­te Kom­mu­ni­ka­ti­on oft­mals in der Pra­xis.

Berufs­ge­heim­nis­trä­ger soll­ten sich daher auf siche­re Kom­mu­ni­ka­ti­ons­we­ge wie Post oder Fax beschrän­ken, wenn sie kei­ne E-Mail Ver­schlüs­se­lung nut­zen kön­nen. Falls es in die­ser Aus­gangs­la­ge doch ein­mal not­wen­dig sein soll­te, eine E-Mail mit sen­si­blen Daten zu ver­schicken, soll­te man die­se in einer ver­schlüs­sel­ten und pass­wort­ge­schütz­ten Zip-Datei ver­schicken. Dabei muss man natür­lich ein aus­rei­chend star­kes Pass­wort ver­wen­den. Die­ses lässt man dann dem Emp­fän­ger durch ein ande­res, siche­res Kom­mu­ni­ka­ti­ons­mit­tel (z.B. am Tele­fon) zukom­men.