KS-Newsletter

Der datenschutzkonforme Umgang mit E-Mails in der Arztpraxis

Arzt am Schreibtisch verschickt E-Mail

E-Mails und Chat-Nachrichten sind längst in unserem Alltag angekommen. Sie ermöglichen eine viel schnellere und einfachere Kommunikation. Wie selbstverständlich erwarten Patienten daher mittlerweile, auch mit ihrem Arzt über die modernen elektronischen Kommunikationsmedien zu kommunizieren und nicht per Post, Fax oder Besuch vor Ort. Aber ist es hier genauso einfach wie im Leben außerhalb der Praxis? Oder gibt es im Zusammenhang mit der medizinischen Schweigepflicht doch Besonderheiten zu beachten? Welche sind das? Und wie bedeutend sind sie? Diese Fragen erläutern wir in diesem Beitrag.

Inhaltsverzeichnis

Die Medizinische Schweigepflicht nach § 203 Strafgesetzbuch (StGB)

Patient sitzt vor Laptop und versendet E-Mail an einen Arzt.
Patienten schicken heute wie selbstverständlich E-Mails an ihre Arztpraxis, für Terminvereinbarungen, wegen der Ergebnisse von Blutuntersuchungen oder um Befunde zu übermitteln – und sie erwarten eine zeitnahe Antwort von der Praxis über denselben Kommunikationsweg. Doch das ist leider aus erheblichen Datenschutz- und Technik-Gründen nicht so einfach. Die Mitarbeiter der Praxis dürfen nicht einfach auf Antworten klicken und frei schreiben, wie sie sich mit dem Patienten im direkten Gespräch unterhalten würden: Eine einfache E-Mail ist wie eine elektronische Postkarte – „jeder“ (d.h. vor allem Hacker) können den Inhalt der E-Mail ohne Weiteres lesen – wie der Postbote die Rückseite der Postkarte. Und das ist im Zusammenhang mit der medizinischen Schweigepflicht verboten.

Die medizinische Schweigepflicht nach § 203 Strafgesetzbuch (StGB) muss im Umgang mit den Patientendaten jeder Zeit gewahrt werden:

  • gegenüber anderen Leistungserbringern wie anderen Arztpraxen, Krankenhäusern, Rehakliniken, etc.
  • gegenüber den Angehörigen des Patienten,
  • gegenüber anderen Patienten,
  • gegenüber allen weiteren Personen und Einrichtungen, die nicht Teil der eigenen Praxis sind, wie Versicherungen, Versorgungsamt etc. 

So gilt die Einhaltung der Verschwiegenheit für Gespräche in der Praxis, für Telefonate und für Briefe. Die Schweigepflicht darf nur durchbrochen werden, wenn eine freiwillige Einwilligung des betroffenen Patienten vorliegt, in der er erklärt, welcher Person bzw. welchem Unternehmen gegenüber die Arztpraxis Auskunft geben darf. Im medizinischen Kontext wird die Einwilligung auch meist als „Entbindung von der Schweigepflicht“ bezeichnet.
Die Schweigepflicht muss aber nicht nur auf den bisherigen Kommunikationswegen eingehalten werden, sondern auch und gerade auf technischem Weg– also bei E-Mails, Chats, Website-Formularen etc. Das bedeutet, dass auch bei der elektronischen Kommunikation sichergestellt werden muss, dass die Informationen über den Gesundheitszustand des Patienten Unbefugten nicht zugänglich werden. Unbefugte sind auch hier Angehörige des Patienten, aber auch und vor allem Hacker. Für Hacker ist es technisch ein Leichtes, an den Inhalt von E-Mails zu gelangen, diesen zu verwerten oder auch zu ändern.

Üblicherweise werden E-Mails mittlerweile während des Transports mit TLS (Transport Layer Security) verschlüsselt – das ist ein Schutz während der technischen Übertragung einer E-Mail. Die Vorgängertechnik war bekannt als SSL (Secure Sockets Layer).

Für den gewöhnlichen E-Mail-Austausch reicht diese Verschlüsselungsart aus, d.h. für Terminabsprachen mit Lieferanten, Bestellungen usw. Allerdings kann dieser Schutz durch Man-in-the-Middle-Angriffe von Hackern recht leicht ausgehebelt werden. Daher ist TLS kein ausreichender Schutz für den E-Mail-Kontakt mit Patienten.

Verschlüsselungspflicht gemäß Art. 32 DSGVO

Für einen sicheren Mail-Verkehr mit Patienten ist laut BSI (Bundesamt für Sicherheit in der Informationstechnik) eine AES-Verschlüsselung mit mindestens 256-Bit Pflicht. Außerdem geht auch aus Art. 32 DSGVO eine Verschlüsselungspflicht hervor. Eine solche Verschlüsselung wird üblicherweise über ein Zusatzprogramm im bestehenden E-Mail-Programm realisiert, wie ein zusätzlicher Button in Outlook mit Schnittstelle zu dem Verschlüsselungsprogramm. Häufig handelt es sich bei diesen Programmen um Software, die auf dem eigenen Server installiert wird. Sie funktionieren als Plattform-Lösungen, bei der die eigentliche Nachricht auf dem Server verbleibt und der Empfänger lediglich eine E-Mail erhält, dass eine Nachricht bereitliegt. Mit Klick auf den Link in der E-Mail gelangt er zur Nachricht, wo er – wahlweise, aber auch bei Patientendaten nicht zwingend erforderlich – ein Passwort eingeben muss, um die Nachricht abrufen zu können. Der Haken an dieser Software: Die gut funktionierenden und anwenderfreundlichen Lösungen sind alle kostenpflichtig – zumindest soweit uns bisher bekannt.

Ein leichtfertiger Umgang kann tiefgreifende Probleme nach sich ziehen!

Hacker am Computer

Und wenn schon, dann wird eben eine E-Mail mit Patientendaten abgefangen. Was soll schon groß passieren?“ wird sich der ein oder andere jetzt denken. Abgesehen von der Tatsache, dass der Blick hier nicht nur darauf gelenkt werden darf, wie viel Schaden entstehen kann, sondern auch dass ein Berufsgeheimnisträger per se gegen seine beruflichen Pflichten verstößt, kann da so einiges passieren – und ist auch schon in Arztpraxen passiert:

  • Hacker haben E-Mails abgefangen, die E-Mails um verseuchte Anhänge ergänzt und der Praxis neu zugestellt. Die Gefahr ist groß, dass nicht erkannt wird, dass eine solche Mail nicht von dem Patienten stammt – und dann die Anhänge angeklickt werden.
  • Hacker haben Texte aus Mails abgefangen, abgeändert, der Praxis neu zugestellt und wollten dadurch die Praxis verleiten, eine vermeintliche, dringende Rechnung zu zahlen, eine vermeintliche Bewerbung zu öffnen, etc.
  • Hacker verwenden die Inhalte aus den E-Mails im Sinne des Social Engineering, um Informationen für einen Identitätsdiebstahl zusammenzustellen. (Achtung: Der Begriff „Social Engineering“ hat nichts mit dem (Diplom-)Ingenieur zu tun. Es handelt sich vielmehr um Spionagetechniken.)
Hackerangriffe auf jede Art von Unternehmen, auch auf Arztpraxen und andere kleine Unternehmen, sind mittlerweile Alltag. Sie finden ständig statt. Das entscheidende Kriterium ist, ob ein Angriff erkannt und dadurch abgewehrt wird oder nicht. Daher tendierten Arztpraxen in der Vergangenheit eher dazu, auf das Mailen ganz zu verzichten. Doch das wird in Anbetracht der steigenden Patientenzahlen immer schwieriger, weil die Praxen der Aufgabenmenge nicht mehr gerecht werden können. Der schlimmste Fall wäre es, doch einfach Befunde an Patienten zu mailen ohne jegliche weitere Schutzvorkehrung.

Nur eine rechtskonforme Einwilligung bietet einen wirksamen Schutz

Dabei kann ein Schutz nicht immer nur technisch gestaltet sein. Schutz für ein Unternehmen kann auch eine organisatorische Vorsichtsmaßnahme sein: z. B. eine Einwilligung des Betroffenen. Aber langsam: Die meisten Einwilligungen, die in Arztpraxen eingesetzt werden, in denen Patienten um ihre Zustimmung zu Mails gebeten werden, sind nicht rechtskonform – sie stellen also keinen wirksamen Schutz dar. Die Arztpraxis verstößt dann also trotz Formular gegen die Schweigepflicht. In der Regel sind die Formulare einfach zu kurz. Um eine angemessene Einwilligung einholen zu können, muss der Betroffene zunächst ausführlich über das Vorhaben und die damit verbundenen Risiken informiert werden. Erst dann kann er eine Wahl treffen und ein so genanntes „informed consent“ abgeben. Außerdem muss die Einwilligung freiwillig erfolgen – andere Kommunikationswege wie Brief, Fax oder Telefon dürfen nicht ausgeschlossen werden.

Eine ausführliche Aufklärung der Betroffenen ist Pflicht

Eine angemessene Einwilligung ist also etwas umfangreicher. Vor allem muss der Patient explizit über das Risiko informiert werden, dass es sich bei den personenbezogenen Daten über seinen Gesundheitszustand gemäß Art. 9 DSGVO um besondere personenbezogene Daten handelt, die einem erhöhten Schutzbedarf unterliegen.

Die Risiken, die mit dem Versand solcher E-Mails verbunden sind, müssen explizit erwähnt werden, z.B. die unbefugte Kenntnisnahme und Verwertung der E-Mail-Inhalte durch Dritte, beispielsweise durch Abfangen von E-Mails, bzw. auch der Zugriff auf das von ihm angegebene E-Mail-Postfach z.B. durch Familienangehörige. Werden die Risiken verschleiert, ist die Einwilligung hinfällig.

Der Patient muss auch bestätigen, dass ihm diese Risiken bewusst sind und er sie akzeptiert. Er muss zudem die Praxis von ihrer medizinischen Schweigepflicht nach § 203 StGB entbinden. Oft fehlt in den Formularen, die  Arztpraxen einsetzen, aber auch einfach schon die E-Mail-Adresse, an die die Praxis überhaupt mailen darf.

Außerdem kann jede Einwilligung durch den Betroffenen auch jederzeit und ohne Angabe eines Grundes widerrufen werden. Sowohl der Widerruf als auch grundsätzlich die Einholung der Einwilligung ziehen folglich eine sorgfältige Planung der Praxisprozesse nach sich.

Das ist komplex. Eine ausführliche Information und Einwilligung durch den Patienten oder ein verschlüsselter Versand von E-Mails mit ausreichend hohen, technischen Schutzvorkehrungen sind aber bisher der einzige Weg für Arztpraxen, mit Patienten per E-Mail zu kommunizieren oder sich über den Patienten per E-Mail mit anderen medizinischen Einrichtungen auszutauschen. Zumindest so lange bis die TI (Telematik-Infrastruktur für das Gesundheitswesen) endlich entsprechende Features bereitstellt.

Die Konsequenzen sind weitreichend

Handelt eine Arztpraxis den angemessenen Schutzvorkehrungen zuwider, so macht sich der Inhaber, meist der Arzt, als Verantwortlicher im Sinne der DSGVO schuldig. Er haftet auch für Verstöße seiner Mitarbeiter, weil davon ausgegangen wird, dass Angestellte im Auftrag bzw. mit dem Wissen ihres Vorgesetzten handeln. 

Auch Geschäftsführer müssen über die Abläufe in ihren Betrieben informiert sein und dürfen sie nicht dulden. Es wurden bereits entsprechende Urteile gesprochen, in denen die Haftungsfrage bei Datenschutzverstößen geklärt wurde.

Besonders schwer kann das in Arztpraxen wiegen, weil neben den Anforderungen aus der DSGVO auch gegen die medizinische Schweigepflicht verstoßen wird. Eine fehlende oder unzureichende Information der Betroffenen oder eine fehlende oder unzureichende Einwilligung nach der DSGVO können Bußgelder von bis zu 4% des Vorjahresumsatzes der Praxis bzw. der Praxisgruppe nach sich ziehen. Auch ein Verstoß gegen die Schweigepflicht nach § 203 StGB kann ein Bußgeld, eine Geld- oder im schlimmsten Fall eine Freiheitsstrafe nach sich ziehen.

Geht es um Gesundheitsdaten sind die Behörden bei Mängeln und Verstößen leider wenig nachsichtig. Gemäß der DSGVO fallen Gesundheitsdaten unter ein erhöhtes Schutzniveau. Sie müssen also stärker geschützt werden als andere personenbezogene Daten, weil sie viel sensibler sind und der Schaden und die Auswirkungen bei Offenlegung gegenüber Unbefugten viel schlimmer für den Betroffenen ausfallen können.

Vor diesem Hintergrund sollte jede Praxis für sich also sehr gut abwägen,

  • ob sie doch auf das Mailen verzichten kann,
  • eine entsprechende Software installiert,
  • oder zumindest den Patienten angemessen informiert und um seine Einwilligung bittet.