Die Nutzung dienstlicher E-Mail-Adressen ist für öffentlicher Stellen grundsätzlich unverzichtbar, weil durch Verwendung von internen E-Mail-Servern ein geschützterer Austausch von Informationen innerhalb der Organisation sichergestellt wird. Ein solches System erleichtert die Implementierung von Verschlüsselungstechnologien, um die Integrität übermittelter Daten auch an externe Empfänger sicherzustellen. Im Gegenzug können externe Empfänger Behördenkontakte leichter verifizieren. Das reduziert die Gefahr von Phishing-Angriffen und anderen betrügerischen Aktivitäten. Dienstliche E-Mail-Adressen sind damit eine nahezu notwendige Voraussetzung für die Sicherung sensibler Daten bei der Übertragung per E-Mail und der Gewährleistung einer zuverlässigen behördlichen Kommunikation.
Leider erreichen die dAtenschutzbehörde Beschwerden gegen bayerische öffentliche Stellen, bei denen private E Mail-Accounts außerhalb der behördlichen Infrastruktur zur Kommunikation dienstlicher Inhalte genutzt wurden. Einzelne Fälle betrafen etwa Lehrkräfte öffentlicher Schulen, sowie Gerichtsvollzieherinnen und Gerichtsvollzieher. Bei frei verfügbaren, kostenlos angebotenen E-Mail-Accounts („Freemail-Diensten“) sind die Allgemeinen Geschäftsbedingungen (AGB) oft nicht mit dienstlichen Belangen vereinbar. Solche AGB gewähren den Providern zum Teil weitreichende Einsichtsrechte in die E-Mail-Inhalte ihrer Nutzerinnen und Nutzer, um beispielsweise personalisierte Werbung ausbringen zu können. Für eine Verarbeitung der in den E-Mails enthaltenen personenbezogenen Daten zu diesem Zweck fehlt es typischerweise an einer Rechtsgrundlage.
Die Einräumung solcher Einsichtsrechte durch die AGB von Freemail-Diensten birgt erhebliche Risiken für die Vertraulichkeit von behördlichen Informationen; sie kann auch zu einem ernsthaften Sicherheitsrisiko für die behördliche Kommunikation werden. Darüber hinaus untergräbt die Nutzung privater E-Mail-Dienste die Möglichkeit einer sicheren Kommunikation innerhalb öffentlicher Stellen. Freemail-Anbieter sind oft nicht auf die spezifischen Sicherheitsanforderungen von Behörden ausgerichtet, was die Gefahr von Datenlecks und unautorisiertem Zugriff erhöht. Unabhängig von solchen Risiken werden private-E-Mail-Accounts häufig auch in einem weniger abgesicherten Umfeld genutzt als dienstliche E-Mail-Accounts, etwa auf privaten Endgeräten wie Laptops oder Smartphones. Diese Geräte sind tendenziell schlechter gesichert als dienstliche und damit insbesondere einem höheren Risiko für Diebstahl oder Kompromittierung ausgesetzt. Zudem werden private E-Mail-Adressen naturgemäß eben auch für die private Kommunikation – etwa mit Shopping- und Social-Media-Plattformen – genutzt. Dadurch sind sie einem erhöhten Risiko für Phishing- und Malware-Angriffen ausgesetzt.
Die Datenschgutzbehörde empfiehlt nachdrücklich allen Bediensteten bayerischer öffentlicher Stellen die Nutzung ihrer in aller Regel standardmäßig bereitgestellten, zumindest auf Wunsch verfügbaren, dienstlichen E-Mail-Adressen für die Kommunikation in der Rolle von Beschäftigten. Selbst wenn im Einzelfall Dienstvereinbarungen oder vergleichbare Regelungen eine freie Wahl des Kommunikationsmittels erlauben, ist die Nutzung privater Accounts – insbesondere von Freemail-Anbietern – mit erheblichen Risiken verbunden. Selbst wenn die „Flucht ins Private“ in bestimmten Situationen eine bequeme Lösung sein mag: Wer die IT-Sicherheit und den Datenschutz ernst nimmt, ist mit der behördlichen Kommunikationsinfrastruktur im Zweifelsfall besser bedient.
Quelle: Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)
Fragen Sie sich, ob Sie als Behörde oder Komunalunternehmen bei Datenschutz und Datensicherheit richtig aufgestellt sind?
Unverbindlich mit einem Datenschutzbeauftragten sprechen.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks