Wie sieht es eigentlich in den Gesundheitseinrichtungen Deutschlands in Bezug auf die Sicherheit, speziell beim Thema E-Mail aus. Da wird noch viel gefaxt – was auch kritisch in Bezug auf Datenschutz ist. Die Datenschutz-Aufsichtsbehörden haben selbst Probleme, die eigenen Vorgaben bei den betreffenden Einrichtungen zu überprüfen. Nachdem Verbände den Versand des eRezepts per E-Mail oder SMS durchdrücken wollten – hat man das jetzt an der Technischen Hochschule Nürnberg aufgegriffen und die 4.000 Gesundheitseinrichtungen überprüft. Fazit: Es gibt erhebliche Mängel.
Anzeige
Im Gesundheitsbereich ist das Fax-Gerät noch das Mittel der Wahl, wenn es um die Übermittlung von Befunden etc. geht. Auch der gedruckte (Arzt-Brief) ist noch gut im Geschäft. Ich hatte bereits im Mai 2021 im Blog-Beitrag Dinosaurier Fax: Nicht datenschutzkonform und Fax-Spam berichtet, dass die Datenschutz-Aufsicht das Fax als nicht mehr datenschutzkonform ansieht. Hintergrund ist, dass keine Einzelgeräte mehr über analoge Telefonleitungen Fax-Nachrichten senden. Vielmehr laufen Fax-Nachrichten inzwischen digital über Rechner, können also von Dritten jederzeit eingesehen werden. Die Landesbeauftrage für Datenschutz in Bremen hatte seinerzeit festgestellt, dass keine personenbezogenen Daten per Fax übermittelt werden dürfen.
Status E-Mail-Sicherheit
Wir sind ja nun ein Jährchen weiter – gerade schickt man sich an, das eRezept im Gesundheitswesen zum Laufen zu bringen. Da ist auch immer wieder vom "E-Mail-Versand" die Rede. Aber wie steht es eigentlich mit der Sicherheit bei der Konfiguration der E-Mail-Server und im Hinblick auf den Datenschutz.
E-Mail-Sicherheit überprüft
Ich bin bereits vor einigen Tagen auf einen Tweet zum Thema E-Mail-Sicherheit in Gesundheitseinrichtungen gestoßen, den ich recht interessant fand.
Anzeige
Ronald Petrlic, Professor für Informationssicherheit an der TH Nürnberg hat das Thema mit einer Studenten-Gruppe aufgegriffen und 4.000 Gesundheitseinrichtungen in Bezug auf E-Mail-Sicherheit überprüft. Auf Linkedin schreibt er dazu:
Wenn die Datenschutz-Aufsichtsbehörden schon nicht die Einhaltung ihrer eigenen Vorgaben zur E-Mail-Sicherheit bei verantwortlichen Stellen überprüfen, dann tun wir es eben! Gemeinsam mit einer Studenten-Gruppe der TH Nürnberg (Technische Hochschule Nürnberg Georg Simon Ohm) habe ich rund 4.000 Gesundheitseinrichtungen (hauptsächlich Arztpraxen und Kliniken) in ganz Deutschland geprüft und dabei mussten wir leider erhebliche Mängel feststellen:
Nur 1 % der Einrichtungen halten die Vorgaben der Aufsichtsbehörden zum sicheren Mailversand (korrekterweise: Mailempfang) bei hohem Risiko (das wir bei Gesundheitsdaten annehmen können) ein.
Petrlic schreibt weiter, dass das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein – deren Auffassungen er wohl nicht immer teilt -dieses Mal mit seiner Kritik am Versand des E-Rezepts per E-Mail wohl richtig lag.
Was die Verantwortlichen tun müssten
Die Gruppe um Ronald Petrlic schreibt auf LinkedIn, dass die Verantwortlichen, die das eRezept und die elektronische Kommunikation im Gesundheitswesen retten wollen, schlicht ihre Hausaufgaben machen sollten. Dazu heißt es:
Was müssten Gesundheitseinrichtungen (und alle anderen verantwortlichen Stellen) tun?
Ganz einfach: ihre Mail-Server nach dem Stand der Technik konfigurieren oder eben *ordentliche* Mail-Provider auswählen, die ihren Verpflichtungen zu IT-Sicherheit und Datenschutz nachkommen (klar, diese Mail-Dienste kosten Geld…).
Nur so bleiben unsere Gesundheitsdaten geschützt. Denn dass E-Mail-Kommunikation im Gesundheitswesen stattfindet wird sich nicht verhindern lassen.
Der Professor will die Ergebnisse Ende September 2022 auf auf einer Sicherheits-Konferenz in Kopenhagen (und dann Ende Oktober bei der Herbstkonferenz vom Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. in Stuttgart) präsentieren.
Der ULD-Hintergrund
Das ULD Schleswig Holstein hatte der kassenärztlichen Vereinigung (KV) Schleswig Holstein auf Anfrage mitgeteilt, dass der Versand von eRezepten (auch QR-Codes) per E-Mail nach Datenschutzrecht unzulässig sei (hier die PDF-Mitteilung). Die KV Schleswig-Holstein hatte dann im August 2022 bekannt gegeben, dass sie sich aus der E-Rezept-Testphase zurückzieht.
Interessant ist aber, sich die Stellungnahme des ULD Schleswig Holstein auf dieser Webseite anzusehen. Ich habe hier mal einen Auszug aus dem Artikel E-Rezept-Verfahren: maschinenlesbare Codes schützen! herausgezogen:
Am 22. August 2022 wurde anlässlich einer Pressemitteilung der Kassenärztlichen Vereinigung Schleswig-Holstein (KVSH) berichtet, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) habe das „E-Rezept" in Schleswig-Holstein untersagt. Stimmt das? Verhindert der Datenschutz sogar gute Lösungen im Medizinbereich? Nein!
Das Verfahren „E-Rezept" ist auf Bundesebene für ganz Deutschland spezifiziert worden. Es sind mehrere Wege vorgesehen, wie vertragsärztliche elektronische Verordnungen von apothekenpflichtigen Arzneimitteln an die Patientinnen und Patienten gelangen, insbesondere:
- Für Nutzende mit einem neueren Smartphone und einer kompatiblen Gesundheitskarte steht die E-Rezept-App zur Verfügung.
- Alternativ kann ein Ausdruck erfolgen. Dieser unterscheidet sich vom bisherigen Verfahren (das rosafarbene Papier-Rezept) durch den maschinenlesbaren DataMatrix-Code (ähnlich einem QR-Code), der von der Apotheke gescannt werden kann.
Dieses vom Bundesgesetzgeber vorgesehene Verfahren „E-Rezept" hat das ULD weder aus datenschutzrechtlichen Gründen beanstandet noch wurde eine Untersagung für das E-Rezept ausgesprochen.
Weil nicht alle Nutzer ein neues Smartphone und eine benötigte, kompatible Gesundheitskarte, besitzen, wollten die Protagonisten des eRezepts alternative Verfahren zur Übermittlung vertragsärztliche elektronische Verordnungen von apothekenpflichtigen Arzneimitteln verwenden. Dazu heißt es beim ULD:
Im Juli wandte sich in diesem Kontext die Kassenärztliche Vereinigung Schleswig-Holstein (KVSH) mit der Anfrage an das ULD, ob es datenschutzrechtlich zulässig sei, wenn die Arztpraxen statt der bundesweit vorgesehenen E-Rezept-App den Weg per E-Mail oder SMS nutzten, um vertragsärztliche elektronische Verordnungen von apothekenpflichtigen Arzneimitteln an die Patientinnen und Patienten auszuhändigen. Man ging davon aus, dass bei einem unverschlüsselten Versand des DataMatrix-Codes kein Risiko für die betroffenen Personen bestehe, weil der Code keine sensiblen Daten enthalte.
Das ULD hat dieser Annahme aber vehement widersprochen, da sie unzutreffend ist. Wer im Besitz dieses DataMatrix-Codes ist, kann damit die zentral gespeicherte vollständige ärztliche Verordnung mit Namen der versicherten Person, deren Geburtsdatum, Kontaktdaten der Ärztin oder des Arztes, Ausstellungsdatum der Verordnung sowie die verschreibungspflichtigen Arzneimittel einsehen. Dies gehört beispielsweise zu der Funktionalität von Apps im Apothekenumfeld, mit denen man online Medikamente bestellen kann schreibt das ULD. Laut ULD ist ein Schutz gegen Missbrauch – z. B. eine Prüfung, ob jemand berechtigt ist, eine ärztliche Verordnung einzulösen oder auch nur auf deren Inhalte zuzugreifen – ist bei diesen Apps nicht vorgesehen. Die klare Aussage des ULD:
Arztpraxen müssen dafür Sorge tragen, den Patientinnen und Patienten ihre Verordnungen – wie bisher auch – auf sicherem Wege auszuhändigen. Das gilt auch für die Übertragung des DataMatrix-Codes. Die Arztpraxen dürfen nicht auf unsichere Verfahren zurückgreifen, bei denen das Risiko besteht, dass solche Daten abgefangen oder kopiert würden. Die Datenschutz-Grundverordnung fordert gerade für die sensiblen Gesundheitsdaten einen hohen Schutz.
Das ULD hat die Kassenärztliche Vereinigung Schleswig Holstein (KVSH) hat auf diese Punkte hingewiesen und mehrere mögliche Lösungen aufgezeigt: Anstelle der E-Rezept-App oder dem Ausdruck kämen beispielsweise die Nutzung des Systems „Kommunikation im Medizinwesen" (KIM) oder ein digitaler Versand z. B. per E-Mail mit zusätzlicher Ende-zu-Ende-Verschlüsselung infrage. Die Pharmazeutische Zeitung hatte seinerzeit hier berichtet – und heise hatte die Entwicklung hier skizziert. Auf Kritik der Datenschützer – auch bei Chaos Computer Club – reagierte die Gematik und deren Chef mit Kritik an Datenschützern und Krankenkassen. Eine aktuelle Nachbetrachtung zum eRezept und dessen Umsetzung findet sich bei heise.
Ich denke, das wird es noch viele "Geburtswehen" geben, denn das Thema Digitalisierung im Gesundheitswesen ist in weiten Teilen eine Kopfgeburt und in der Ausführung ziemlich vergurkt. Der Dank geht an Jens Spahn, der das auf Teufel komm raus durchpeitschen wollte, und jetzt die Scherben aufgekehrt werden müssen. Das Ganze ist eh zum Selbstbedienungsladen für Anbieter von Lösungen für die Gematik geworden, die sich an Gesundheitskarten, sowie Hard- und Softwarelösungen etc. eine goldene Nase verdienen – da geht es um Millionen-Aufträge.
Als Beispiel möchte ich den geplanten TI-Konnektoren-Tausch wegen ablaufender Zertifikate in Arztpraxen aufgreifen. Da sollten gleich mal 400 Millionen Euro auf Kosten der Krankenkassen abgefackelt werden, die Gematik hatte dies zusammen mit dem Lieferanten der Konnektoren so ausgedacht. Erst als heise das Thema aufgriff und nachwies, dass der Tausch der Hardware nicht notwendig wurde, kam Bewegung in die Sache – Ende August 2022 berichtete heise hier, dass die Gesellschafter der Gematik eingelenkt und eine Laufzeitverlängerung der TI-Gerätekarte ermöglicht hätten. Die Sauerei: Der Beschluss der Gesellschafter lässt der Gematik Zeit, die Lösung bis September 2023 zu finden, während aber die TI-Konnektoren in einigen Arztpraxen bereits jetzt ausgetauscht werden. Laut heise sind Konnektoren des Herstellers CompuGroup Medical (CGM) vom Austausch betroffen, dies ist der einzige Hersteller, der bisher kein Update auf die Produkttypversion 5 (PTV 5) bereitgestellt hat.
Laut diesem heise-Artikel vom September 2022 setzt der Anbieter CGM jetzt Ärzte bezüglich des TI-Konnektorentauschs unter Druck. Da stehen, laut diesem Bericht weiterhin 130 Millionen Euro für den TI-Konnektorentausch im Raum – eine Lizenz zum Geld-drucken für die Beteiligten. Ist ja alles kein Problem, das Defizit der Krankenkassen in Deutschland wird für 2023 ja auch bloß auf 17 Milliarden geschätzt – 2025 wird das Defizit sogar auf 33 Milliarden Euro geschätzt – da passt so ein Peanut von 130 Millionen locker rein. Zahlen die Versicherten dann mit höheren Beiträgen.
Anzeige
Und schon wieder das Thema E-Mail mit Ende zu Ende verschlüsselter Nachrichtenübertragung! Das ist mit OpenPGP inklusive digitaler Signatur, das ich spätestens seit 2018 als verfügbaren Standard sehe, auch mit Blick auf den zusätzlichen Aufwand bei der Ersteinrichtung möglich.
Beim E-Rezept könnten so eine inhaltlich sinnvolle Nachricht im reinen Textformat und dem eigentlichen "E-Rezept" als Anlage im PNG-Grafikformat sicher übermittelt werden.
Nur beim E-Mail-Server anzusetzen, wie es im Artikel referenziert wird, reicht nicht.
Welcher Aufwand bitte? PGP wird heute in Handumdrehung installiert und funktionstüchtig. Übrigens Thunderbird gibt es auch für Mail-Server. Und mit Thunderbird lässt sich PGP kinderleicht bedienen. Also, noch Fragen? Aber ja, aus Bequemlichkeit ist das Verlassen der Komfortzone für viele eine ernst zu nehmende Herausforderung, selbst, wenn die "Dinge" einfach einzurichten sind. Die letzten 40 Jahren haben gezeigt, dass das Smartphone leider das Bildungsniveau erheblich heruntergefahren hat. Digitalisierung betrachte ich als ein Werkzeug. Nicht mehr und nicht weniger. Und mit einem Werkzeug lerne ich zuerst akribisch, mit diesem Werkzeug gut umzugehen. Wer das nicht tut, sollte bitte das Werkzeug schon gar nicht nutzen.
Der Aufwand bei der Nutzung von PGP liegt (wie bei jeder asymmetrischen Verschlüsselung) vor allem beim Einsammeln der öffentlichen Schlüssel der Empfänger.
Wenn ich einmal im Jahr zum Arzt gehe, dann dauert das Ausdrucken genauso lange, wie wenn ich 10 mal im Jahr zu ihm gehe.
Das digital per PGP verschlüsselt zu bekommen ist beim ersten Mal aber enorm aufwendig. Ich schicke dem Arzt meinen PGP-public-key zu, er stellt sicher, dass es auch wirklich meiner ist (beim Termin liest er mir den Pingerabdruck vor und ich nicke) und dann hinterlegt er den bei mir zu meiner E-Mail-Adresse.
Dann kann was gesendet werden. Bis der Schlüssel abläuft und ich einen neuen ausgebe.
Ich glaube, das ist zu aufwendig für den schnell-schnell-Betrieb, der heute in der Patientenabfertigung herrscht. Die Ärzteschaft geht da wegen 30 Sekunden Aufwand zu viel auf die Barrikaden…
Und was macht man mit Software Anbietern, die sich Microsoft verschrien haben und on-premise Schnittstellen nur mit Outlook sauber laufen? DATEV ist da so einer. Kein kleiner, wenn mittels deren Software 14 Mio. Abrechnungen monatlich erstellt werden. Da kommt man mit Thunderbirds nicht arg weit und wer im M365 Kosmos mit Teams und Co. arbeitet, wird nicht Thunderbird nutzen. Ja, kann man sagen: wer ist denn so blöd – es gibt genug Unternehmen, die nicht open source fahren.
Was helfen alle technischen Lösungen für mehr Datenschutz, wenn der digitale Kram schon jetzt für das medizinische Personal zu komplex ist, so dass es zu ganz trivialen Fehlern kommt? Die Ärzte und ihr Team haben neben der Computerei ja noch eine kleine Nebenbeschäftigung.
Unlängst hakte ich bei meiner Hausarztpraxis – immer ganz vorn, wenn es um Digitalisierung geht – nach, weil ein versprochener Rückruf ausgeblieben war. Wie sich herausstellte, hatte mich der Doktor telefonisch nicht erreicht und deshalb eine Mail geschickt. An eine völlig fremde Adresse, die aus einem erkennbar anderen Eigennamen bestand: einfach falsch eingetragen oder bei der Migration auf die nächste allerneueste Praxissoftware vertauscht und dann ohne Nachdenken verwendet. Nun weiß diese fremde Person also meinen Namen und Blutwert und ich kenne deren Mailadresse, die mich nichts angeht. Datenschutz wie beim Dorfbader.
Selbst der deutsche Bundesdatenschutzbeauftragte und der Landesdatenschutzbeauftragte Baden-Württemberg senden entgegen ihrer eigenen Datenschutzhinweise im Internet personenbezogene Daten unverschlüsselt per E-Mail. Hoppla!
Ich nutze wieder "Brief". Das Format? DIN A4, Schriftart Courier im DIN C6 Umschlag mit handgeschriebener Adresse. Die Schreibmaschine wäre ein echter Datenschutzgewinn.
Das Gesundheitswesen braucht funktionale Lösungen, die qualifizierte Spezialisten zur Verfügung stellen müssen. Und Patientendaten weiter abseits vom Computer für den Fall der üblichen Hackerangriffe und anderen Systemausfälle, die wir ja überall immer wieder erleben.
Deinen Namen und Dein richtiges Geburtsdatum!
Wenn Du bei Google zum Schutz vor Idetitäts Klau ein falsches Datum angeben hast(was ja üblich und sinnvoll ist) , kann Google den Account jetzt schließen. (Du könntest den Account ja zur Geldwäsche nutzen.)
Ich verstehe nicht so ganz, warum immer wieder auf dem Fax herumgehackt wird. Die Bremer Aussage bezog sich auf den Weiterversand per E-Mail (z.B. mit Fritzbox) Das ist unsicher. Aber wenn noch ein Faxgerät in der Ecke steht? Ist die Übertragung von Fax zu Fax übers Internet unsicher?
Theoretisch JA.
Es gibt keine analogen (unverschlüsselten 1:1) Verbindungen mehr.
Inzwischen wird alles ( Surfen, Email, Telefonieren, "Fernsehen", Teams+Zoom ) Paket-weise übers Internet übertragen.
Bei einigen Anwendungen wie Surfen haben verschlüsselten Verbindungen inzwischen die Oberhand ( wenn persönliche Daten im Spiel sind ).
Auch bei Emails wird die Verbindung zum Provider inzwischen regelmäßig verschlüsselt – bei den Providern untereinander bin ich mir da nicht so sicher.
Wo Verschlüsselung aber keine Rolle spielt sind "FAX" Übertragungen.
Das heißt die Daten können abgegriffen werden.
Beim Telefonieren sieht kaum besser aus.
Auch da sind es eigentlich nur noch VOIP Verbindungen.
Selbst wenn man weiß das die Verbindung zum eigenen Provider verschlüsselt werden, weiß man nicht wie es auf der Gegenseite aussieht.
( Wir haben auch noch ein paar Gigaset VOIP Geräte die keine verschlüsselten Verbindungen unterstützen …)
Das neuere Smartphone ist Unsinn. Ich habe ein solches für das es nie eine App geben wird. Ohne goggle und apple.
Ich habe gar kein Smartphone mehr.
Die Digitalisierung in Deutschland funktioniert doch!?
Z.B. kann man einen Mahnbescheid elektrorisch einreichen, wenn man eine DE-Mail-Adresse hat(und dessen Anbieter sie noch betreibt). Wer nun glaubt der angebliche Schuldner (AKA: Oft unbescholtener normaler Bürger) könne auf diesem Weg auch Widerspruch einlegen sieht sich enttäuscht.
Immerhin darf er auch ohne Formular widersprechen, auch per Fax "zur Wahrung von Fristen"…
Fax ist OK, ePA nicht?
Wozu hat er eigentlich einen elektronischen Personalausweis genannt "Neuer Personalausweis" mit eID?
Man sieht wo die Prioritäten gesetzt werden.
Da wo -privat- schnell und einfach viel Geld verdient werden kann.
Bekomme ich dann das neue Smart Phone alle 2 Jahre von der Kasse bezahlt?
oder
wie ist "neu" definiert?
Doch wohl mit "aktuell gepatcht", denn es geht ja um die daten-Sicherheit der höchste Stufe?…
und unserer Regierung schreibt ja nur einen 2jährigen Updatezwang vor.
BTW:
Wie überträgt man eigentlich einen QR-Code per SMS?
Was vielen nicht bewußt ist:
Die Abrechnung im System der gesetzlichen Krankenkassen ist "eigentlich" "ursprünglich" man voll anonym gestaltet worden:
Der Arzt sammelt die Rezepte und schickt sie gebündelt an "seine" Kassenärztlichvereinigung(KV).
Die prüft auf formale Richtigkeit (und heute grob auf Plausibilität, was aber schon die Arztsoftware gemacht hat) und summiert die Rezepte aller Ärzte je Kasse auf.
Die KV fordert dann diesen "Pool" von jeder Krankenkasse(KK) ein und zahlt die Summe entsprechend an die Ärzte aus.
Die Krankenkase (KK) weiß somit (ursprünglich) nicht, welcher Arzt wieviel wofür abgerechnet hat, und welcher Patient welche Kosten verursacht hat.
So ist es z.B. für Medikamenten-Abhängige kein Problem, sich im Monat zig Rezepte zu holen bei verschiedenen Ärzten und Apotheken einzulösen (die auch per "Pool" abrechn(et)en.
So war einst der Plan:
Die Ärzte wollten nicht kontrolliert werden (vgl. Betrug durch Abrechnung längst verstorbenere Pateiten, was den Kassen ja nicht auffallen konnte(!), da sie ja die Daten der Patienten nicht hatte.)
Inzwischen wurde dieser absolute Datenschutz (u.a. wg. o.g. wohl reichlich genutztem,
da straffreien Anrechungsbetrugs) aufgeweicht.
(Übrigens können auch Krankenhäuser immer noch zuviel abrechen. Wenn sie es übertreiben, müssen sie nur die Differenz erstatte, es gilt nicht als strafrechtlich relevant..)
Da liegt immer noch einiges -gewollt- im Unreinen.
Die schönste Art Geld auszugeben:
"Das Geld anderer Leute für sich."
Das ist völlig falsch. Rezepte gehen an die Apotheke und von dort zum Apothekenrechenzentrum.
Jedes Rezept wird von den Kassen kontrolliert, allerdings ist das mühsam, deshalb gibt es dafür externe Dienstleister. Diese werden wahrscheinlich nach den Einsparungen bezahlt, deshalb werden etliche Rezepte 'retaxiert', dh. der Apotheker kriegt gar nichts.
Für die Abrechnung gilt fast das, was Du sagts, deshalb ist es auch so schwierig, abgerechnete Tote herauszufinden.
Allerdings fordert die KV kein Geld auf Grund der Abrechnung, sondern am Jahresanfang wird eine Kopfpauschale mit den Kassen verhandelt. Ob und wieviel Patienten zum Arzt gehen ist geldmäßig völlig irrelevant.
Interessant ist auch noch folgendes: bei der Arbeitsunfähigkeit sollte die Krankenkasse die Durchschrift des Formulars bekommen – und damit auch die Diagnose. Das ist aber nur nötig. wenn die AU länger als 6 Wochen läuft. Bislang hatte man die Wahl – bei 1 Woche Infekt brauchte man die AU nicht zur Kasse zu schicken.
Das ist vorbei. Mit elektronischer AU geht immer automatisch die AU zur Kasse inklusive der Diagnose(n).
Kleine Ergänzung – die Kollegen von heise haben aktuell den Beitrag E-Rezept aus der Sicht eines Apothekers: "Bisher keine Verbesserung erkennbar" veröffentlicht. Teilweise ganz aufschluss reich, welcher Moloch da gefüttert wird.
ja, so ist es. Dafür wurde die Überprüfungsquote der KH von Spahn drastisch reduziert (es sind jetzt 5 oder 10%). D.h. 90% oder mehr dürfen nicht mehr geprüft werden.
Was alle beim Fax vergessen ist das viel größere Problem der fehlenden Fehlerkorrektur! Ich kann nicht mehr sicherstellen ob der Befund-/Arztbrief überhaupt so ankommt wie gedacht. Wenn bei einem Medikamenta us einem µg auf einmal ein g wird merkt das im Zweifel keiner.
Wir (Krankenhaus in Do) haben bei uns 2020 ein Mailgateway eingerichtet, hilft allerdings wenig da weder Krankenkassen (bis auf Ausnahmen) noch Ärzte oder Anwälte entsprechende Systeme eingerichtet haben und deren Dienstleister, sofern vorhanden, keine Ahnung haben was man von ihnen will. Die Anmeldung im Webportal (Fallback zum abrufen der Mails) scheint nicht zumutbar zu sein… zumindest verhalten sich alle Externen so und Behörden verweigern es generell Mails mit Link (immerhin gültig signiert) zu öffnen, da schreibt man lieber Mahnungen das man irgendwelche Fristen versäumt haben soll.
Wir könnten jetzt parallel noch das Thema Mailarchivierung ansprechen, dann wird es noch düsterer in DE.
Zur rechtssicheren Mailarchivierung sollte demnächst ein (externer) Post kommen.