Sind Sie Berufsgeheimnisträger, z.B. Rechtsanwalt, Steuerberater, Arzt oder Apotheker? Dann gilt für Sie eine besondere Sorgfaltspflicht im Umgang mit personenbezogenen und sensiblen Daten. Weiterhin gelten als klassische Kommunikationsformen der Brief und das Fax. Das Fax ist nach neuester Ansicht von Datenschutzbehörden allerdings kein DSGVO-konformes Mittel mehr.
Ohne E-Mail geht es nicht
Im regulären Geschäftsbetrieb mit fortschreitender Digitalisierung ist die E-Mail dagegen nicht mehr aus dem Kommunikationsalltag wegzudenken. Die digitale Kommunikation birgt im Gegensatz zum traditionellen Schriftverkehr allerdings Risiken. So ist beispielsweise eine unverschlüsselte E-Mail mit dem Versand einer Postkarte vergleichbar. Auch müssen gesetzliche Vorgaben beachtet werden, um Datendiebstahl und damit einhergehenden reputativen und finanziellen Schaden zu vermeiden. Bei Verstoß können nach DSGVO empfindliche monetäre Strafen drohen. Bei Verletzung von Privatgeheimnissen nach §203 Strafgesetzbuch (StGB) sogar eine Freiheitstrafe bis zu einem Jahr.
Was regelt die DSGVO?
Mit Inkrafttreten der DSGVO wurde das Datenschutzrecht innerhalb der EU vereinheitlicht und die Vorgaben des bisher gültigen Bundesdatenschutzgesetzes zum Teil verschärft bzw. erweitert. Die DSGVO hat u.a. das Ziel, die Datenhoheit der Bürger zu schützen. Sie regelt alle Aspekte der personenbezogenen Datenverarbeitung. §32 DSGVO (Sicherheit der Verarbeitung) behandelt die digitale Kommunikation:
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Details regelt die Verordnung nicht. Jedoch ist das zu gewährleistende angemessene Schutzniveau für Berufsgeheimnisträger als besonders hoch einzustufen und erhöhte Schutzmaßnahmen erforderlich.
Sensible Daten per E-Mail versenden? Kein No-Go trotz DSGVO
Also doch lieber wieder via Postweg kommunizieren? Nicht nötig. Die Verschlüsselung von E-Mails ist ein probates Mittel, um rechtskonform digital zu kommunizieren, so die landläufige juristische Meinung (z.B. auch des Bayerischen Landesamts für Datenschutzaufsicht, siehe FAQs „Verschlüsselung“). Wichtig ist dabei, dass Sie nicht nur eine Transport-, sondern eine Inhaltsverschlüsselung (Ende-zu-Ende-Verschlüsselung) zu verwenden. So stellen Sie ein angemessenes Schutzniveau sicher. Eine einfache und sichere Methode ist die Inhaltsverschlüsselung mittels PDF und separat versandtem Passwort. So beispielsweise bei der Add-in-Lösung für Outlook von WeEncrypt Mail.
Fazit
Ein Verzicht auf ausreichenden Datenschutz kann weitreichende Folgen haben. Schützen Sie Ihre Daten sicher und einfach!
P.S.: Der Anfang 2020 in Kraft getretene §2 BORA erklärt den unverschlüsselten Austausch von E-Mails nach Zustimmung des Mandanten zwar als zulässig im Sinne des Berufsrechts. Dennoch kann ein Verstoß gegen das Datenschutzrecht vorliegen.