E-Mails sind aus dem geschäftlichen Alltag nicht mehr wegzudenken. Aber den wenigsten Nutzern ist bewusst, wie einfach zugänglich unverschlüsselte Nachrichten für Dritte sind. Wer besonders schützenswerte Personendaten handhabt, muss Vorsicht walten lassen.

Da schickt ein Unternehmen eine Krankentaggeldabrechnung als E-Mail-Anhang an seinen Treuhänder. Umgekehrt hat der Treuhänder noch rasch eine Rückfrage zur Rechnung eines medizinischen Leistungserbringers, bevor er die Steuererklärung finalisieren kann. Das ist per E-Mail rasch erledigt, aus Datenschutzsicht aber problematisch. In beiden Fällen werden «besonders schützenswerte Personendaten» übermittelt. In diese Kategorie fallen Daten, die besonders heikel sind. Neben Gesundheitsdaten – wie bei den eingangs erwähnten Beispielen – sind dies auch Angaben zu Religion, Gesundheit, strafrechtlicher Verfolgung, Gewerkschaftszugehörigkeit, sexueller Orientierung oder biometrische Daten. Wenn solche Daten per E-Mail an externe Empfänger verschickt werden, müssen sie speziell geschützt werden. Es bestehen hier verschiedene Möglichkeiten: Man kann das Dokument auf einem sicheren Portal speichern und dem Empfänger den Link mit einem Passwort schicken oder man verschlüsselt die entsprechende E-Mail. Dokumente können zwar auch mit einem Passwort geschützt werden, beispielsweise eine PDF-Datei, aber dieser Schutz gilt als nicht besonders sicher. Die E-Mail-Verschlüsselung minimiert das Risiko, dass Personendaten und andere sensitive Informationen an unbefugte Dritte gelangen.

Art der Daten prüfen
Unternehmen sind gut beraten, wenn sie prüfen, welche Daten sie per E-Mail versenden. Handelt es sich um besonders schützenswerte Daten, sollten sie sich mit dem Thema Verschlüsselung beschäftigen. Denn wenn es zu einer Verletzung der Datensicherheit kommt und die Daten in falsche Hände geraten (z. B. durch einen Hackerangriff), können die Folgen für das Unternehmen beziehungsweise den Verantwortlichen und die Betroffenen sehr weitreichend sein. Wenn das Risiko für die betroffenen Personen als «erheblich» einzustufen ist, muss der Vorfall zudem ohne Verzögerung dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten gemeldet werden.