Früher war alles einfacher, könnte man meinen. Man hat einen Brief geschrieben, diesen kuvertiert und abgeschickt. Dank Briefgeheimnis konnte man weitgehend davon ausgehen, dass vertrauliche Inhalte vertraulich blieben. Moderner wurde es dann mit dem Fax. Wobei da das Risiko, dass unser Fax beim falschen Empfänger ankam, durchaus schon höher war als beim Briefversand. Aber in Deutschland galt das Fax per Definition immer als sichere Kommunikationsart (weil früher der Faxversand über klassische direkt verbundene Telefonleitungen ablief).
Doch nun, im Mai 2021, hat die Bremer Landesbeauftragte für Datenschutz als erste Aufsichtsbehörde das bislang Undenkbare ausgesprochen. Sie hat tatsächlich gesagt “Telefax ist nicht datenschutzkonform”. Weil nämlich der Faxversand auch im digital rückständigen Deutschland längst über das Internet und sogenannte Faxserver in Verbindung mit der zughörigen Software abgewickelt wird und damit potenziell genau so unsicher ist wie der Versand unverschlüsselter E-Mails. Für deutsche Behörden, die vermeintlich letzte Bastion der Telefax-Ära, bricht ihre bisher heile Welt zusammen. Was wird erst passieren, wenn ihnen jetzt noch jemand sagt, dass sie mit dem Versand personenbezogener Daten in unverschlüsselten E-Mails regelmäßig gegen Datenschutzgesetze verstoßen?
Aber das ist hier gar nicht unser Problem. Hier geht es darum, wie WIR sicher und professionell kommunizieren können. (Ich sage ganz bewusst WIR, denn ich bitte unsere Kunden immer, mich und meine Kollegen nicht als Datenschutz-Dienstleister, sondern als Teil ihres Teams zu betrachten.)
Anforderungen an sichere Kommunikation
Zunächst einmal muss aus Sicht des Datenschutzes jede Datenverarbeitung nach der Kategorie der Daten, den individuellen Umständen und dem sich hieraus ergebenden Risiko für die Betroffenen Personen (deren Daten verarbeitet werden) unterschieden werden.
Was im Bereich der privaten Kommunikation vollkommen unkritisch erscheint, kann im geschäftlichen Umfeld ein absolutes No-Go sein.
Im sozialen Bereich und im Gesundheitswesen sprechen wir in der Regel über die sogenannten besonderen Kategorien personenbezogener Daten wie bspw. Gesundheitsdaten. Deren Verarbeitung ist gemäß Art. 9 DSGVO nur unter bestimmten Umständen erlaubt. Zudem sind bei diesen Verarbeitungen dann gemäß § 22 BDSG “angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person” vorzusehen.
E-Mail-Kommunikation in der Praxis
Wir haben also im sozialen Bereich und im Gesundheitswesen hohe Standards zu beachten. Doch wie sieht es in der Praxis aus? Kommen wir zunächst zum Offensichtlichen: unserer Außenwirkung. Eine E-Mail-Adresse wie hummelchen83@gmx.de (Frei erfunden, aber Sie würden nicht glauben, wie oft ich derartigen Konstrukten in der Praxis begegne) mag im privaten Umfeld witzig erscheinen. Im geschäftlichen Umfeld wirkt sie dagegen zumindest unprofessionell. Hinzu kommt, dass die geschäftliche Nutzung einer gleichzeitig privaten E-Mail-Adresse (insbesondere im Gesundheitswesen) schon allein durch die Vermischung der Inhalte einen Verstoß gegen die im Art. 32 DSGVO geforderte Vertraulichkeit der Verarbeitung darstellen kann.
Jetzt ist eine sogenannte Freemail-Adresse natürlich nicht grundsätzlich problematisch. Deutsche Anbieter bieten in der Regel einen recht hohen Sicherheitsstandard. Gegen eine Adresse xyzgmbh@gmx.de ist aus Sicht des Datenschutzes also zunächst nichts einzuwenden und auch der professionelle Außenauftritt kann gerade bei kleine Unternehmen damit durchaus gewahrt werden. Aus Marketingsicht besser ist natürlich die eigene Domain in der Form http://xyzgmbh.de .
Unterschieden werden muss hierbei auch, dass dem Mail-Absender klar sein muss, wen er “am anderen Ende der Leitung” vor sich hat. Wer eine E-Mail an eine allgemeine Adresse wie info@xyzgmbh.de schreibt, der ist sich dessen bewusst, dass “irgendwer” im Unternehmen diese lesen wird. Vertrauliche Kommunikation ist somit nicht möglich. Bei E-Mails an vorname.name@xyzgmbh.de oder pdl@xyzgmbh.de kann der Absender hingegen darauf vertrauen, dass nur der genannte Empfänger (namentlich oder im obigen Beispiel eben die Person in der Rolle der Pflegedienstleitung des Pflegeunternehmen) Zugang zu der betreffenden E-Mail erhält.
Ich hier höre ich oft Sätze wie “Wir vertrauen einander und haben ja nichts zu verbergen”. Dies ist aber – mit Verlaub – vollkommener Unsinn. Denn der Absender der Mail hat eventuell durchaus ein starkes Interesse an der Vertraulichkeit der Informationen in seiner E-Mail. Ein Verstoß gegen diese Vertraulichkeit kann im Zweifel zu Recht mit einem empfindlichen Bußgeld geahndet werden.
Kommen wir zum Thema Sicherheit: Sowohl die Datenschutzgrundverordnung (DSGVO) als auch das Bundesdatenschutzgesetz (BDSG) verlangen unter dem Stichwort “Integrität und Vertraulichkeit” ein “angemessenes Schutzniveau” jeder Verarbeitung, gemessen am Stand der Technik, den Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos. Als Stand der Technik kann man aktuell die Verschlüsselung von E-Mails bezeichnen. Daraus ergäbe sich, dass mit unverschlüsselten E-Mails grundsätzlich keine personenbezogenen Daten versandt werden dürften. Aber halt – ein weiteres Kriterium der Angemessenheit sind die individuellen Umstände und die Implementierungskosten.
Kleinen Unternehmen werden tendenziell nicht dieselben Anforderungen auferlegt wie Konzernen, solange die Sicherheit der Verarbeitung dennoch im angemessenen Maß gewährleistet werden kann.
Die sogenannte TLS-Verschlüsselung („Transport Layer Security“) ist hierbei ein Weg, zumindest die erste Hürde der Anforderungen zur sicheren E-Mail-Kommunikation zu nehmen. TLS wird von nahezu jedem großen E-Mail-Provider als Standard angeboten und verschlüsselt zwar nicht die E-Mail selbst, aber den Transportweg zwischen zwei Mailservern. Für “normale” Kommunikation ist dies in der Regel in Ordnung.
Für den Versand sensibler Informationen (bspw. Gesundheit, Sexualität, politische Ansichten, genetische und biometrische Daten, usw.) ist es zwingend erforderlich, Mailinhalte mit einem passwortbasierten Verfahren zu verschlüsseln.
Nun ist es aber gerade für kleine Unternehmen in der Regel keine realistische Option, eine technische Infrastruktur zur Verschlüsselung einzusetzen. Aber auch hierfür gibt es Lösungen wie bspw. Tresorit Send (https://send.tresorit.com/). Dabei muss mit dem Korrespondenzpartner lediglich ein Passwort vereinbart werden und schon kann man ohne tiefe technische Kenntnisse (und oft sogar kostenfrei) Dateien verschlüsselt per E-Mail übermitteln.
Grundlegende E-Mail-Regeln
- Professionelle E-Mail-Adressen nutzen
- Private und dienstliche E-Mail strikt trennen
- Vertrauenswürdigen E-Mail-Provider auswählen
- Vertraulichkeit der Mailkommunikation gewährleisten
- Sensible Informationen verschlüsseln, ggf. externe Dienste nutzen
Aber was ist denn nun mit dem Fax?
Wie oben beschrieben ist der Versand von Faxen genau genommen mit einer Postkarte zu vergleichen.
Zumindest die Übermittlung sensibler Daten (sog. “besondere Kategorien personenbezogener Daten” gem. Art. 9 DSGVO) per Fax wäre damit also grundsätzlich unzulässig, da die notwendige Vertraulichkeit nicht sichergestellt werden kann.
In der Praxis gibt es hierzu noch keine einheitliche Meinungsäußerung der Datenschutzbeauftragten der Länder. Es ist jedoch damit zu rechnen, dass diese sich wahrscheinlich der Meinung der Bremer Aufsichtsbehörde anschließen werden. Grundsätzlich trägt der Fax-Versender die Verantwortung dafür, dass das Fax nicht unberechtigten Dritten zur Kenntnis gelangt. Da aus vielen Organisationen das Fax als Standard-Kommunikationsmittel jedoch bis heute nicht wegzudenken ist, sollen die folgenden Hinweise eine Hilfestellung zur risikoarmen Faxnutzung geben.
Risikominimierung bei Faxnutzung
- Keine sensiblen Daten (Gesundheitsinformationen) per Fax versenden.
- Keine Kurzwahltasten benutzen (Bei manueller Eingabe der Nummer ist das Ri-siko, bei Fehlern das Fax an einen unberechtigten Empfänger zu versenden, deutlich geringer.)
- Klären, ob das Fax beim Empfänger direkt beim Bearbeiter ankommt oder auf einem zentralen Gerät. Im letzteren Fall stellt der Versand (sensibler) perso-nenbezogener Daten ein nicht kalkulierbares Risiko dar
Sprechen wir miteinander!
Haben Sie Fragen zu Digitalisierung oder Datenschutz für Ihr Unternehmen? Sind Sie Projektverantwortlicher oder betrieblicher Datenschutzbeauftragter und möchten mit einem Sparrings-Partner auf Augenhöhe diskutieren? Und das Ganze am Besten ohne Panikmache und mit einem gesunden Schuss Pragmatismus? Dann sollten wir miteinander sprechen.
Der Autor
Falk Schmidt ist Projektberater für digitale Geschäftsprozesse sowie zertifizierter Datenschutzbeauftragter und Datenschutz-Auditor. Als Lehrbeauftragter an der Technischen Hochschule Mittelhessen (THM) vermittelt er Datenschutz-Themen an Studenten.
Die hier erscheinenden Artikel illustrieren seine private und/oder berufliche Meinung, stellen jedoch keine Rechtsberatung im Sinne des RDG dar.