Wie können Kitas Gesundheitsdaten oder andere sensible Informationen per E-Mail rechtskonform versenden? Diese Frage taucht häufig auf, wenn Auskunftsersuchen oder interne Dokumente zwischen Träger, Leitung oder Eltern ausgetauscht werden sollen. Dieser Beitrag gibt Orientierung, besonders bei der Auswahl einer passenden Verschlüsselung.
Praxisrelevanz für Kitas
Wann benötigen Kitas eine sichere Lösung für den Versand sensibler Daten?
Im Kita-Alltag gibt es mehrere Situationen, in denen sensible Informationen per E-Mail übermittelt werden:
- Eine Kita soll einem Elternteil eine Auskunft zu dokumentierten Entwicklungsgesprächen übermitteln (enthält möglicherweise Gesundheitsangaben),
- Ein Träger versendet eine ärztliche Beurteilung zwecks Eingliederungshilfe an eine andere Stelle,
- Eine Kita-Leitung schickt Impfdaten oder Medikationspläne zur Aufnahme an zuständiges Personal.
In allen Fällen stellen sich ähnliche Fragen: Reicht eine „normale“ E-Mail aus? Welche Verschlüsselung ist nötig? Und wie übergebe ich das Passwort sicher, wenn ich Dokumente schütze?
Rechtlicher Rahmen
Transportverschlüsselung (TLS): Wann reicht sie aus?
Die meisten E-Mail-Dienste setzen heute TLS (Transport Layer Security) ein. Dabei wird die E-Mail auf dem Weg vom Absender zum Empfänger verschlüsselt übertragen – vergleichbar mit einem Tunnel durch den die Daten übertragen werden.
Beispiel: Eine Kita versendet an das Jugendamt allgemeine Informationen zur Gruppensituation. Wenn das Risiko als „normal“ einzuschätzen ist, genügt TLS.
Aber: Die E-Mail liegt dennoch unverschlüsselt auf den Servern beider Seiten. Bei sensiblen Inhalten oder hohem Risiko reicht TLS alleine nicht aus.
Ende-zu-Ende-Verschlüsselung (E2E): Wann ist sie notwendig?
Bei der E2E-Verschlüsselung wird der Inhalt direkt beim Versand im Mail-Programm verschlüsselt und erst auf dem Gerät des Empfängers wieder entschlüsselt. Nur Sender und Empfänger können den Inhalt lesen.
Beispiel: Eine Kita soll im Rahmen eines Auskunftsersuchens eine vollständige Bildungsdokumentation inklusive Entwicklungsstand und ggf. gesundheitlicher Hinweise an einen Empfänger verschicken. Aufgrund des hohen Risikos reicht TLS nicht aus. Hier ist E2E-Verschlüsselung notwendig.
Problem: Gerade für den Kontakt mit externen Stellen oder Eltern ist E2E oft technisch nicht umsetzbar.
Alternative: Dokument mit Passwortschutz als verschlüsselter Anhang
Wenn eine E2E-Verschlüsselung technisch nicht realisierbar ist, kann eine Datei mit starker Verschlüsselung im Anhang geschickt werden.
Beispiel: Die Kita sendet eine passwortgeschützte PDF mit Gesundheitsangaben im Anhang einer TLS-geschützten E-Mail. Das Passwort wird über einen anderen Kanal übermittelt.
Auch hier gilt: Die Verschlüsselung des Dokuments muss hinreichend komplex und lang sein (12 Zeichen). Online-Tools zur Verschlüsselung sind nicht geeignet.
Was ist zu tun?
Praxis-Check: So versenden Sie sensible Daten sicher per E-Mail:
- Prüfen Sie das Risiko: Handelt es sich um sensible Daten (z. B. Gesundheitsdaten)?
- Nutzen Sie mindestens TLS für die E-Mail-Übertragung.
- Bei hohem Risiko: E2E-Verschlüsselung einsetzen – wenn technisch umsetzbar.
- Falls E2E nicht möglich ist:
- Datei lokal verschlüsseln (z. B. ZIP oder PDF mit AES-256).
- Starkes Passwort wählen (mind. 12 Zeichen, keine Wiederverwendung).
- Passwort niemals im selben Kanal übermitteln (z. B. telefonisch oder per SMS).
- Kein Einsatz von Online-Tools zur Datei-Verschlüsselung.
- Jeder Empfänger erhält ein eigenes Passwort (nicht mehrfach verwenden).
- Dokumentieren Sie das Verfahren in einer hausinternen Anleitung.
- Schaffen Sie sichere Ablagen (z. B. verschlüsselter Cloud-Zugang über Nextcloud/Owncloud) für wiederkehrende Datenübertragungen.
Fazit
Beim Versand sensibler Daten per E-Mail reicht die Standardausstattung oft nicht aus. Kitas sollten das Risiko prüfen und entweder auf E2E-Verschlüsselung oder einen sicheren Anhang mit Passwortschutz setzen. Wichtig ist auch: Das Passwort nie über denselben Kanal wie die Datei übermitteln und für Wiederholungen eine klare Anleitung haben.