E-Mail-Verschlüsselung wird weiter heiß diskutiert. Ist die Verschlüsselung nun für Arzt/Zahnarzt, Apotheker, Anwalt, Steuerberater Pflicht? Kommunizieren wir zukünftig mit unseren Mandanten in der Cloud? 

Short summery: Do professional secret holders such as medical doctors, pharmacists, lawyers and tax consultants have to encrypt their e-mails? What are the requirements of the GDPR for companies?

Ich hatte noch nicht vor allzu langer Zeit über die E-Mail-Verschlüsselung berichtet. Damals hatte sich der Landesdatenschutzbeauftragte in Sachen hierzu geäußert. Im Frühjahr 2018 folgte eine weitere Stellungnahme des Landesdatenschutzbeauftragten in Hamburg. Im Internet werden diese teils qualifiziert teils undifferenziert diskutiert. Mit dem Inkrafttreten des neuen Datenschutzrechts, der DSGVO, sind jetzt auch die Fragen unserer Mandanten sprunghaft gestiegen. Was gilt nun?

Es gibt keine gesetzliche Vorgabe zur Verschlüsselung. Sicherzustellen sind die technischen und organisatorischen Maßnahmen, damit die Daten der Betroffenen geschützt bleiben. Zum Schutz vor unbefugter Kenntnisnahme zählen auch die Transportverschlüsselung und das Sicherstellen des richtigen Empfängers. Dies erfolgt unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, Art. 32 Abs. 1 DSGVO.

Alternativ versuchen manche durch Einwilligung auf die Verschlüsselung zu verzichten. Was an dem Vorschlag unberücksichtigt bleibt: Sicherzustellen ist auch der Schutz der Daten weiterer Betroffener (Dritter), also auch derjenigen, über die wir uns mit unseren Patienten/Mandanten austauschen. Dritte werden kaum in das Unterlassen der Verschlüsselung eingewilligt haben.

E-Mail-Verschlüsselung in Sachsen

Der Sächsiche Landesdatenschutzbeauftragte führte hierzu 2017 in seinem Tätigkeitsbericht auf Seite 138 aus:

Ich betrachte den unverschlüsselten E-Mail-Versand von Schriftsätzen vor dem Hintergrund des § 203 StGB insbesondere bei Rechtsanwälten als eine absolut ungeeignete Kommunikationsform. § 203 StGB schützt die Individualinteressen Betroffener in besonderer Weise dadurch, dass er Geheimnisträgern (…) für den Fall der Verletzung ihrer Geheimhaltungs- und Verschwiegenheitspflichten entsprechende Strafen androht. Soweit und solange sich also Rechtsanwälte nicht nur mit allgemeinen Fragestellungen oder Anliegen an die Aufsichtsbehörde wenden, sondern die Aufsichtsbehörde in Ausübung eines konkreten Mandats eines Betroffenen kontaktieren und dabei mandatenbezogene bzw. mandantenbeziehbare Äußerungen und Stellungnahmen tätigen, ist wegen des hohen Schutzbedarfes der Kommunikationsinhalte in jedem Fall eine Verschlüsselung des E-Mail-Verkehrs erforderlich. (…) Ich gehe daher davon aus bzw. fordere dies gegebenenfalls, dass Rechtsanwälte ihre E- Mails zukünftig verschlüsseln oder aber ihre Schriftsätze per Fax und/oder Briefpost versenden. (…)

E-Mail-Verschlüsselung in Hamburg

Ähnlich tendiert auch der Hamburger Datenschutzbeauftragte (Stellungnahme vom 08.01.2018):

Die Gewährleistung von Datensicherheit ist dann [Anmerkung: Mit Inkrafttreten der DSGVO] nicht nur gesetzlich verankert, sie stellt zudem die Bedeutung des technischen und organisatorischen Datenschutzes heraus (vgl. Art. 5 Abs. 1f und Art. 32 DSGVO). Dies wird insbesondere dadurch deutlich, dass zukünftig ein Verstoß gegen technisch-organisatorische Maßnahmen mit Geldbußen geahndet werden kann (vgl. Art. 83 DSGVO). Die Versendung von unverschlüsselten E-Mails, die personenbezogene Daten enthalten, insbesondere für Angehörige von Berufsgruppen, die auch einer strafrechtlich sanktionierten Schweigepflicht nach § 203 StGB unterliegen, ist nach alledem nicht nur bedenklich, sondern stellt auch ein ungeeignetes Kommunikationsmittel dar.

Beide Aussagen treffen natürlich auch auf Ärzte, Zahnärzte, Krankenhäuser und andere Heilberufe ebenso wie die erwähnten Rechtsanwälte oder Steuerberater zu. Das Thema ist heftig umstritten. Ein lesenswerter Beitrag von Härting findet sich hierzu im CR Online Blog, dem ich rechtlich zustimme. Persönlich habe ich auch keine Probleme mit einer Einwilligung des Patienten/Mandanten in die unverschlüsselte Kommunikation, sofern er hinreichend informiert ist und keine personenbezogenen Daten Dritter betroffen sind. Das bleibt jedem selbst überlassen. Sobald aber Daten Dritter betroffen sind – beispielsweise bei Lohnbuchhaltung, Gesundheitsgutachten, vertraulichen Informationen – gilt es äußerst sorgfältig abzuwägen. Zumal diese als Betroffene reagieren können.

Smarte Verschlüsselung?

Leider gibt es noch keine smarte E-Mail-Verschlüsselung. Allen Lösungen wie PGP oder S/MIME ist gemein, dass Patienten und Mandanten die Technik selten vorhalten – und dann gibt es noch technische Probleme. Verschlüsselte PDF machen – wenn sie überhaupt geöffnet werden können – spätestens in unternehmensweitenDokumenten-Management-System (DMS) ihre Probleme. Bevor Berufsgeheimnisträger sich nun der E-Mail-Verschlüsselung gänzlich verweigern, sollten wir smarte Alternative (You have Mail!) suchen. Ideen gibt es viele: IDGuard Cloud Anwälte, NextCloud, WebAkte, Wollschläger, TeamDrive, MandantenPortal,  zukünftig vielleicht die DATEV Cloud für Anwälte. Ich bin übrigens gerne bereit zu testen und an dieser Stelle über Mandanten-Cloud und Patienten-Cloud-Lösungen zu informieren. Vorneweg: Es sollte aber smart (!) funktionieren – und das beginnt bei Absprache/Installation.

Outlook ist übrigens kein Dokumenten-Management-System. Bestenfalls entwickeln wir daher sinnvolle und einheitliche, digitale Prozesse für die Kommunikation mit Patienten und Mandanten. Vorteile einer Cloud-Lösung könnten übrigens sein:

  • Einfacher Export aus der Praxissoftware/Anwaltssoftware
  • Automatische Benachrichtigung des Patienten/Mandanten (Push)
  • Sichere Empfangsbestätigung
  • Arbeiten an einem Dokument (Collaboration)
  • Kommunikation in einer Kartei/Akte (Vertreterregelung)

Und dann gäbe es ja noch ergänzende Schnittstellen für Kontaktanfragen einschließlich Stammdatenimport, Onlinechat und Videokommunikation, Video-Identifikation (VideoIDent) aufgrund Vorgaben des Geldwäschegesetzes sowie Online-Zahlungsdiensten, Online-Terminplanung bis hin zu intelligenten Abfrageformularen, die uns sämtlich den beruflichen Alltag erleichtern könnten.

Falls ein Anwalt weiterhin über Opt-Out und mutmaßliche Einwilligung sinniert, möge er über die nachfolgende Klausel nachdenken. Ohne Baurechtler zu sein, würde mich als Bauherr diese Klausel nicht überzeugen: Dieser Bauabschnitt ist nicht abgesichert. Auch bei zukünftigen Baumaßnahmen verzichten wir auf die nötige Bauabsicherung. Falls Sie als Bauherr wünschen, dass wir Ihnen aus Gründen der Arbeitssicherheit oder aus sonstigen Gründen zukünftig den Bauabschnitt absichern, teilen Sie uns dies bitte ausdrücklich mit.“ Aber mit der E-Mail, da kann man es ja machen.

Ihr

Andreas Staufer