Die fortschreitende technische Entwicklung bringt auch vermehrt Gefahren mit sich. Dies gilt auch für den Versand von „elektronischer Post“, den sogenannten „E-Mails“. Um eine sichere Übertragung und damit den Schutz personenbezogener Daten gewährleisten zu können, sollte auf eine Verschlüsselung des elektronischen Briefes nicht verzichtet werden. Dies gilt insbesondere für Berufsgeheimnisträger, wie Ärzte, Anwälte, Steuerberater oder Apotheken.
Datenschutz und verschlüsselter E-Mail-Versand
Werden E-Mails mit sensiblen personenbezogenen Daten versendet, sollten diese vorher verschlüsselt werden. Unternehmen und sonstige Verantwortliche laufen ansonsten Gefahr, dass unverschlüsselte E-Mails von Dritten unbefugt mitgelesen und verändert werden, ein Missbrauch der E-Mails durch beispielsweise Identitätsdiebstahl entsteht oder die E-Mails für eine Verbreitung von Schadsoftware genutzt werden. Unter Art. 32 Abs. 1 lit. a Datenschutz-Grundverordnung (DS-GVO) wird die Verschlüsselung explizit als eine vorzunehmende Maßnahme aufgeführt. Im Zuge dessen sollten Verantwortliche, im Umgang mit sensiblen personenbezogenen Daten, geeignete technische und organisatorische Maßnahmen treffen, um „ein dem Risiko angemessenes Schutzniveau“ gewährleisten zu können. In diesem Zusammenhang führte der sächsische Datenschutzbeauftragte bereits auf, dass insbesondere Berufsgeheimnisträger dieser „Pflicht“ nachkommen sollten, vor allem wenn es um die Verarbeitung besonderer Kategorien personenbezogener Daten, wie beispielsweise Gesundheitsdaten oder ethnische Daten, geht. Datenschutzexperten diskutieren zwar derweil darüber, ob die Verschlüsselung von E-Mails wirklich eine Pflicht darstellt. Es ist jedoch zu beachten, dass die Einführung und Implementierung von geeigneten technischen und organisatorischen Maßnahmen für unabdingbar gehalten wird. Hierunter würde auch wieder die Verschlüsselung zählen. Eindeutige Aussagen bleiben abzuwarten. Das Risiko eines Bußgeldes geht der Verantwortliche jedoch weiterhin ein, sofern er keine geeigneten technischen und organisatorischen Maßnahmen nach dem heutigen Stand der Technik zum Schutz der personenbezogenen Daten einsetzt.
Berufsgeheimnis und E-Mail-Verschlüsselung
Gerade im Hinblick auf die mit der DS-GVO erhöhten Bußgelder, die einem Verantwortlichen drohen könnten, sollten Abschreckung genug sein. Weiterhin unterliegen insbesondere Berufsgeheimnisträger einer Verpflichtung auf das Berufsgeheimnis und einer damit einhergehenden Verschwiegenheitspflicht gegenüber den Mandanten, Kunden, Patienten etc. Durch den fehlenden Einsatz von Verschlüsselungstechniken wären die E-Mails vergleichbar mit einer Postkarte. Unbefugte könnten sich Zugriff auf die Daten verschaffen und diese weiterverarbeiten. Sollte ein solcher Vorfall eintreten, hätte das insbesondere für Berufsgeheimnisträger, nach § 203 StGB, eine Strafbarkeit aufgrund der Verletzung von Privatgeheimnissen zur Folge. Im Zuge dessen, wäre dies ein weiteres Argument, welches für eine Verschlüsselung von E-Mails sprechen dürfte.
Was zeigt die Praxis?
Infolge der rechtlichen Vorschriften sollte es für Unternehmen und insbesondere auch für Berufsgeheimnisträger ein hohes Anliegen sein, die personenbezogenen Daten der Betroffenen zu schützen. Die Praxis zeigt jedoch, dass dies vor allem aufgrund des Aufwandes und der damit zusammenhängenden Kosten noch oftmals scheitert. Weiterhin müssen ebenfalls beide Parteien, der Sender und der Empfänger, eine solche Verschlüsselung implementiert haben, damit diese sinnvoll umgesetzt werden kann. Dies stellt womöglich einen weiteren Punkt dar, weshalb die Verschlüsselung in der Praxis misslingen könnte. Verantwortlichen, insbesondere auch Berufsgeheimnisträgern, welche weiterhin auf die Implementierung von geeigneten Verschlüsselungstechniken verzichten wollen bzw. bei denen eine Umsetzung aktuell nicht möglich ist, sollten sich auf den Versand/die Übermittlung personenbezogener Daten per Brief oder Fax beschränken.
Fazit
Es sind geeignete technische und organisatorische Maßnahmen vom Verantwortlichen zu treffen, um den Schutz von sensiblen personenbezogenen Daten gewährleisten zu können. Werden also E-Mails mit personenbezogenen Daten versendet, sollte eine Verschlüsselung implementiert werden. Unternehmen und andere Verantwortliche sollten organisatorische und technische Vorsorgemaßnahmen treffen. Hierzu sollten sie ihren Datenbeauftragten oder Datenschutzberater einbinden.
