E-Mail: Sehr bequem und absolut unsicher

Informationssicherheit

von Thomas Althammer

Das Medium E-Mail ist per Gesetz ohne weiteres nicht für den Versand von personenbezogenen Daten zugelassen.

Aus dem beruflichen und privaten Alltag sind E-Mails nicht mehr wegzudenken. Wie einfach und praktisch können Informationen und Nachrichten heute ohne Postbote, Faxgerät oder Anruf transportiert werden. Doch auch mit Virenscanner gegen Spam und Phishing ist das Medium E-Mail hochgradig unsicher.

Wie eine gut lesbare Postkarte: 37 Millionen E-Mails in 2011 überwacht

Auf dem Weg vom Sender zum Empfänger wird die Mail über eine Vielzahl von Servern geleitet und folgt den besten im Netzwerk verfügbaren Routen. Dabei kann unterwegs in eine E-Mail hineingesehen und der Inhalt vollständig gelesen, zwischengespeichert und ausgewertet werden. Das kann natürlich nicht jeder, sondern nur jemand mit Zugriff auf entsprechende Server oder Gateways. Dennoch ist eine E-Mail per se ein offenes Gut und kein unterwegs Mitlesender ist an das Briefgeheimnis gebunden.

Laut parlamentarischen Kontrollgremium der Bundesregierung wurden allein in 2011 mehr als 37 Millionen E-Mails überwacht. Dabei wurde nach speziellen Schlüsselwortkombinationen gesucht, die auf terroristische Motive hindeuten. Das mag für Einrichtungen in Gesundheitswesen und Pflege irrelevant sein. Es zeigt aber doch, wie einfach das Medium E-Mail kontrolliert werden kann.

Viele Einrichtungen geraten mit dem BDSG §9 Satz 1 in Konflikt

Bei vielen E-Mails mögen keine geheimen Informationen enthalten sein. Doch in Alten- und Pflegeheimen, Krankenhäusern, Arztpraxen oder anderen sozialen Einrichtungen werden fast immer personenbezogene Daten verarbeitet. Wie einfach ist es da, die benötigten Informationen per E-Mail zu verschicken, sei es an einen externen Dienstleister, an eine kooperierende Einrichtung oder an Angehörige eines Kunden.

In der Anlage zu §9 Satz 1 BDSG ist die Weitergabekontrolle geregelt. Demnach dürfen E-Mails mit sensiblen Inhalten nur verschlüsselt verschickt werden. Doch wer setzt heute die verfügbaren Mittel zur E-Mail-Verschlüsselung oder zumindest eine elektronische Signatur in E-Mails ein?

Entweder Einwilligung oder gar kein Versand

Zu dieser Problematik gibt es zwei Lösungsansätze:

  • Die betreffenden Personen geben ihre Einwilligung, dass auch personenbezogene Daten unverschlüsselt per E-Mail verschickt werden dürfen. Dieses Verfahren ist z. B. im Anwaltsbereich durchaus üblich - entweder vorab per schriftlicher Zustimmung oder zumindest mittels einer elektronischen Einwilligung, also per E-Mail. Dies dürfte je nach Alter, Betreuung und Situation gerade im Gesundheits- und Sozialwesen durchaus schwierig werden.
  • Alternativ muss auf den Versand von E-Mails mit personenbezogenen Daten gänzlich verzichtet werden. Hier sind ihre Mitarbeiterinnen und Mitarbeiter gefragt, die entsprechend im Umgang mit dem Medium E-Mail geschult sein sollten.

Der Einsatz von Verschlüsselungsfunktionen kann aus technischer Sicht zwar grundsätzlich empfohlen werden (z. B. mittels Pretty Good Privacy). Es ist aber nicht garantiert, dass der Empfänger der E-Mail die Nachricht auch entschlüsseln kann. Viel verbreitete Webmailer tun sich damit ganz besonders schwer.

Wünschen Sie zu diesem Thema weitere Informationen oder eine konkrete Beratung? Sprechen Sie uns gern an, um für Ihr Unternehmen E-Mail-Richtlinien, Mitarbeiterinformationen oder Kommunikationsstrategien zu entwickeln. Für Schulungen und den rechtskonformen Umgang mit elektronischen Medien stehen wir Ihnen gern zur Verfügung.

Quellen:

http://www.gesetze-im-internet.de/bdsg_1990/anlage_79.html

http://www.bild.de/politik/inland/onlineueberwachung/geheimdienste-ueberwachen-emails-22824710.bild.html

Zurück