Versenden von Per­so­n­en­dat­en per E‑Mail

E‑Mails gehören heute zum All­t­ag. Viele enthal­ten Per­so­n­en­dat­en, oft auch beson­ders schützenswerte. In der Regel wer­den E‑Mails unver­schlüs­selt über­mit­telt. Unver­schlüs­selte Versenden ein­er E- Mail ist jedoch weniger sich­er ist, als das Ver­schick­en ein­er Postkarte, weil:

• E‑Mails mit geringem tech­nis­chem Wis­sen abge­fan­gen, mit­ge­le­sen oder verän­dert wer­den kann;
• E‑Mails ein­fach nach Schlüs­sel­be­grif­f­en durch­sucht wer­den können;
• Inter­net-Provider mit Sitz in der Schweiz verpflichtet sind, E‑Mails während sechs Monat­en aufzube­wahren und bei Bedarf den Behör­den bekan­nt zu geben.

Bes­tim­mungen des Daten­schutzge­set­zes (nDSG).

Wichtig ist, ob es sich um “gewöhn­liche” Per­so­n­en­dat­en, beson­ders schützenswerte Per­so­n­en­dat­en oder Per­sön­lichkeit­spro­file han­delt. Der Versender ist für die daten­schutzkon­forme Bear­beitung der Per­so­n­en­dat­en und die Ein­hal­tung der Daten­schutzbes­tim­mungen ver­ant­wortlich und beweispflichtig. Er ist verpflichtet, alle Mass­nah­men zur Sicherung der Dat­en vor Ver­lust, Entwen­dung und unbefugter Ken­nt­nis­nahme oder Bear­beitung zu tre­f­fen. Beim Ver­sand von Per­so­n­en­dat­en in sen­si­blen Bere­ichen wie dem Gesund­heitswe­sen han­delt es sich in jedem Fall um beson­ders schützenswerte Per­so­n­en­dat­en, da  alleine  die  Tat­sache, dass jemand  Klient(in)/Patient(in) bei der betr­e­f­fend­en Stelle ist, beson­ders schützenswert ist.

Es gel­ten fol­gende Grund­sätze für die Nutzung von E‑Mail

• Ver­wsenden Sie so wenig Per­so­n­en­dat­en wie möglich. (Datensparsamkeit).
• Der Daten­bear­beit­er ist für den gesetz‑, zweck- und ver­hält­nis­mäs­si­gen Umgang (z.B. Zugriffs­berech­ti­gung, Aktu­al­isierung oder Löschung) verantwortlich.

Da Fehlleitun­gen von E‑Mails ein erhe­blich­es Risiko darstellen müssen Adressen sorgfältig gewählt wer­den. Automa­tis­men bzw. „Kom­fort­funk­tio­nen“ sind möglichst zu vermeiden.

• Auf pri­vat­en Geräten, sollen keine beson­ders schützenswerten Per­so­n­en­dat­en oder ‑pro­file bear­beit­et oder gespe­ichert werden.
• Nicht alles, was tech­nisch möglich ist, ist auch erlaubt.
• E‑Mails soll­ten keine Angaben über Pass­wörter, Kon­to, Kred­itkarten oder andere Zugangs­dat­en wie zB. Benutzeri­den­ti­fika­tio­nen enthalten.
• Es sollen keine grossen Daten­men­gen gestreut werden.
• Nur bekan­nte Verteil­er auswählen und verwenden.

Mails betrof­fene Per­so­n­en sind in der Regel zuläs­sig. Erhal­ten Sie eine E‑Mail von ein­er Per­son, dür­fen Sie von deren  stillschweigen­der Ein­willi­gung und eben­falls per E‑Mail antworten. Eine Aus­nahme bilden Antworten, die beson­ders schützenswerte Per­so­n­en­dat­en bein­hal­ten. Hier emp­fiehlt sich eine Ver­schlüs­selung o.ä.

Alter­na­tiv­en zu unver­schlüs­sel­ten E‑Mails

• Ablage auf Datenserv­er zB. Bro­ker­Web oder Brief­But­ler (durch einen Link in der Nachricht).
• Ver­schlüs­selung auf Dokumentenebene
• Nutzung eines ver­schlüs­sel­ten Mail­dien­stes zB. Seppmail

Beacht­en Sie, dass die Nutzung von Social Media und Instant Mes­sag­ing zB. What­sapp oder SMS für die Über­mit­tlung von Per­so­n­en­dat­en ver­mieden wer­den muss. Ins­beson­dere für sehr sen­si­ble Dat­en ist der Post­weg zu empfehlen.