Anforderungen für den sicheren Versand besonderer Personendaten
Besondere Personendaten dürfen nicht ungeschützt übermittelt werden: Öffentliche Organe sind verpflichtet, beim Versand konsequent auf sichere, verschlüsselte Kommunikationsmittel zu setzen. Weder Bequemlichkeit noch Einwilligungen der betroffenen Personen vermögen fehlende Datensicherheit zu rechtfertigen.
Die Bearbeitung besonderer Personendaten stellt erhöhte Anforderungen an den Datenschutz. Öffentliche Organe sind verpflichtet, durch angemessene technische und organisatorische Massnahmen sicherzustellen, dass diese Daten vor unbefugtem Zugriff geschützt sind.
Ein zentraler Aspekt der Datensicherheit ist der Versand von Personendaten. Während bei Personendaten je nach Kontext ein gewisses Restrisiko hingenommen werden kann, gilt dies für besondere Personendaten nicht. Aufgrund ihres erhöhten Schutzbedarfs müssen sie beim Versand wirksam gesichert werden. Dies bedeutet in der Praxis, dass eine Verschlüsselung zwingend erforderlich ist.
Verschlüsselung als Mindeststandard
Der Versand besonderer Personendaten über unverschlüsselte Kanäle – etwa per E-Mail – genügt den gesetzlichen Anforderungen nicht. Öffentliche Organe haben sicherzustellen, dass geeignete Verschlüsselungstechnologien eingesetzt werden. Dabei stehen verschiedene Möglichkeiten zur Verfügung: Neben klassisch verschlüsselten E-Mails existieren heute auch spezialisierte Plattformen, sichere Webportale oder Messenger-Dienste mit Ende-zu-Ende-Verschlüsselung, die einen datenschutzkonformen Versand ermöglichen.
Die Wahl des konkreten Mittels ist den öffentlichen Organen überlassen, sofern die eingesetzte Lösung dem Stand der Technik entspricht und ein angemessenes Schutzniveau gewährleistet. Entscheidend ist nicht das konkrete Instrument, sondern das Ergebnis: Der Schutz der Vertraulichkeit während der Übermittlung.
Die Einhaltung der Datensicherheitsanforderungen ist für öffentliche Organe eine gesetzliche Pflicht. Eine Einwilligung, die den Verzicht auf angemessene Sicherheitsmassnahmen zum Gegenstand hat, ist rechtlich nicht gültig.
Verantwortung der öffentlichen Organe
Die Verantwortung für die Einhaltung dieser Anforderungen liegt ausschliesslich bei den öffentlichen Organen. Sie haben ihre Prozesse so auszugestalten, dass ein sicherer Versand jederzeit gewährleistet ist. Dazu gehört auch, Mitarbeitende entsprechend zu instruieren und geeignete technische Lösungen bereitzustellen.
Es genügt nicht, die Verantwortung auf betroffene Personen abzuwälzen oder auf deren Verhalten zu vertrauen. Insbesondere ist es unzulässig, den Versand über unsichere Kanäle aus praktischen Gründen zu tolerieren.
Gesetzliche Pflicht
In der Praxis wird bisweilen argumentiert, betroffene Personen hätten in den unverschlüsselten Versand eingewilligt. Die Einhaltung der Datensicherheitsanforderungen ist für öffentliche Organe eine gesetzliche Pflicht. Eine Einwilligung, die den Verzicht auf angemessene Sicherheitsmassnahmen zum Gegenstand hat, ist rechtlich nicht gültig.
Fazit
Der Versand besonderer Personendaten erfordert zwingend den Einsatz geeigneter Verschlüsselungstechnologien. Öffentliche Organe müssen die dafür notwendigen Mittel bereitstellen und deren Anwendung sicherstellen. Alternative Kommunikationsmittel können eingesetzt werden, sofern sie ein angemessenes Schutzniveau bieten. Eine Einwilligung der betroffenen Person vermag fehlende Sicherheitsmassnahmen nicht zu ersetzen. Die Verantwortung für einen rechtmässigen und sicheren Umgang mit Personendaten bleibt in jedem Fall bei den öffentlichen Organen.