Dies ist eine alte Version des Dokuments!
Email zu nutzen bedeutet aus Datenschutzsicht immer den Umgang mit Personenbezogenen Daten, da zumindest die Daten von Absender und Empfänger personenbezogene Daten sind. Eine Ausnahme liegt nur vor bei nicht-personalisierten Funktionadressen. Das für sich genommen ist nicht allzu problematisch, sollte aber im Verhältnis zu Personen außerhalb der eigenen Organisation schon dazu führen, dass Emails mit einer gewissen Vorsicht genutzt werden.
Problematischer ist es, wenn der Mail weitere personenbezogene Daten insbesondere von Dritten beinhaltet, wobei es nicht darauf ankommt, ob es sich um den Text der Mail oder um ein angehängtes Dokument handelt. Die Schwierigkeit stellt dabei nicht der Versand an sich innerhalb der eigenen IT-Infrastruktur (also z.B. von xxx@tu-ilmenau.de zu yyy@tu-ilmenau.de) dar sondern:
- Der Versand unter Beteiligung externer Mailadressen.
- Die nicht kontrollierbare versehentliche oder vorsätzliche Weiterleitung an Nicht-Berechtigte.
- Die nicht durchsetzbare Existenz eines Löschkonzepts vor allem bei personengebunden Emailadressen.
Vorbehaltlich einer neuen allgemeinen Regelung erscheint es gegenwärtig sinnvoll, Emails auch für den Versand von personenbezogenen Daten zu dulden unter bestimmten Voraussetzungen:
- Wenn ein anderes datenschutzkonformes IT-System zur Verfügung steht, ist das einzusetzen.
- Wenn kein datenschutzkonformes IT-System zur Verfügung steht, ist zu prüfen, ob ein solches beschafft werden kann.
- Sensible Daten werden nicht per Mail versendet.
- Dateianhänge mit personenbezogenen Daten werden nur ausnahmsweise und dann verschlüsselt versendet. Das Passwort darf nicht per Mail übermittelt werden. Für den regelmäßigen Austausch von Dateien stehen Sharepoint und Cloud zur Verfügung. (Zudem bedarf es eines Eintrags im Verzeichnis von Verarbeitungstätigkeiten).