Datenschutz im Beruf: Arzt, Anwalt, Pfarrer, Politiker

Sie haben nichts zu verbergen, sicher. Aber vielleicht der Studienfreund Ihres Nachbarn. Und weil moderne IT-Technik es so leicht macht, wertet ein Geheimdienst Ihre Daten gleich mit aus. Zusammen mit denen von Tausenden anderen, die in einer E-Mail das falsche Stichwort erwähnt haben. Oder vielleicht hackt sich jemand ganz anderes in das System Ihres Arztes, guckt nach, wie das eigentlich genau ist, mit Ihrer Berufsunfähigkeit.

Nicht erst seit dem NSA-Skandal müssen Angehörige bestimmter Berufsgruppen besonders achtgeben, dass ihre Informationen nicht in falsche Hände geraten. Wir haben mit vier von ihnen gesprochen: einem Anwalt, einem Arzt, einem Politiker und einem Geistlichen.

• Der Anwalt: "Niemand will die Verschlüsselung"

Seit das Ausmaß der Datenspionage bekannt wurde, ärgert sich Thomas Stadler besonders über alle, die sagen: "Was geht's mich an? Ich bin doch nicht verdächtig." Schließlich kenne niemand das Raster, nach dem die Geheimdienste überwachen. Thomas Stadler ist Fachanwalt für IT-Recht in Freising, unter anderem mit dem Schwerpunkt Datenschutzrecht, und vertritt vorwiegend Geschäftskunden. Er gibt zu bedenken: "Schon wenn ein flüchtiger Bekannter eines Mandanten terrorverdächtig ist, kann sein Anwalt vorsichtshalber mit überprüft werden. Und gleichzeitig die Daten von vielen anderen Unbeteiligten, die zufällig in derselben Datenbank auftauchen."

Außerdem: Während derzeit meist über politische Überwachung gesprochen wird, dürfte Wirtschaftsspionage ebenso wichtig sein. "Wir müssen davon ausgehen, dass die meisten staatlichen Geheimdienste darin verwickelt sind." Deswegen müsse er als Anwalt seine Online-Kommunikation absichern, dafür beschäftigt seine Kanzlei IT-Spezialisten.

"Wie sollen wir das organisieren?"

Das größte Problem sei aber der Informationsaustausch mit den Mandanten: "Im Normalfall wird nichts verschlüsselt, auch wenn Dokumente mit brisanten Informationen verschickt werden. Und zwar, weil unsere Mandanten es so wollen - das Angebot machen wir schon." Früher habe seine Kanzlei Verschlüsselungsdaten - einen sogenannten öffentlichen Schlüssel - auf der eigenen Website zur Verwendung angeboten. "Aber praktisch niemand hat die Möglichkeit genutzt, mit uns in einen geschützten Datenaustausch zu treten."

Organisatorisch gesehen ist das ein Vorteil, so Stadler: "Wenn ich heute vereinzelt verschlüsselte Mandantenpost bekomme, ist das kein Problem. Kämen aber täglich Hunderte E-Mails so an, müssten wir klären: Wer im Büro entschlüsselt die, um den Posteingang unter den Kollegen zu verteilen?" Als Jurist findet er außerdem: Die Möglichkeit der Verschlüsselung entbindet den Staat nicht davon, die Privatsphäre seiner Bürger zu schützen. "Die Möglichkeit der Selbstjustiz beendet ja auch nicht das Gewaltmonopol des Staates."

• Der Arzt: "Mediziner sind keine Computertechnikfans"

Elektronische Datenverarbeitung ist heute in der Mehrzahl der Arztpraxen Standard, erklärt der Internist Ulrich Pischa, der eine Hausarztpraxis in München hat und Lehrbeauftragter für Allgemeinmedizin an der Ludwig-Maximilians-Universität ist: "Wir laufen nicht mehr wie früher mit Patientenakten hin und her", sagt er. Die Daten können an allen Terminals in der Praxis abgerufen und bearbeitet werden, sei es im Behandlungszimmer, im Labor nach dem Blutabnehmen oder im Röntgenraum."

Solche Daten sind ein interessantes Geschäft für jeden Anbieter von Hard- und Software. Google versuchte jahrelang, ins Geschäft mit Gesundheitsdaten einzusteigen, mit arztunabhängigen Krankenakten, die zentral in der Cloud gespeichert sind. 2011 wurde dieser Geschäftszweig jedoch offiziell eingestellt.

Krankenakte, Abrechnung, Firewall

"Für die meisten Ärzte wäre es wohl auch nichts, sich ihr eigenes Praxismanagement aus einem kostenlosen Angebot bei Google zusammenzubasteln", sagt Pischa. "Mediziner sind keine Computertechnikfans - Gott sei Dank. Und ihnen ist bewusst, dass es um hochsensible Daten geht." Rechtlich auf der sicheren Seite sind Ärzte bei Cloud-Lösungen nur, wenn die Daten verschlüsselt sind, bevor sie über das Internet transportiert werden, und wenn der verwendete Schlüssel dem Anbieter des Cloud-Dienstes nicht bekannt ist.

Ein elektronisches Praxismanagement ist komplex: Da werden Behandlungen mit dem Vergütungskatalog der Kassen abgeglichen, umfassende Krankenakten erstellt, Kassenabrechnungen und Steuererklärungen geschrieben. Praxismanagementsysteme werden daher meist von spezialisierten Software-Entwicklern eingerichtet. Die kümmern sich um die IT-Sicherheit, einschließlich der Hardware mit Firewall und Verschlüsselung.

"Faxen ist das größte Einfallstor"

Das alles nützt wenig, wenn sensible Informationen am Ende per Mail verschickt werden. "Patientendaten gebe ich aber nicht per E-Mail heraus", sagt Pischa, "es sei denn, der mir bekannte Patient bittet vorher ausdrücklich persönlich zum Beispiel um seine Laborwerte."

Die größten Sicherheitslücken sieht Pischa am Telefon: "Ärzte lassen sich oft Untersuchungsergebnisse aus Kliniken zufaxen. Dazu rufen sie in der Klinik an, geben den Namen des Patienten an und die Faxnummer ihrer Praxis. Ob der Anrufer aber tatsächlich die Daten einsehen darf, wird äußerst selten überprüft."

• Der Politiker: "Meine Telefonate werden abgehört"

Der grüne Europaabgeordnete Jan-Philipp Albrecht macht sich keine Illusionen, ob sich US-Geheimdienste für seine Kommunikation interessieren: "Man würde sich etwas vormachen, wenn man glauben würde, dass ausgerechnet die EU-Abgeordneten nicht überwacht werden." Gerade US-Behörden, sagt Albrecht aus Erfahrung, "sind immer sehr gut darüber informiert, was wir im EU-Parlament besprochen haben". Diese Erfahrung habe er in den vergangenen Jahren immer wieder gemacht, denn er hatte mit vielen Themen zu tun, die für USA und NSA von großer Relevanz sind: das Swift-Abkommen über den Austausch von Bankdaten etwa oder die Verhandlungen über den Umgang mit Flugzeugpassagierdaten. "Ich gehe fest davon aus, dass sogar meine Telefonate abgehört werden", sagt Albrecht am Telefon. "Auch dieses."

Als Abgeordneter müsse man mit dieser Gewissheit "ein Stück weit leben", aber "es schränkt die Art und Weise ein, wie man sich informieren oder seine Meinung bilden kann". Man fühle sich "eingeschüchtert", sagt Albrecht.

"Auf EU-Rechnern kann ich nicht verschlüsseln"

Die Konsequenzen sind für ihn klar: "Ich überlege mir genau, welche Informationen ich über offene Kanäle wie E-Mail, Telefonate oder SMS austausche und welche nur im direkten Kontakt oder auf Papier." E-Mail-Verschlüsselung sei nur in sehr eingeschränkten Fällen eine Lösung: "Es hilft nichts, eine E-Mail zu verschlüsseln, wenn die Gegenseite meinen Schlüssel nicht hat oder selbst nicht verschlüsselt antworten kann." Zudem können die Parlamentarier auf ihren Dienstrechnern bis heute keine Verschlüsselung einsetzen - die kleine Gruppe Abgeordneter, die diese Möglichkeit von der EU-Parlamentsverwaltung vehement einfordere, habe bislang keinen Erfolg gehabt, sagt Albrecht.

• Der Geistliche: "Beichte per GMail? Da können wir nicht helfen"

Martin Faatz ist katholischer Diakon und im Bistum Würzburg zuständig für eine zentrale Datenbank mit Adress- und Verbindungsdaten, auf die alle Gemeinden Zugriff haben. "Wer uns anspricht, warum auch immer, muss sich darauf verlassen können, dass alles Gesagte unter uns bleibt. Schon die Kontaktaufnahme mit einem Seelsorger kann für den Betroffenen brisant sein." Deshalb gibt es eine eigene kirchliche Datenschutzordnung mit schärferen Regeln, als sie der Gesetzgeber vorsieht.

"Jahrhundertelange Erfahrung"

Sämtliche Gemeinden sind an ein eigenes Bistumsnetz angeschlossen, das aus gemieteten Leitungen besteht. In der Würzburger Innenstadt hat die Diözese teils sogar eigene Leitungen. In dieses geschlossene Netz können Seelsorgerinnen und Seelsorger sich über gesicherte Zugänge einwählen. "Alle Informationen werden dann verschlüsselt durch VPN-Tunnel geschickt", so Faatz, sowohl die Datenbankabfragen als auch E-Mails. "In Schulungen müssen wir dafür immer wieder Überzeugungsarbeit leisten. Denn natürlich ist Sicherheit auch lästig. Immer muss man sich erst ins VPN einwählen."

Allerdings: "Ganz problematische Anfragen kommen normalerweise nicht per E-Mail", sagt Faatz. "So funktioniert persönliche Seelsorge nicht." Wer etwas auf dem Herzen hat, spricht in der Regel einen Seelsorger direkt an. "Und da ist es auch nicht üblich, am Ende eine Datei mit Gesprächsnotizen zu erzeugen. Solche Sachen hat man als Seelsorger einfach im Kopf. Damit haben wir über Jahrhunderte gute Erfahrungen gemacht."

"Alptraum E-Mail-Scanning"

Bei Faatz können die Seelsorger auch Strategien kennenlernen, ihre Schäfchen vor sich selbst zu schützen - und vor Diensten wie Google Mail, die den Text jeder Nachricht auswerten. "E-Mail-Scanning ist für uns ein absoluter Alptraum. Wenn uns jemand per GMail kontaktiert, können wir ihm an der Stelle aber nicht helfen. Erst bei der Antwort des Seelsorgers greifen dann wieder unsere Regeln: Der Originaltext der Ursprungsmail darf nicht zitiert werden, und wir laden zum persönlichen Gespräch ein."

Die Kirchen in Deutschland bieten auch Online-Seelsorge an, verstehen das aber immer als ersten Schritt, nicht als Langzeitberatung. Auf Seiten wie christliche-onlineberatung.de werden verschlüsselte Webmail-Zugänge vergeben, um die Kommunikation zu schützen.