Die Kommunikation von Berufsgeheimnisträgern erfolgt heute zu einem großen Teil per E-Mail: Sie schreiben E-Mails und empfangen sie. Berufsgeheimnisträger sind etwa Rechtsanwälte, Steuerberater, Ärzte, Psychotherapeuten, Apotheker, Mitarbeiter staatlich anerkannter Beratungsstellen, Sozialarbeiter sowie Mitarbeiter privater Kranken-, Unfall- oder Lebensversicherungen.
Regelmäßig wird die E-Mail-Kommunikation personenbezogene Daten gemäß Art. 4 Nr. 1 Datenschutz-Grundverordnung (DS-GVO) enthalten. Damit spielen datenschutzrechtliche Anforderungen an die Datensicherheit eine Rolle, über die jedoch vielfach Unsicherheit besteht.
Art. 32 DS-GVO führt diesbezüglich aus, dass für die Datenverarbeitung Verantwortliche geeignete technische und organisatorische Maßnahmen zu ergreifen haben, um ein angemessenes Schutzniveau zu gewährleisten. Nach Art. 5 Abs. 1 lit. f DS-GVO müssen Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Hierzu gehören etwa der Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen. In der Konsequenz müssen Berufsgeheimnisträger daher E-Mail-Kommunikation, die personenbezogene Daten enthält, dem Stand der Technik entsprechend datensicher organisieren, um sich keines Verstoßes gegen die genannten Normen vorwerfen lassen zu müssen.
Grundsätzlich sollten E-Mails mit personenbezogenen Daten, sofern diese nicht pseudonymisiert werden, mindestens mit einer „Transportverschlüsselung“ versendet werden. Bei besonders sensiblen Daten sollte eine „Inhaltsverschlüsselung“ das Mittel der Wahl darstellen“.
Ein Unterschreiten der genannten Sicherheitsanforderungen ist datenschutzrechtlich hinnehmbar, sofern eine freiwillige und informierte Einwilligung der betroffenen Person in eine unverschlüsselte E-Mail-Kommunikation vorliegt. Dies bedeutet unter anderem, dass der Berufsgeheimnisträger eine Verschlüsselung der E-Mail-Kommunikation angeboten haben muss. Maßstab für die Anforderungen an eine derartige Einwilligung ist Art. 7 DS-GVO. Der Berufsgeheimnisträger hat hiernach nachzuweisen, dass die betroffene Person in Kenntnis aller Risiken durch entsprechende Aufklärung sein Einverständnis erteilt hat, unverschlüsselt zu kommunizieren. Zu Bedenken ist , dass eine solche Einwilligung der betroffenen Person, mit der ein direkter E-Mail-Kontakt besteht, allein nicht ausreichend ist, sofern auch personenbezogene Daten eines Dritten kommuniziert werden. Die datenschutzrechtlichen Anforderungen an die Datensicherheit müssen Berufsgeheimnisträger auch gegenüber Dritten erfüllen, also muss auch von diesen eine entsprechende Einwilligung vorliegen.
Von einer informierten Einwilligung ist nicht auszugehen, wenn die betroffene Person, etwa ein Mandant, die unverschlüsselte E-Mail-Kommunikation beginnt. Dies gilt auch für den Fall, dass auf der Homepage des Berufsgeheimnisträgers ein „pauschaler“ Hinweis über die Unsicherheit der unverschlüsselten E-Mail-Kommunikation gegeben wird; hierdurch ist nicht sichergestellt, dass der Kommunikationspartner in Kenntnis dieses Hinweises gehandelt hat. Die Einholung einer pauschalen Einwilligung im Rahmen des der Rechtsbeziehung zugrundeliegenden allgemeinen Vertragswerkes (z.B. Mandatsvereinbarung, Behandlungsvertrag) dürfte problematisch sein, wenn diese mit der entsprechenden Aufklärung zusammen nicht besonders hervorgehoben ist.
Für Rechtsanwälte ist wichtig: Auch die zum 1. Januar 2020 erfolgte Neufassung des § 2 der Bundesrechtsanwaltsordnung (BORA) hat an der dargestellten datenschutzrechtlichen Beurteilung nichts geändert. Bei § 2 Abs. 2 BORA handelt es sich um eine Norm des anwaltlichen Berufsrechts. Die in § 2 Abs. 2 BORA enthaltene berufsrechtliche Legitimation für eine unverschlüsselte E-Mail-Kommunikation vermag einen etwaigen Verstoß gegen das zwingende Datenschutzrecht der DS-GVO nicht zu rechtfertigen; die oben dargestellten Anforderungen an das Vorliegen einer informierten und freiwilligen Einwilligung gelten.
Quelle: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz