E-Mails sind aus der Kommunikation mit Kolleg*innen und Patient*innen kaum noch wegzudenken. Ohne besondere Vorkehrungen sind E-Mails jedoch unsicher, da jede am Transport der Nachricht beteiligte Stelle auf die Inhalte zugreifen kann. Welche Wege eine Nachricht nimmt und wer diese dabei zu Kenntnis nehmen kann, ist weder von Absender*innen noch von Empfänger*innen erkennbar. Vertrauliche Informationen wie Arztbriefe, Befunde o.Ä. dürfen datenschutz- und berufsrechtlich per E-Mail daher nur versandt werden, wenn Maßnahmen zum Schutz vor unbefugter Kenntnisnahme ergriffen werden wie z.B. durch eine angemessene Verschlüsselung.
Pflicht zur Verschlüsselung nach DS-GVO
Praxisinhaber*innen sind als datenschutzrechtlich Verantwortliche nach Art. 24 Abs. 1 und Art. 32 DS-GVO verpflichtet, geeignete technische und organisatorische Maßnahmen für eine verordnungskonforme Verarbeitung der Patientendaten zu treffen. Nach Art. 32 DS-GVO ist dabei der aktuelle Stand der Technik zu berücksichtigen, d.h. technische Maßnahmen, deren Geeignetheit und Effektivität erwiesen ist. Als Stand der Technik sind insoweit die Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum IT-Grundschutz heranzuziehen. Diese sehen zum Schutz vertraulicher Inhalte bei der E-Mail-Kommunikation eine Verschlüsselung vor. Es ist Konsens, dass bei besonderen Kategorien personenbezogener Daten wie z.B. Gesundheitsdaten eine Verschlüsselung als geeignet, erforderlich und angemessen i.S.d. Art. 32 DS-GVO anzusehen ist.
In technischer Hinsicht sind unterschiedliche Verschlüsselungslösungen möglich (siehe z.B. https://www.datenschutz.rlp.de/themen/verschluesselung/). Für welche dieser Alternativen sich die Verantwortlichen entscheiden, obliegt ihnen. Auf jeden Fall müssen Verantwortliche bei einer von angebotenen E-Mail-Kommunikation tatsächlich in der Lage sein, eine nach dem Stand der Technik gebotene Verschlüsselung vorzunehmen.
Verzicht auf Verschlüsselung möglich?
Eine unverschlüsselte E-Mail-Kommunikation von Praxen mit Patientendaten entspräche insoweit nicht den Vorgaben der Datenschutz-Grundverordnung und stellt deshalb einen Verstoß gegen die Vorgaben des Datenschutzrechts dar. Ob ausnahmsweise Patient*innen gegenüber Praxen auf den Einsatz von Verschlüsselungslösungen bei einer E-Mail-Kommunikation rechtswirksam verzichten können, ist rechtlich umstritten. Denn die DS-GVO sieht in Art. 32 dies nicht vor. Vor dem Hintergrund hiervon abweichender Rechtsprechung lässt der LfDI derzeit allerdings zu, dass sich Betroffene mit der Versendung unverschlüsselter E-Mails einverstanden erklären können, nachdem die Verantwortlichen sie über die damit verbundenen Risiken informiert und alternative und sichere Kommunikationsmöglichkeiten tatsächlich angeboten haben (z.B. Verschlüsselung der E-Mail, postalisch, telefonisch). Dies muss seitens der Praxen nachgewiesen werden.
TIPP:
Wenn Patient*innen unaufgefordert Kontakt per E-Mail aufnehmen und keine anderweitigen Kontaktwege offenstehen, sollte per E-Mail auf alternative Kommunikationsmöglichkeiten (z.B. „Bitte melden Sie sich telefonisch unter…“) hingewiesen werden. Bei Beantwortung derartiger E-Mails, sollten die Inhalte der E-Mail des/der Patient*in aus dem Anhang gelöscht werden, damit diese nicht nochmals verschickt werden.
Verschlüsselungslösungen
Im Nachfolgenden ist dargestellt, wie auf einfache Art und Weise die notwendige Vertraulichkeit hergestellt werden kann. Es obliegt den Praxisinhaber*innen selbst zu entscheiden, welche dieser Lösungen sie konkret einsetzen. Maßgebliche Faktoren können z.B. die Regelmäßigkeit der elektronischen Kommunikation, der mit der einzelnen Lösung aus Sicht der Praxis verbundene Aufwand oder der Grad der Professionalität der jeweiligen Adressat*innen sein.
Verschlüsselung mit Hilfe von "7-Zip"
Dabei handelt es sich um ein frei nutzbares Kompressionsprogramm für Windows Betriebssysteme zur Erzeugung so genannter "Archive". Ein Archiv ist besonders geeignet, um gleich mehrere Dateien zu einer verschlüsselten Datei zusammenzufassen. Es bietet unter anderem die Möglichkeit, ein Archiv mit einem Passwort zu versehen. Eine auf diese Weise verschlüsselte Datei kann danach per E-Mail verschickt werden. Die Empfänger*innen benötigen lediglich ein beliebiges Programm, welches das gewählte Kompressions-Format unterstützt (z.B. WinZIP, 7-Zip, IZArc), sowie die Kenntnis des verwendeten Passworts (siehe unten). Für andere Betriebssysteme wie macOS, Linux, iOS oder Android stehen kompatible Softwarelösungen zur Verfügung, so dass durch eine so verschlüsselte Datei auch ein vertraulicher Austausch zwischen Windows-PC und Mac-Rechnern oder mit Smartphones und Tablets möglich ist.
Verschlüsselung mit Hilfe von "GnuPG"
GPG4win (GNU Privacy Guard for Windows) ist ein Kryptografiepaket zum Verschlüsseln und Signieren unter Windows. Mit GPG4win können E-Mails, Dateien und Datei-Ordner ver- und entschlüsselt sowie ihre Integrität (Unveränderbarkeit) und Herkunft (Authentizität) abgesichert werden. GPG4win und die darin enthaltenen Komponenten sind freie Software (OSS). GPG4win wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Auftrag gegeben. Für den Einsatz auf bzw. den Austausch mit Apple-Systemen unter OSX steht die kostenfreie Lösung GPG-Tools zur Verfügung.
GPG4win ist im Vergleich zur vorherigen Lösung etwas aufwändiger in der Handhabung, bietet dafür aber eine hochwertigere Verschlüsselung und erfordert konzeptionell bedingt keinen direkten Austausch der Schlüssel oder eines Passwortes. Insbesondere bei einem regelmäßigen und häufigen Austausch mit anderen Personen oder Stellen bietet es beiden Seiten eine sehr einfache Möglichkeit, die Kommunikation angemessen abzusichern.
Verschlüsselung durch passwortgeschützte PDF-Dateien
Hier bieten sich der Adobe Acrobat oder der frei erhältliche PDF24 Creator als Möglichkeiten an. Beim Programm PDF24 Creator wird das zu verschlüsselnde Dokument dem „PDF Drucker Assistent “ übergeben. Anschließend wählt man „Speichern als“ und kann dann unter dem Menüpunkt „Sicherheit“ den Unterpunkt „Dokument schützen“ wählen. Es kann dann ein Passwortschutz für einzelne Aktionen (zum Beispiel: „Drucken“, „Bearbeiten“) erstellt werden, aber auch das „Öffnen des gesamten Dokumentes“ kann passwortgeschützt erfolgen. Hierfür kann unter „Passwort zum Öffnen“ ein Passwort eingegeben werden. Abgeschlossen wird die Verschlüsselung mit „Weiter“ und „Speichern“ des jetzt besonders geschützten Dokuments. Es besteht schließlich auch die Möglichkeit, ein bereits bestehendes PDF einfach über die Toolbox entsprechend zu verschlüsseln. In jedem Fall ist darauf zu achten, dass die Verschlüsselungsmethode AES mit einem 256 Bit Schlüssel (AES-256) angewendet wird.
Passwortgestaltung und -übermittlung
Die hier angesprochenen einfach zu bedienenden Programme wie 7-Zip oder auch ein PDF mit einem Passwortschutz benötigen ein geeignetes Passwort und vor allem dessen sichere Übermittlung an die Patientin. Neben einem entsprechend komplexen Passwort (mind. zwölf Zeichen lang, mit Groß- und Kleinschreibung, Zahlen und Sonderzeichen) kann es sich auch um eine Kombination aus einer Patientenkennung und einem individuellen Zusatz zur Erfüllung der gebotenen Komplexität handeln.
Am einfachsten sind die einmalige Festlegung und das Festhalten des individuellen Passwortes bei der Neuaufnahme zu Behandlungsbeginn. So kann es präsenten Patient*innen auch gleich vor Ort in der Praxis mitgeteilt bzw. mitgegeben werden, so dass eine telefonische oder briefliche Übermittlung entbehrlich wird. Für bereits bestehende Patienten*innen kann die Festlegung des Passworts beim nächsten Praxisbesuch nachgeholt werden. Keinesfalls sollte das Passwort per Mail versendet werden.
Tipp:
Je nach Form der Übermittlung kann ein einfacheres, aber dafür längeres Passwort auch mit sogenannter Diceware (https://de.wikipedia.org/wiki/Diceware) „gewürfelt“ werden. Zur Erreichung der gebotenen Komplexität kann es um Großschreibung, eine Zahl und ein Sonderzeichen ergänzt werden. Ein solches Passwort kann einfacher telefonisch übermittelt werden und ist in der Regel auch bequemer einzugeben.
Check
- Sollen personenbezogene Informationen im Praxisbetrieb elektronisch verschickt werden? Dann müssen diese für die Übertragung verschlüsselt werden.
- Mit den Empfänger*innen sollte die Art der Übertragung/Verschlüsselung abgestimmt und ein Schlüssel vereinbart werden.
- Lösungen, die lediglich eine Verschlüsselung zwischen den Mail-Anbieter*innen gewährleisten (z.B. wie „E-Mail ´Made in Germany´“) reichen nicht aus, da die E-Mails auf den Mailservern der Provider im Klartext vorliegen bzw. von diesen eingesehen werden können.
- Empfängerseitig ist eine Prüfung eingehender Mails auf etwaige Schadsoftware (Computerviren, Trojaner usw.) unverzichtbar.
- Die verwendeten Schlüssel sind vor unbefugtem Zugriff geschützt aufzubewahren und sollten in gewissen Abständen gewechselt werden.