Geschrieben am 05.02.2018 von:
Aus dem Tätigkeitsbericht des Sächsischen Landesdatenschutzbeauftragten Andreas Schurig geht hervor, dass Berufsgeheimnisträger generell zur Verschlüsselung von E-Mails verpflichtet sein sollen. Ob das aber tatsächlich dem Stand der Technik entspricht, ist fraglich.
Gesundheitsdaten als Ausgangspunkt
Unverschlüsselte E-Mails von Ärzten oder Apothekern waren der Anlass für die Stellungnahme der Behörde. Nach § 3 Abs. 9 BDSG sind Gesundheitsdaten besondere Arten personenbezogener Daten und besonders schutzbedürftig.
Nach Nr. 4 der Anlage zu § 9 BDSG muss bei der elektronischen Übertragung von personenbezogenen Daten sichergestellt werden, dass diese nicht unbefugt gelesen oder kopiert werden können. Dies soll ausdrücklich auch durch dem Stand der Technik entsprechende Verschlüsselungsverfahren erfolgen können.
Nach Ansicht des Landesdatenschutzbeauftragten gehört die Verschlüsselung von E-Mails mittlerweile zum Stand der Technik. Sie ist auch erforderlich, weil ihr Aufwand gem. § 9 BDSG in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht, nämlich dem Schutz besonderer personenbezogener Daten.
Umsetzung schwierig
Tatsächlich gibt es mittlerweile zahlreiche grundsätzlich alltagstaugliche Verfahren, durch die E-Mails verschlüsselt werden können. Problematisch ist bei den meisten aber, dass immer in irgendeiner Art und Weise die Mitwirkung des Empfängers gefordert ist. Eine Kommunikation kann also nur stattfinden, wenn der Empfänger zur Mitwirkung gewillt und auch dazu in der Lage ist.
Da die Entschlüsselung von E-Mails noch nicht zum Standard geworden ist, kann man wohl nicht davon ausgehen, dass die Verschlüsselung von E-Mails zum Stand der Technik gehört. Die Technik hat sich einfach noch nicht durchgesetzt.
Fehlende Verschlüsselung strafbar?
Nach Ansicht des sächsischen Landesdatenschutzbeauftragten soll ein Verstoß gegen die Verschlüsselungspflicht gem. § 203 StGB strafbar sein. Er geht sogar noch weiter und vertritt den Standpunkt, dass nicht nur solche Stellen, die besondere Arten personenbezogener Daten verarbeiten, ihre E-Mails verschlüsseln müssen, sondern jeder Berufsgeheimnisträger. Folgt man dieser Ansicht, würde jeder Arzt, Apotheker, Anwalt oder Steuerberater rechtswidrig und auch strafbar handeln, wenn er seine E-Mails nicht verschlüsselt.
Unabhängig davon, ob die Ansicht des sächsischen Landesdatenschutzbeauftragten Zustimmung findet, ist Berufsgeheimnisträgern zumindest zu empfehlen, bestimmte Anhänge mit sensiblen Daten zu verschlüsseln. Außerdem gilt es zu überdenken, ob bestimmte Daten überhaupt per E-Mail gesendet werden sollten.
Eine generelle Pflicht zur Verschlüsselung von E-Mails entspricht aber wohl noch nicht dem Stand der Technik und kann daher nicht erwartet werden.