Dr. iur. René Huber (Bild), von 1999 bis 2014 Datenschutzbeauftragter des Kantons Zug und seit 1999 mit der Einzelfirma „Recht + Informatik“, Zürich, Berater von Unternehmen für Datenschutz und Datensicherheit sowie auch Referent an META10-Veranstaltungen, stellt fest: „In vielen KMU werden Geschäftsinformationen und die heikelsten Dokumente mit den sensibelsten Personendaten ungesichert per E-Mail verschickt.“ Lesen Sie im Interview mit Dr. René Huber, was das für Folgen haben kann und was die Unternehmen im geschäftlichen E-Mail-Verkehr unbedingt vorkehren sollten.
 

Dr. René Huber, welches sind die Standards, die von kleinen und mittleren Unternehmen in der Schweiz im E-Mail-Verkehr zumindest eingehalten werden sollten?

René Huber: Von Gesetzes wegen müssen Daten über Kunden und über Mitarbeitende durch angemessene technische und organisatorische Massnahmen gegen „unbefugtes Bearbeiten“ geschützt werden. Auf Deutsch heisst das: Daten müssen gegen Angriffe, Kenntnisnahme durch Dritte oder Missbrauch geschützt werden. Das gilt auch für die elektronische Übertragung, somit auch für das Versenden via E-Mail. Verschlüsselung ist somit hier gefordert.
 

Werden denn in der Schweiz die Minimalstandards von den kleinen und mittleren Unternehmen generell eingehalten oder nicht?

René Huber: Was ich beobachte: Es werden wichtige Geschäftsinformationen und die heikelsten Dokumente mit den sensibelsten Personendaten ungesichert per E-Mail verschickt. Zu bedenken ist, dass die Daten ja in aller Regel nicht nur innerhalb der Schweiz übertragen werden, selbst nicht, wenn Absender und Adressat in der Schweiz sind. Die Daten wandern über Leitungen im Ausland – oft auch über solche in den USA. Dabei werden Daten an vielen Punkten zwischengespeichert – auch im Ausland. Unverschlüsselte Daten können dort durch Dritte eingesehen, kopiert und allenfalls auch verändert werden.
 

Weshalb hat die generelle Einführung von signierten E-Mails hierzulande eine solche Mühe?

René Huber: Das sichere Versenden ist zwar ohne Weiteres möglich – aber es erfordert schon einen gewissen Zusatzaufwand. Im Handling können sich gewisse Unannehmlichkeiten ergeben, etwa bei der Integration von E-Mails in Geschäftsverwaltungssysteme oder bei der Archivierung verschlüsselter 
Dokumente.
 

Welche Lösungen sollten die Unternehmen wählen?

René Huber: Sie sollten Tools einsetzen, die eine verschlüsselte Übertragung von Daten ermöglichen.
 

Welches sind die besonderen Anforderungen an den E-Mail-Verkehr, wenn die gesamte Informationstechnologie des Unternehmens in der Cloud läuft?

René Huber: Es ist unbedingt ein Cloud-Anbieter zu wählen, der Instrumente zur Verfügung stellt, die das sichere Mailen ermöglichen.
 

Was gibt es in der Schweiz für besondere rechtliche Probleme und Auflagen, wenn sämtliche Daten in einen Server ausserhalb des Unternehmens ausgelagert werden?

René Huber: Die Regelung des Auslagerns ist nicht trivial. Zusammengefasst ist zu empfehlen, dass das Unternehmen alle wichtigen Aspekte des Datenhandlings sorgfältig erfasst und diese mit dem Auftragnehmer vertraglich entsprechend regelt.
 

Ihr Ratschlag an unsere Leserinnen und Leser?

René Huber: Der E-Mail-Verkehr samt dem Dokumentenversand sind zu verschlüsseln. Beim Auslagern ist eine sorgfältige vertragliche Regelung entscheidend. Zu bedenken sind auch mögliche Konsequenzen bei Vertragsstörungen oder gar bei Missbräuchen von Daten. Allenfalls ist eine Konventionalstrafe vorzusehen.