Verschlüsselte Kommunikation bei Geheimnisträgern
Müssen Anwälte, Steuerberater, etc. mit der Einführung der DSGVO nun verschlüsselt mit ihren Klienten kommunizieren? Wo liegen hier die Probleme und was hat sich zum 25. Mai nun geändert?
In den letzten Wochen kamen viele Fragen zum Thema Datensicherheit und Datenschutz auf. Grund dafür ist die seit dem 25. Mai in Kraft getretene Datenschutzgrundverordnung. Ein Kreis von Personen tauchte dabei immer wieder auf, der Kreis derer, die allgemein Geheimnisträger genannt werden. Rechtsanwälte, Steuerberater, Priester, Ärzte, etc. unterliegen alle der Verschwiegenheitsverpflichtung, d.h. die ihnen überlassenen Informationen sind vertraulich und müssen demnach besonders vor dem Zugriff Dritter geschützt werden. Der Staat schützt dieses Vertrauensverhältnis dadurch, dass dieser Personenkreis z.B. nicht zu Aussagen vor Gericht gezwungen werden kann oder deren Dokumente durchsucht werden dürfen.
Doch wie sieht es nun bei der Kommunikation aus? Faxe und Briefe sind durch das Postgeheimnis geschützt, so dass man hier durchaus von einer vertraulichen, wenn auch nicht verschlüsselten Kommunikationsform sprechen kann. Anders sieht es bei E-Mails aus. Diese werden in den meisten Fällen im Klartext versendet, was zur Folge hat, dass alle am Transfer Beteiligten mitlesen können. Das könnten zum Beispiel der E-Mail-Anbieter oder aber auch Hacker im Internet weltweit sein. Dem entgegen wirkt die E-Mail-Verschlüsselung. Die Nachricht wird vom Absender mittels eines nur dem Empfänger bekannten Schlüssels verschlüsselt und ist somit während der Übertragung vor dem Mitlesen durch Dritte geschützt. Das bisherige Bundesdatenschutz-Gesetzt verpflichtete bisher jedoch nicht explizit zur Verschlüsselung, ebenso wenig das Berufsrecht der betroffenen Berufsgruppen.
Mit der DSGVO ändert sich diese Sachlage jedoch dahingehend, dass Artikel 32 eine Verschlüsselung der Daten bei entsprechendem Risiko für die betroffene Person vorschreibt. Informationen, die der Verschwiegenheitspflicht unterliegen, stellen in der Regel bei Bekanntwerden ein hohes Risiko für die betroffene Person dar und müssen daher verschlüsselt übermittelt werden. Auch sind unverschlüsselte E-Mails nicht mehr als Stand der Technik anzusehen. Spätestens jedoch, wenn die betroffene Person eine Verschlüsselung wünscht, ist dem nachzukommen.
Praktikable Lösungen für E-Mail-Encryption sind jedoch noch sehr rar. Besonders für kleinere Kanzleien oder Praxen ist die Absicherung der E-Mail-Kommunikation nur mit sehr hohem Aufwand lösbar. Dies führt zurzeit dazu, dass sich einige darauf zurückziehen, entweder von der betroffenen Person von der Verschlüsselung der Kommunikation entlassen zu werden oder andernfalls nur noch via Fax- oder Briefversand zu korrespondieren. Bei dem Problem handelt es sich allerdings keinesfalls um ein einseitiges. Genauso gibt es Klienten, die um unverschlüsselte Zustellung bitten, da Verschlüsselungstechnik auf beiden Seiten implementiert sein muss und auch hier der Aufwand bei dem einfachen E-Mail-Benutzer sehr hoch ist.
Die Datenschützer der Länder sind sich im Prinzip einig, dass der digitale Nachrichtenverkehr dieser Berufsgruppe verschlüsselt werden muss. So hält der Hamburger Datenschützer eine unverschlüsselte Form nur für „ungeeignet“ und „bedenklich“, sein Sächsisches Pendant formuliert dies deutlicher und hält die Verschlüsselung bei Geheimnisträgern für zwingend erforderlich.
Interessant ist auch, dass Versandapotheken davon betroffen sind, da diese mit Gesundheitsdaten operieren. Diese sind laut DSGVO besonders schützenswert und somit stellt sich die Frage nach einer Verschlüsselung gar nicht. Ebenso wenig kann auf die Kommunikation per Fax oder Brief zurückgegriffen werden, da im Versandgeschäft die Zeit eine entscheidende Rolle spielt – und kaum eine Privatperson hat zu Hause noch ein Faxgerät stehen. Schon eine unverschlüsselte Bestellbestätigung, die die bestellten Produkte auflistet, wäre ein Verstoß gegen die DSGVO.
Niko Härting kommt in seinem Blog-Eintrag zu einem ähnlichen Thema zwar zu einem anderen Schluss, dennoch sollte mit Blick auf das Inkrafttreten der DSGVO die Berufsgruppe der Geheimnisträger größtes Interesse daran haben, eine gesicherte und verschlüsselte E-Mail-Kommunikation umzusetzen. Übrigens, ein gern gemachter Fehler: Selbst bei verschlüsselten Nachrichten wird der Betreff zumeist unverschlüsselt übermittelt, daher sollte man hier keine personenbezogenen Daten anbringen!

Alles rund ums Thema Datenschutz, DSGVO und Hilfe bei der praktischen Umsetzung.
Ben Fehler
Digitalisierungsberater, Tekky und Hobby-Programmierer...