Die datenschutzkonforme Aufgabenerfüllung ist unerlässlich für ein zuverlässiges Verwaltungshandeln. In den letzten Jahren sind die Anforderungen aufgrund der zunehmenden Digitalisierung an den Datenschutz- und die IT-Sicherheit gestiegen.

Die voranschreitenden Prozesse im Rahmen des E-Governments lagen auch im  Fokus der Diskussion des 3. Kongresses des IT-Planungsrates am 12 und 13 Mai 2015 in Mainz (http://www.it-planungsrat.de/DE/Home/home.html?nn=1299634).

Öffentliche Stellen müssen sich insbesondere, im Wege der allmählichen Umstellung, den Herausforderungen des E-Government-Systems stellen. Gemäß § 9 SächsDSG sind diese in Sachsen verpflichtet, angemessene personelle, technische und organisatorische Maßnahmen zur Datensicherheit zu treffen. Nach dem jeweiligen Stand der Technik ist die Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Revisionsfähigkeit und die Transparenz im Umgang mit personenbezogenen Daten zu gewährleisten. Im Rahmen der alltäglichen Kommunikation per E-Mail, bei Datensynchronisierungen auf mobilen Endgeräten oder bei der Bereitstellung der Internetseite (https) werden gewisse Anforderungen an die Datensicherheit gestellt. Das Gesetz zur Förderung der elektronischen Verwaltung im Freistaat Sachen (SächsEGovG) verlangt in § 2 Abs.1 grundsätzlich, dass Verschlüsselungsverfahren ermöglicht werden müssen. Diese Forderung nach einer sicheren Übertragung von Daten per E-Mail mittels kryptografischen Verfahren, war auch ein Thema auf der diesjährigen 89. Datenschutzkonferenz im März 2015. Das Bedürfnis nach einer Verschlüsselung von Informationen, die über das weltweit zugängliche Netzwerk übertragen werden, ist angemessen, wenn man bedenkt, dass eine unverschlüsselte E-Mail grundsätzlich mit einer Postkarte vergleichbar ist.

Die Auswahl von technischen und organisatorischen Vorkehrungen einer Verschlüsselung oder einer Signatur zur Zertifizierung sind umfassend. Es werden sowohl implementierungsfähige Verschlüsselungszertifikate oder eigenständige E-Mail-Systeme z.B. die sog. DE-E-Mail nach dem Standard des Bundesamtes für Sicherheit in der Informationstechnik (BSI) angeboten.

Wenngleich die flächendeckende Umsetzung einer End-to-End-Verschlüsselung noch etwas Zeit in Anspruch nehmen wird, muss sich mit der Frage auseinandergesetzt werden, welchen Schutzbedarf bestimmte Datenarten haben. Es liegt nahe, dass besonders sensible Daten wie z.B. Bankdaten und/oder Gesundheitsdaten einen erhöhten Schutzgehalt aufweisen und im Vorfeld geklärt werden muss, ob und wie sie verschickt werden dürfen. Unabhängig vom Schutzgrad ist in dem Fall, dass keine Verschlüsselung stattfinden soll, grundsätzlich im Vorfeld eine konkrete Einwilligung beim Betroffenen einzuholen.

Neben den technischen Voraussetzungen für eine sichere Datenübertragung ist bei der täglichen  E-Mail-Kommunikation vor allem die Mitarbeitersensibilisierung entscheidend. Beispielhaft sind den Mitarbeitern Hilfestellungen zu geben z.B. wie mit E-Mail-Anhängen oder vertraulichen Inhalten zu verfahren ist oder Richtlinien zur Nutzung von E-Mails aufzustellen. So können straf- und bußgeldbewährte Risiken durch eine E-Mail-Fehlbenutzung minimiert werden z.B. wie bei der versehentlichen Versendung von personenbezogenen Daten aufgrund eines E-Mail-Verteilers.

Zur Nachvollziehbarkeit der eingesetzten Datensicherungsverfahren und der erfolgten Schulungsmaßnahmen trägt ein Datenschutz- und Informationssicherheitskonzept bei (vgl. § 5 Abs.1 SächsEGovG). Ein weiterer datenschutzrechtlicher Aspekt in der E-Mail-Kommunikation ist in den Anforderungen an eine ordnungsgemäße Archivierung (gesetzliche Aufbewahrungsfristen) zu sehen. Da eine E-Mail grundsätzlich in der Form vorgehalten werden muss, in der sie gesendet wurde, reicht z.B. ein bloßer Ausdruck nicht aus. Damit die E-Mail-Archivierung rechts- und revisionssicher ist, werden daher besondere Anforderungen an die Auswahl des Archivierungsprogramms bzw. -dienstleisters gestellt. Praktische Abgrenzungsschwierigkeiten ergeben sich aus dem Umstand einer automatischen Spam-E-Mail-Filterung oder bezüglich des Archivierungsserver-Standortes.

Neben den originären datenschutzrechtlichen Normen können zahlreiche spezialgesetzliche Bestimmungen bei der elektronischen Kommunikation einschlägig sein z.B. Informationsweiterverwendungsgesetz (IWG) und dem Telekommunikationsgesetz (TKG).

Inwieweit der digitale Fortschritt z.B. im Rahmen der E-Gouvernement- Plattform voran schreitet  und praktische Lösungsansätze mit sich bringt, bleit abzuwarten.

Gerne stehen wir Ihnen für nähere Informationen oder  bei Fragen zur Verfügung.