Von unserem Chefreporter Markus Kratzer
Zu Recht, wie ein aktueller Fall aus Bayern zeigt, der bundesweit für Schlagzeilen gesorgt hat. Dort hat das Landesamt für Datenschutzaufsicht ein Bußgeld gegen die Mitarbeiterin eines Unternehmens verhängt, weil diese private E-Mail-Adressen über einen offenen Mailverteiler verbreitet hatte. Die Frau hatte die Nachricht an eine große Zahl von Kunden verschickt, wobei jeder einzelne Empfänger die Adressen aller einsehen konnte, die diese Mail erhalten haben. Dieses Übermitteln personenbezogener Daten ist datenschutzrechtlich unzulässig, begründete die Aufsichtsbehörde für den Datenschutz das verhängte Bußgeld gegen die Angestellte.
Bei der Kreisverwaltung in Altenkirchen gibt es eine Dienstanweisung für das Versenden und den Empfang von E-Mails, die jeder Mitarbeiter bei Diensteintritt zur Kenntnis nehmen muss. Diese Anweisung sieht unter anderem vor, E-Mails mit besonders schutzwürdigen personenbezogenen Daten zu verschlüsseln. Wie Johannes Ortheil vom Landratsbüro weiter mitteilt, werden Verwaltungsakte und sonstige Bescheide nicht auf dem E-Mail-Weg zugestellt.Auch bei der Kreisverwaltung in Montabaur will man die aktuelle Entwicklung in Bayern noch einmal zum Anlass nehmen, um die Mitarbeiter der Behörde zu sensibilisieren. "Wir werden das Personal gezielt auf den Fall hinweisen und entsprechend schulen", erläutert Pressesprecher Karl Kahn.
Beim Internetdienstleister 1&1 in Montabaur gelten interne Datenschutzrichtlinien verbindlich für alle Mitarbeiter. Nach Auskunft von Pressereferent Oliver Pitzschel ist darin definiert, welche Informationen als öffentlich, intern, vertraulich oder geheim klassifiziert werden und wie beziehungsweise ob sie, gegebenenfalls verschlüsselt, per E-Mail weitergegeben werden können. E-Mails an externe Empfänger dürfen demnach nur verschlüsselt übertragen werden, durch regelmäßige Schulungen sollen alle Mitarbeiter in dieser Frage immer auf dem aktuellen Stand bleiben.
Auch bei der Firma Huf Haus gibt es eine E-Mail-Richtlinie, die jeder Mitarbeiter unterschreiben muss. "Wir haben sehr früh darauf gesetzt, Datensicherheit und Datenschutz als permanenten Prozess zu betrachten, an dem stetig gearbeitet werden muss", beschreibt Andreas Hilf den Kurs des Hartenfelser Unternehmens. Sensible Schreiben an die Kunden werden per Briefpost versendet, Massenmails dürfen "ausschließlich von einem bestimmten Personenkreis versendet werden". Auszubildende und neue Mitarbeiter werden demnach in speziellen Schulungen auf die Richtlinien der Firma im Bereich E-Mail und soziale Netzwerke hingewiesen.
Bei der Firma Treif Maschinenbau werden sensible Daten nicht per E-Mail verschickt. Wie Wolfgang Kabierschke, Senior IT Engineer des Unternehmens aus Oberlahr, auf Anfrage mitteilt, werden dort auch keine E-Mails an mehrere Kunden gleichzeitig versendet. Dass sich der Fall in Bayern vor Ort wiederholen könnte, hält er deshalb für unwahrscheinlich.
Dass in anderen Firmen in der Region weniger sensibel mit dem Thema umgegangen wird, lässt sich zumindest vermuten. Denn eine Reihe von Anfragen unserer Zeitung lief ins Leere. Entweder wollte man die eigene Praxis beim Versenden von Mails nicht öffentlich kommentieren oder man reagierte überhaupt nicht auf unsere Recherche. Im Büro des Landesbeauftragten für den Datenschutz und die Informationsfreiheit in Mainz sieht man deshalb auch keinen Grund zur Entwarnung. "Es stellt ein ernst zu nehmendes Problem dar, dass Unternehmen, aber auch Verwaltungen unbedarft vertrauliche Daten per Mail verschicken. Es gibt keine gesicherten Zahlen, aber die Fälle, die an uns herangetragen werden oder die uns auf andere Weise bekannt werden, sind mit Sicherheit nur die Spitze des Eisbergs", bilanziert Klaus Globig, Stellvertreter im Bereich Datenschutz. Ähnlich gelagerte Fälle wie in Bayern hat es nach seiner Einschätzung in den vergangenen zehn Jahren in Rheinland-Pfalz zwei gegeben, bei denen aber kein Bußgeld verhängt wurde. Es blieb jeweils bei einer Pflichtenmahnung. Globig rät, dass "jeder E-Mail-Versender sich bewusst sein muss, dass er in eine Mail nur das schreiben sollte, was er auch auf eine Postkarte schreiben würde - wenn er keine Verschlüsselungssoftware einsetzt". Der Experte weist darauf hin, dass die Inhalte für jeden Netzknotenbetreiber und für jeden Dienstleister auf dem Weg der Mail les- und auswertbar sind.
Weitere Infos bietet der Landesdatenschutzbeauftragte in der Rubrik "Selbstdatenschutz" an: www.datenschutz.rlp.de/de/selbstds.php
- Informatikexperte rät: Mitarbeiter im Datenschutz schulen: Hätte die Mitarbeiterin der bayerischen Firma die Mailadressen ins BCC-Feld (Blindkopie) eingefügt, wäre ihr das Bußgeld erspart geblieben. Darauf weist die Bonner Dienstleistungsgesellschaft für Informatik (DLGI) hin. Im Gespräch mit unserer Zeitung erläutert DLGI-Justiziar Nikolaus Ehlenz, dass die Verwendung eines offenen E-Mail-Verteilers (Adressen im „An-Feld“ oder im „CC-Feld“) immer dann datenschutzrechtlich unzulässig sind, wenn die Inhaber der E-Mail-Adressen dazu nicht ihre Einwilligung gegeben haben. Vor allem Mailadressen, die sich aus Vornamen und Nachnamen zusammensetzen, seien bedenklich. Ehlenz rät Firmen und Verwaltungen, das Thema Datenschutz mit den Beschäftigten zu thematisieren und Mitarbeiter zu schulen und weiterzubilden. „Ansonsten kann es peinlich werden“, so der Informatikexperte. Die DLGI bietet unter www.datenschutz-lernen.de im Internet einen kostenlosen Online-Grundkurs an, der Unternehmen gezielt über wichtige Datenschutzbestimmungen aufklärt. Die Plattform wird vom Ministerium für Bildung und Forschung gefördert.