Der sächsische Datenschutzbeauftragten vertritt die nachvollziehbare Auffassung, dass der unverschlüsselte Versand von Schriftsätzen per E-Mail nicht mehr dem technischen Stand entspricht. Das betrifft natürlich nicht nur Rechtsanwälte, sondern auch andere Berufsgeheimnisträger wie Ärzte, Apotheker oder Steuerberater. Was ist zu tun? Verschlüsseln?

Short summery: Do professional secret holders such as doctors and tax consultants have to encrypt their e-mails? What are the requirements of data protection law for companies?

[Aktualisierter Beitrag vom 25.06.2018: E-Mail-Verschlüsselung für Ärzte]

In seinem 17. Tätigkeitsbericht führt der sächsische Datenschutzbeauftragte unter Ziffer 8.13.1 zur Übermittlung von Schriftsätzen per E-Mail aus:

„Ich betrachte den unverschlüsselten E-Mail-Versand von Schriftsätzen (…) als eine absolut ungeeignete Kommunikationsform. (…) Der unverschlüsselte E-Mail-Versand widerspricht auch den Vorgaben der Nr. 4 der Anlage zu § 9 BDSG, wonach zu gewährleisten ist, dass personenbezogene Daten bei der elektronischen Übertragung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Satz 3 der Anlage zu § 9 BDSG ist insoweit zu entnehmen, dass dies auch durch Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren realisierbar ist.

Quelle: 8. Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten 2017 (PDF)

Konkret spricht der Sächsische Datenschutzbeauftragte damit die Weitergabekontrolle an. Die innerbehördliche oder innerbetriebliche Organisation ist so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Bei der elektronischen Übertragung sollen Dritte personenbezogene Daten vor allem nicht unbefugt lesen, kopieren, verändern oder entfernen können. Da die Übertragung einer eMail standardmäßig nicht verschlüsselt erfolgt, wäre ein unbefugtes Lesen auf dem Transportweg möglich – vor allem dann, wenn Automatismen eMails analysieren.

Aufgrund der Komplexität, der fehlenden „Usability“ und passenden Workflows verweigern sich zahlreiche Berufsträger ebenso wie ihre Mandanten, Patienten oder Kunden jedoch zu verschlüsseln. Insoweit ist das unverschlüsselte Versenden nicht unüblich, selbst wenn diese besonders sensible Daten wie Auszüge aus der Patientenkartei, Finanzinformationen, Schriftsätze oder Aktenbestandteile enthalten. Eine Besserung ist daher sicher wünschenswert. [Nachtrag vom 03.12.2017: Vergleichen Sie hierzu auch den Kommentar von Herbert Braun „Weg mit PGP, her mit alltagstauglicher Mail-Verschlüsselung“ auf heise.de.]

We reinvented the way of email

Nicht smart und nicht standardisiert: So verhindern die unterschiedlichen technischen Möglichkeiten von PGP über S/MIME über verschlüsselte PDF und proprietäre Lösungen nebst den unterschiedlichen Zertifikatsträgern als auch die fehlende Einbindung in Standardsoftware eine übliche Verwendung. Das Verschlüsseln mit dem Schlüssel oder Zertifikat des Empfängers ist selten möglich, setzt es doch beim Empfänger eine eben solche Technik voraus. Verschlüsselte PDF lassen die Usability der eMail missen; sofern der Empfänger sie trotz Kenntnis des Passworts überhaupt öffnen können. Schön wäre mindestens eine mittels Passwort verschlüsselbare eMail, ohne dass der Empfänger hierzu auf seinen ihm genehmen Client verzichten muss.

Auch der verifizierte Schlüsselaustausch / Austausch der Zertifikate stellt die Parteien mitunter vor Hürden. Woher soll der Empfänger wissen, dass der öffentliche Schlüssel tatsächlich von seinem Vertragspartner stammt. Hilfreich wäre eine einheitliche Zertifizierungsstelle; auch hier fehlt es allerdings an wirklich nutzerfreundlichen Lösungen – die es andernorts gibt! Warum können wir keine Schlüssel oder Zertifikate in unseren Kontakten, Clients und  sozialen Netzen hinterlegen, tauschen sie mittels App oder near field aus und werden bei Nichtnutzung standardmäßig gewarnt? Auch nur ein Gedanke… Selbst webbasierte Dienste bieten wieder nur proprietäre Lösungen, denen sich einzelne Parteien gerne verweigern. Tipps für eine simple und nutzerfreundliche Verschlüsselungsart nehme ich gerne weiter entgegen.

Dass ich verschlüsselte eMails erhalte, ist daher, obwohl ich die Zertifikate anbiete, der Ausnahmefall. Selbst öffentliche Stellen senden uns bisweilen unaufgefordert eMails unverschlüsselt zu. An dieser Stelle folgender Hinweis: Die Bekanntgabe einer eMail-Adresse auf dem Briefkopf oder die in der Vergangenheit gespeicherte Kontaktinformation für sich genügen nicht, um das Einverständnis zur unverschlüsselten Kommunikation allgemein zu vermuten.

Verschlüsseln? Was ist zu tun?

Berufsgeheimnisträger wie Unternehmen müssen das Thema eMail-Verschlüsselung jedenfalls angehen und die organisatorischen Voraussetzungen schaffen. Das betrifft zum einen die Sensibilität der Mitarbeiter und Kunden ebenso wie das Schaffen der technischen Voraussetzungen sowie die Anpassung der erforderlichen Formulare und Verträge.


Spezielle Fragen ergeben sich auch zum Datenschutz im Gesundheitswesen, einschließlich dem Datenschutz in Praxis, MVZ und Krankenhaus, mit eHealth und Telemetrie.