Hauptsitz
Baltrex Treuhand AG
Neubadrain 4
CH-4102 Binningen
Baltrex Treuhand AG
FMH Services Treuhand
Furkastrasse 87
CH-4054 Basel
E-Mails sind aus dem geschäftlichen Alltag nicht mehr wegzudenken. Aber den wenigsten Nutzern ist bewusst, wie einfach zugänglich unverschlüsselte Nachrichten für Dritte sind. Wer besonders schützenswerte Personendaten handhabt, muss Vorsicht walten lassen.
Da schickt ein Unternehmen eine Krankentaggeldabrechnung als E-Mail-Anhang an seinen Treuhänder. Umgekehrt hat der Treuhänder noch rasch eine Rückfrage zur Rechnung eines medizinischen Leistungserbringers, bevor er die Steuererklärung finalisieren kann. Das ist per E-Mail rasch erledigt, aus Datenschutzsicht aber problematisch.
In beiden Fällen werden «besonders schützenswerte Personendaten» übermittelt. In diese Kategorie fallen Daten, die besonders heikel sind:
- Gesundheitsdaten
- Angaben zu Religion
- Gesundheit
- strafrechtlicher Verfolgung
- Gewerkschaftszugehörigkeit
- sexueller Orientierung
- biometrische Daten
Wenn solche Daten per E-Mail an externe Empfänger verschickt werden, müssen sie speziell geschützt werden.
Es bestehen hier verschiedene Möglichkeiten:
- Man speichert das Dokument auf einem sicheren Portal schickt dem Empfänger den Link mit einem Passwort.
- Man verschlüsselt die entsprechende E-Mail.
Dokumente können zwar auch mit einem Passwort geschützt werden, beispielsweise eine PDF-Datei, aber dieser Schutz gilt als nicht besonders sicher.
Die E-Mail-Verschlüsselung minimiert das Risiko, dass Personendaten und andere sensitive Informationen an unbefugte Dritte gelangen.
Art der Daten prüfen
Unternehmen sind gut beraten, wenn sie prüfen, welche Daten sie per E-Mail versenden. Handelt es sich um besonders schützenswerte Daten, sollten sie sich mit dem Thema Verschlüsselung beschäftigen.
Denn wenn es zu einer Verletzung der Datensicherheit kommt und die Daten in falsche Hände geraten (z.B. durch einen Hackerangriff), können die Folgen für das Unternehmen beziehungsweise den Verantwortlichen und die Betroffenen sehr weitreichend sein.
Wenn das Risiko für die betroffenen Personen als «erheblich» einzustufen ist, muss der Vorfall zudem ohne Verzögerung dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten gemeldet werden.