Mittwoch, 22. Juni 2016

2: Pressemitteilungen

Eigentlich eine Selbstverständlichkeit, aber gar nicht so einfach: E-Mails an den Richtigen versenden!

Wichtige Schreiben per E-Mail zu versenden, ist praktisch: Es geht schnell, und die Empfänger können die Daten im digitalen Format gleich weiterverarbeiten. Aber ist es auch sicher?

Werden E-Mails über das Internet versandt, sind sie nicht gegen ein Mitlesen geschützt. Um die Vertraulichkeit der Nachrichten zu gewährleisten, muss man sie verschlüsseln. Zumindest für Berufsgruppen, die besonderen Verschwiegenheitsverpflichtungen unterliegen, sollte dies selbstverständlich sein. Achtung: Der Betreff der E-Mail und die Informationen über Sender und Empfänger sind trotzdem sichtbar.

Marit Hansen, die Leiterin des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD), nennt Beispiele: „Die Schweigepflicht verbietet es, zum persönlichen Lebensbereich gehörende Geheimnisse anderer Personen zu offenbaren. Dies gilt beispielsweise für Ärztinnen und Ärzte, für Beraterinnen und Berater im psychologischen oder sozialen Bereich, für Anwältinnen und Anwälte und allgemein für Amtsträger im öffentlichen Dienst. Sie dürfen keine fremden Geheimnisse offenbaren, die ihnen in ihrer beruflichen Eigenschaft anvertraut oder sonst bekannt werden. Daher bitte keine E-Mails mit einem Betreff wie ‚Ermittlungsverfahren gegen Mia Mustersen‘ oder ‚Psychiatrisches Gutachten über Max Mustersdotter‘ versenden!“

Für E-Mails, die nicht über das Internet, sondern innerhalb von abgeschotteten Netzen versandt werden, ist ebenfalls zu prüfen, inwieweit als zusätzliche Sicherheitsmaßnahme verschlüsselt werden muss, um vor unberechtigter Kenntnisnahme zu schützen. Weiterhin muss gewährleistet sein, dass die Nachrichten bei der Zustellung den abgeschotteten Bereich nicht verlassen können. Wenn das Risiko zu hoch ist, dürfen die E-Mails nicht ungesichert verschickt werden.

Ein Problem, das in der Vergangenheit häufiger an das ULD herangetragen wurde, ist der Umstand, dass ein Sender einen falschen Empfänger eingegeben hat. Die meisten E-Mail-Programme unterstützen den Sender dabei, den Namen des Empfängers auszuwählen, indem sie die Eingabe der Anfangsbuchstaben des Namens automatisch vervollständigen oder eine Liste von infrage kommenden Empfängern anbieten. Hier hat schon mancher Sender zu schnell geklickt und die Nachricht an die falschen Empfänger geschickt. Besonders schwierig sind die Fälle von Namensgleichheit, wenn sich verschiedene Personen mit demselben Vor- und Nachnamen im Adressbuch finden. Hier ist besondere Aufmerksamkeit vonnöten: Am besten blendet man zusätzlich zum Anzeigenamen stets die zugehörige E-Mail-Adresse ein, um auf einen Blick den korrekten Empfänger auswählen zu können, und prüft vor dem Absenden, ob man alles richtig gemacht hat.

Weiterhin können die Doppelgänger im Adressbuch etwa durch Angabe der Organisation ergänzt werden, um die Einträge auf einen Blick unterscheiden zu können. Jeder, der ein Adressbuch pflegt, sollte solche gleichen oder ähnlichen Mehrfacheinträge im Blick haben. Oft lassen sich die Adressbücher nach Kategorien aufteilen, beispielsweise um die Adressen im abgeschotteten internen Netz nicht mit solchen Adressen zu verwechseln, bei denen eine Zusendung über das Internet erfolgt.

Marit Hansen dazu: „Wer mit sensiblen Daten hantiert, muss besondere Sorgfalt walten lassen. Ein Flugzeug darf auch erst starten, wenn sich die Piloten davon überzeugt haben, dass alles richtig konfiguriert ist. Die Beschäftigten müssen daher geschult werden, wie sie erkennen können, dass alles korrekt ist, und wo mögliche Fehlerquellen lauern. In diesem Zusammenhang sollte auch die Nutzerführung der E-Mail-Software oder die Adressbuch-Funktionalität überprüft werden: Wenn leicht Fehler bei der Empfängerauswahl geschehen können, müssen Systemadministration oder Dienstleister beauftragt werden, um die Konfiguration zu ändern. Lieber die E-Mail-Adresse vollständig neu eintippen, als schützenswerte Daten an falsche Adressaten zu senden.“

Und wenn es passiert ist?

Gerät eine E-Mail, die man nur für den berechtigten Empfänger verschlüsselt hat, an die falsche Adresse, ist es halb so schlimm: Immerhin kann der Fehladressat den Inhalt nicht entschlüsseln, sondern lediglich Betrefftext und die Kommunikationsabsicht feststellen. Aber auch dies kann schon eine Verletzung der Schweigepflicht bedeuten, wenn sich daraus Rückschlüsse über die betroffene Person ergeben.

Gelangen sensible Daten über eine Person in falsche Hände und drohen schwerwiegende Beeinträchtigungen für deren Rechte oder schutzwürdige Interessen, ist dies ein meldepflichtiger Verstoß gegen das Datenschutzrecht: Sowohl Firmen als auch öffentliche Stellen müssen dies unverzüglich der Aufsichtsbehörde (in Schleswig-Holstein: dem ULD) und üblicherweise auch dem Betroffenen mitteilen (§ 42a Bundesdatenschutzgesetz bzw. § 27a Landesdatenschutzgesetz Schleswig-Holstein).

Außerdem muss der Sender Maßnahmen treffen, um einen Missbrauch der Daten zu verhindern, z. B. durch Kontaktaufnahme mit dem falschen Empfänger. Klar ist: Ein simpler Verweis im Abspann, nur berechtigte Adressaten sollten die E-Mail lesen und verwenden, reicht dafür nicht aus. Jede verantwortliche Stelle sollte daher organisatorische Prozesse für den Fall einer Fehladressierung und generell zum Umsetzen der Informationspflicht bei Datenpannen definieren.

 

Bei Nachfragen wenden Sie sich bitte an:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Holstenstr. 98, 24103 Kiel

Tel: 0431 988-1200, Fax: -1223

E-Mail: mail@datenschutzzentrum.de