E-Mail-Verschlüsselung

Da schickt ein Unternehmen eine Krankentaggeldabrechnung als E-Mail-Anhang an seinen Treuhänder. Umgekehrt hat der Treuhänder noch rasch eine Rückfrage zur Rechnung eines medizinischen Leistungserbringers, bevor er die Steuererklärung finalisieren kann. Das ist per E-Mail rasch erledigt, aus Datenschutzsicht aber problematisch. In beiden Fällen werden «besonders schützenswerte Personendaten» übermittelt. In diese Kategorie fallen Daten, die besonders heikel sind. Neben Gesundheitsdaten – wie bei den eingangs erwähnten Beispielen – sind dies auch Angaben zu Religion, Gesundheit, strafrechtlicher Verfolgung, Gewerkschaftszugehörigkeit, sexueller Orientierung oder biometrische Daten.

Wenn solche Daten per E-Mail an externe Empfänger verschickt werden, müssen sie speziell geschützt werden. Es gibt hier verschiedene Möglichkeiten: 

• Man kann das Dokument auf einem sicheren Portal speichern und dem Empfänger den Link mit einem Passwort schicken.
  Beispiel: Ein Arzt lädt Laborergebnisse auf ein verschlüsseltes Portal hoch und sendet dem Patienten einen Link per E-Mail. Der Patient muss sich mit einem separaten Passwort authentifizieren, um auf die Daten zuzugreifen.
   
• Man verschlüsselt die entsprechende E-Mail. Hier gibt es verschiedene Technologien:
  1. Ende-zu-Ende-Verschlüsselung: Z.B. mit PGP (Pretty Good Privacy) oder S/MIME (Secure/Multipurpose Internet Mail Extensions). Diese Methoden erfordern, dass sowohl Sender als auch Empfänger die entsprechende Software installiert haben. Genau hier setzen Lösungen wie beispielsweise das Schweizer Produkt SEPPMail an. Sie erlauben es, verschlüsselte Nachrichten auch an Empfänger zu versenden, welche ihrerseits keine Entschlüsselungstechnologie besitzen. Dadurch wird die Lösung universell einsetzbar.  Entsprechendes Produkt hier erhältlich: https://rnitunit.ch/leistungsuebersicht/e-mail-loesungen/e-mail-verschluesselung/
  2. TLS-Verschlüsselung: Diese schützt die E-Mail während der Übertragung, aber nicht auf den Servern der E-Mail-Anbieter.
   

Dokumente können zwar auch mit einem Passwort geschützt werden, beispielsweise eine PDF-Datei, aber dieser Schutz gilt als nicht besonders sicher. Die E-Mail-Verschlüsselung minimiert das Risiko, dass Personendaten und andere sensitive Informationen an unbefugte Dritte gelangen.

Unternehmen sind gut beraten, wenn sie prüfen, welche Daten sie per E-Mail versenden. Handelt es sich um besonders schützenswerte Daten, sollten sie sich mit dem Thema Verschlüsselung beschäftigen.

Praxisbeispiele:

• Gesundheitswesen: Eine Arztpraxis könnte ein verschlüsseltes E-Mail-System wie HIN (Health Info Net) verwenden, um Patientendaten sicher mit Spezialisten auszutauschen.
   
• Finanzsektor: Ein Treuhänder könnte eine sichere Datenraum-Lösung wie SecureSafe nutzen, um Steuerunterlagen mit Kunden auszutauschen.
   
• Personalabteilung: Für die Übermittlung von Lohnabrechnungen oder Arbeitsverträgen könnte ein Unternehmen eine Kombination aus verschlüsselten PDF-Dateien und passwortgeschützten Links verwenden.

Denn wenn es zu einer Verletzung der Datensicherheit kommt und die Daten in falsche Hände geraten (z.B. durch einen Hackerangriff), können die Folgen für das Unternehmen beziehungsweise den Verantwortlichen und die Betroffenen sehr weitreichend sein. Wenn das Risiko für die betroffenen Personen als «erheblich» einzustufen ist, muss der Vorfall zudem ohne Verzögerung dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten gemeldet werden.

Die Verschlüsselung von E-Mails mit besonders schützenswerten Personendaten ist nicht nur eine Empfehlung, sondern kann je nach Situation eine rechtliche Notwendigkeit sein. Unternehmen sollten klare Richtlinien für den Umgang mit sensiblen Daten etablieren und regelmässige Schulungen für Mitarbeiter durchführen, um das Bewusstsein für Datenschutz zu schärfen und rechtliche Risiken zu minimieren.
 

Möchten Sie keinen Blogartikel verpassen? Abonnieren Sie hier unseren Blog.