News

Sichere Kommunikation von sensiblen Daten via E-Mail und Fax - Was der Hamburger Datenschutzbeauftragte fordert?

09/05/2019

Zitat 1 (Aktueller Tätigkeitsbericht des Hamburger Datenschutzbeauftragten S. 120 f):
„Angesichts der Sicherheitsanforderungen an die Verarbeitung von Gesundheitsdaten gilt sowohl bei der elektronischen Speicherung als auch bei der elektronischen Übermittlung von Gesundheitsdaten grundsätzlich eine Verschlüsselungspflicht.“

Die Forderung im Tätigkeitsbericht bezieht sich zwar ausschließlich auf Gesundheitsdaten, allerdings sind sämtliche besonderen Arten von Daten gemäß Art. 9 DSGVO ebenso sensibel wie Gesundheitsdaten. Daher müssen wir davon ausgehen, dass alle besonderen Daten aus Sicht der Behörden ebenso zu schützen sind.

Die Folge ist, dass alle Unternehmen, die besondere Arten von Daten verarbeiten, diese verschlüsselt speichern müssen. In Deutschland wurde bereits ein Unternehmen mit Bußgeld belegt, dass als Online-Unternehmen (entgegen dem Stand der Technik) die Nutzer-Passwörter unverschlüsselt gespeichert hatte.

Eine weitere Forderung des Hamburger Datenschutzbeauftragten ist, dass nur nicht-sensible Daten mit einer lediglich transportverschlüsselten E-Mail-Kommunikation übertragen werden dürfen. Bei allen sensiblen Daten ist eine End-to-End- Verschlüsselung Stand der Technik verpflichtend.

Praxis-Tipp:

  • Sprechen Sie mit Ihrem IT Service, wie Sie Ihre besonderen Daten gemäß Art. 9 DSGVO verschlüsselt speichern können.
  • Richten Sie mit allen Kommunikationspartnern, mit denen Sie besondere Daten gemäß Art. 9 DSGVO austauschen, End-to-End verschlüsselte E-Mail-Verbindungen oder andere sichere elektronische Kommunikationen ein.
  • Sofern Ihre Kommunikationspartner zu einer verschlüsselten Kommunikation nicht bereit sind, empfehle ich Ihnen auf herkömmliche Weise per Brief bzw. Einschreibebrief Daten zu übermitteln.

Auch die Übermittlung per Fax sieht der Hamburger Datenschutzbeauftragte bei sensiblen Daten problematisch.

Zitat 2 (Aktueller Tätigkeitsbericht des Hamburger Datenschutzbeauftragten Seite 120 f):
„Da im Regelfall bereits eine Umstellung des Telefonnetzes auf eine IP-basierte Datenübermittlung (All-IP) stattgefunden hat, bestehen gegenüber einer Faxübermittlung die gleichen Sicherheitsbedenken wie bei dem Versand von Gesundheitsdaten mittels einfacher E-Mail. Ist ein Faxversand ausnahmsweise zulässig, muss in organisatorischer Hinsicht sichergestellt werden, dass im Rahmen der Abgangskontrolle Adressat und Faxnummer (insbesondere die Aktualität gespeicherter Nummern) kontrolliert werden und die Übersendung beim Adressaten telefonisch angekündigt wird, so dass auch dort nur Berechtigte von den Daten Kenntnis nehmen können. Eine telefonische Ankündigung ist dann nicht erforderlich, wenn sich der Absender beim Empfänger vergewissert hat, dass aufgrund des Standorts des Empfängerfaxgeräts kein Unbefugter Kenntnis von dem Fax nehmen kann.“

Praxis-Tipp:

  • Wer besondere Arten von Daten gemäß Art. 9 DSGVO per Fax versenden möchte, sollte sich an die Regeln des Bundesamtes für Sicherheit in der Informationstechnik halten. Das Bundesamt hat einen neuen Sicherheitsbaustein für den Umgang mit Faxgeräten erstellt. Diesen finden Sie unter folgendem Link: www.bsi.bund.de

Überprüfen Sie mit Ihrem IT Service, ob Sie die Vorgaben für erhöhten Sicherheitsbedarf einhalten oder fragen Sie Ihren Datenschutzbeauftragten.
(Quelle: Golze Datenschutz News vom 9. Mai 2019)


Alle Artikel anzeigen