Die Nutzung von E-Mail-Kommunikation in sozialwirtschaftlichen Einrichtungen unterliegt besonderen datenschutzrechtlichen Anforderungen, da in der Regel personenbezogene Daten übermittelt werden, die dem Schutzbereich der Datenschutz-Grundverordnung (DSGVO) unterliegen. Dabei ist zu berücksichtigen, dass viele der im sozialen Bereich verarbeiteten Daten besonders sensibel sind, etwa wenn es sich um Informationen zur Gesundheit, zur sozialen Herkunft oder zur familiären Situation handelt. Der Versand solcher Inhalte per E-Mail erfordert daher besondere technische und organisatorische Maßnahmen, um die Vertraulichkeit und Integrität der Daten zu gewährleisten. Die unverschlüsselte Versendung personenbezogener Daten per E-Mail stellt in der Regel ein erhebliches Risiko dar und ist ohne zusätzliche Schutzmaßnahmen nicht zulässig. Einrichtungen müssen sicherstellen, dass die Übertragung entweder über Ende-zu-Ende-verschlüsselte Kommunikationssysteme erfolgt oder dass zumindest eine Transportverschlüsselung mit zusätzlichem Schutz durch Passwörter oder sichere Portale verwendet wird. Dies betrifft sowohl die Kommunikation mit externen Stellen, wie Jugendämtern, Ärzten oder Angehörigen, als auch die interne Kommunikation zwischen Fachkräften oder Verwaltungseinheiten.

Besondere Aufmerksamkeit ist dem Versand von E-Mail-Anhängen zu widmen. Werden personenbezogene Daten in Form von PDF-Dokumenten, Word-Dateien oder Excel-Tabellen versendet, müssen diese vor dem Versand gesondert verschlüsselt werden, etwa durch eine starke Passwortvergabe oder durch die Nutzung spezieller verschlüsselter Übertragungswege. Es genügt nicht, ein sensibles Dokument einfach an eine verschlüsselte Transportverbindung zu hängen, wenn dieses Dokument selbst ungeschützt bleibt und beispielsweise auf einem fremden Server unverschlüsselt gespeichert wird. Darüber hinaus ist es zwingend erforderlich, Passwörter nicht gemeinsam mit dem Anhang zu versenden, sondern über einen zweiten, getrennten Kommunikationsweg zu übermitteln, zum Beispiel telefonisch oder per SMS. In der Praxis zeigt sich, dass dieser Aspekt besonders häufig vernachlässigt wird und es dadurch zu meldepflichtigen Datenschutzverletzungen kommt.

Gerade öffentliche Träger, insbesondere Jugendämter, machen in der Praxis immer wieder schwerwiegende Fehler bei der Nutzung von E-Mails und begehen dadurch selbst Datenschutzverletzungen. Es kommt häufig vor, dass personenbezogene Daten in unverschlüsselten E-Mails übermittelt oder sensible Dokumente ohne geeigneten Schutz an Dritte versendet werden. Auch das massenhafte Versenden von personenbezogenen Informationen über offene Verteilerlisten oder die fehlende Risikobewertung bei der E-Mail-Kommunikation sind immer wieder Gegenstand datenschutzrechtlicher Beanstandungen. Diese Versäumnisse stehen in klarem Widerspruch zu den eigenen Verpflichtungen der Behörden als verantwortliche Stellen nach der DSGVO und verdeutlichen, dass auch öffentliche Einrichtungen ihre technischen und organisatorischen Maßnahmen konsequent überprüfen und anpassen müssen.

Ein weiterer Aspekt des datenschutzkonformen E-Mail-Einsatzes ist die sogenannte Zweckbindung. Personenbezogene Daten dürfen per E-Mail nur dann verarbeitet werden, wenn dies für einen bestimmten, vorher klar definierten Zweck erforderlich ist. Darüber hinaus ist die Datenminimierung zu beachten, das heißt, es dürfen nur die unbedingt erforderlichen Informationen übermittelt werden. E-Mails sollten daher stets mit Bedacht formuliert und auf ihre Notwendigkeit geprüft werden. Auch bei der Verwendung von E-Mail-Verteilern muss besonders vorsichtig vorgegangen werden. Das versehentliche Offenlegen von Empfängeradressen im offenen CC-Feld kann bereits eine Datenschutzverletzung darstellen, wenn damit Informationen über Zugehörigkeiten zu bestimmten Gruppen oder Institutionen preisgegeben werden. Es empfiehlt sich daher grundsätzlich, bei Mehrfachversand das BCC-Feld zu nutzen oder über alternative Kommunikationswege nachzudenken.

Zu beachten ist auch, dass der Zugriff auf dienstliche E-Mail-Postfächer innerhalb der Organisation geregelt sein muss. Nur autorisierte Personen dürfen Zugang erhalten, und beim Ausscheiden von Mitarbeitenden ist sicherzustellen, dass E-Mail-Konten deaktiviert oder ordnungsgemäß übergeben werden. Einrichtungsleitungen sollten zudem klare Richtlinien zur E-Mail-Nutzung erlassen, in denen Regelungen zu Inhalt, Verschlüsselung, Archivierung und Löschung festgelegt sind. Schulungen der Mitarbeitenden und regelmäßige Sensibilisierungen sind unerlässlich, um die Risiken im täglichen Umgang mit E-Mails zu minimieren.

Die IJOS Datenschutzmanagement-Software (DSM) unterstützt Einrichtungen dabei, die datenschutzrechtlichen Anforderungen im Bereich der elektronischen Kommunikation strukturiert umzusetzen. Sie bietet Vorlagen für Richtlinien, Handlungsempfehlungen zur sicheren Kommunikation sowie Werkzeuge zur Risikobewertung und Dokumentation von Vorfällen. Wer datenschutzkonforme E-Mail-Kommunikation in einer sozialwirtschaftlichen Einrichtung sicherstellen will, sollte sowohl technische Schutzmaßnahmen etablieren als auch organisatorische Klarheit schaffen. Besonders im Umgang mit öffentlichen Trägern empfiehlt es sich, auf eine datenschutzkonforme Kommunikation zu bestehen und gegebenenfalls auch dokumentierte Hinweise auf unsichere Übermittlungswege zu geben, um das Risiko eigener Verantwortlichkeit zu minimieren. Nur wenn alle Beteiligten – auch öffentliche Stellen – ihre Verantwortung ernst nehmen, kann ein hohes Maß an Datenschutz und Datensicherheit im elektronischen Austausch gewährleistet werden.