Die E-Mail ist zwischenzeitlich im Gesundheits- und Sozialwesen das Kommunikationsmittel schlechthin. Zahlreiche Praxen, Kliniken und MVZs versenden täglich reihenweise Mails mit personenbezogenen Inhalten, die dann besonders schutzwürdig sind, wenn Gesundheitsdaten von Patientinnen und Patienten per Mail transferiert werden. Eine nicht verschlüsselte E-Mail hat das Schutzniveau einer Postkarte. Cyberkriminelle können ohne Weiteres Inhalte mitlesen, kopieren oder manipulieren. Häufig werden Einrichtungen des Gesundheitswesens mit abgefangenen Daten erpresst, was Lösungsgeldforderungen oder Imageverlust zur Folge haben kann.
Die Bundesärztekammer fordert den Einsatz verschlüsselter Verfahren
In ihren Hinweisen und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis fordert die Bundesärztekammer: „Übermittelt der Arzt patientenbezogene Daten über ein öffentliches Datennetz (Internet), so ist sicherzustellen, dass der Zugriff Unbefugter auf die Dokumente ausgeschlossen ist. Die zu übermittelnden Daten sollten daher durch ein hinreichend sicheres Verfahren verschlüsselt werden […].“
Kann ich die Patienten fragen, ob Sie mit dem unverschlüsselten Versand einverstanden sind?
Von diesem Vorgehen raten die Datenschutz-Aufsichtsbehörden ab, auch dann, wenn der Patient im Vorfeld über die Risiken aufgeklärt wurde und schriftlich in den Versand einwilligt. Sie bleiben als Einrichtung die datenschutzrechtlich verantwortliche Stelle und müssten sich im Falle einer Datenpanne das Argument gefallen lassen, dass der Patient die Risiken des offenen Datenversands trotz entsprechender Hinweise nicht vollumfänglich abschätzen konnte.
Wie sieht es mit kennwortgeschützten PDF- oder ZIP-Anhängen aus?
Der Versand von kennwortgeschützten Anhängen ist relativ einfach und wird von kleinen Einrichtungen häufig als Mittel der Wahl praktiziert. Datenschutzrechtlich ist das Verfahren die „zweitbeste Lösung“, da hier zwar die Inhalte des Anhangs (Inhaltsverschlüsselung), nicht jedoch die Mail selbst oder ihr Betreff verschlüsselt werden. In der Praxis aufwändig erweist sich das Zurverfügungstellen des Kennworts, um die Verschlüsselung aufzuheben. Dies sollte nicht mit der gleichen Mail, sondern im Idealfall auf anderem Weg (SMS, Telefon) durchgegeben werden.
Gibt es Verschlüsselungstechnologien, die sich in der Praxis gut bewähren?
Ja, zwischenzeitlich gibt es probate Technologien, die Sie verwenden können, um Ihre Mails zu verschlüsseln. Da die E-Mail-Verbindung selbst verschlüsselt wird, werden diese Verfahren als „Transportverschlüsselung“ bezeichnet und stellen ein höheres Schutzniveau dar, als die reine Inhaltsverschlüsselung.
Nachfolgend stellen wir Ihnen drei praxisbewährte Verfahren samt Vor- und Nachteilen vor:
- KIM
KIM (Kommunikation im Medizinwesen) ermöglicht es den teilnehmenden Einrichtungen, vertrauliche Inhalte verschlüsselt per E-Mail über die Telematikinfrastruktur (TI) auszutauschen, u.a. zwischen Ärzten, Zahnärzten, Psychotherapeuten und Apothekern.
KIM ist verfügbar, die Anwendung kann durch Anbindung an die TI sofort realisiert werden
vorteilhaft
- Hinreichend sichere Datenübertragung durch verschlüsselte end-to-end- Datenübermittlung (Vertraulichkeit)
- Empfänger und Versender sind eindeutig und können nicht manipuliert werden (Integrität)
- Die Datenübermittlung ist direkt aus der Praxissoftware oder dem Krankenhausinformationssystems möglich
nachteilig
- Eine sichere Kommunikation mit Patienten via E-Mail ist nicht möglich und derzeit nicht geplant
- SEPPmail
Mit SEPPmail wird das Versenden und Empfangen digital signierter und verschlüsselter E-Mails anhand eines integrierten und patentierten Verfahrens (Gina) für Spontanverschlüsselung eingesetzt. Diese Technologie benötigt auf der Empfängerseite lediglich einen Web-Browser und die Möglichkeit E-Mails zu empfangen, also einen E-Mail-Client und Internetzugang.
vorteilhaft
- Verschlüsselter E-Mail-Versand an Empfänger, die keine Verschlüsselungssoftware einsetzen (z. B. Patienten)
- E-Mails werden im gewohnten E-Mail-Programm empfangen und durch Eingabe eines Passworts entschlüsselt
- komfortable Lösung zur Übermittlung von E-Mails und auch größerer Datenanhänge
- Add-In z. B. für Outlook verfügbar
nachteilig
- Kosten
- Cryptshare für Outlook
Das serverbasierte System ermöglicht den Versand verschlüsselter E-Mails mit Anhängen – mit einem Klick und auch automatisch gesteuert ab einer festgelegten Dateigröße. Die Cryptshare E-Mail-Schutz-Klassifizierung erfordert, ausgehende Nachrichten abhängig von der Schutzbedürftigkeit der Inhalte in verschiedene Schutzklassen einzustufen. Abhängig von der gewählten Schutzklasse können bestimmte Übertragungswege und -einstellungen administrativ vorgegeben werden.
vorteilhaft
- Möglichkeit der datenschutzkonformen, sicheren Datenübermittlung an Jedermann
- Möglichkeit, sehr große Dateien an die Nachricht anzuhängen, bis zu mehreren Gigabyte; komplette Ordnerstrukturen können versendet werden.
nachteilig
- weniger komfortabel: Daten werden durch den Administrator klassifiziert; dadurch müssen vertrauliche Daten jeweils passwortgeschützt übermittelt werden.
- Das serverbasierte System erfordert eine Mindestabnahmemenge an Nutzer-Accounts
Fazit
Alle aufgezeigten Systeme eignen sich für den Versand verschlüsselter E-Mails, auch das bestehende Fax-Verfahren kann hierauf umgestellt werden. KIM eignet sich in besonders komfortabler Weise für die Korrespondenz zwischen den Nutzern, der Nutzerkreis hingegen ist begrenzt und schließt die E-Mail-Kommunikation mit den Patienten aus. Haben Sie weitere Fragen zur Verschlüsselung Ihrer Mails, schreiben Sie uns gerne an info@kraussakademie.de.
Wir prüfen gerne auch Ihre Website im Hinblick auf Datenschutzkonformität. Im Downloadbereich finden Sie ein spezielles Angebot.
Weitere Details zum Thema Mail-Verschlüsselung, Einsatz neuer Technologien, wie Videotelefonie oder Online-Konferenzsysteme, besprechen wir im Rahmen unseres Webinars „Sachkundelehrgang Datenschutz“ vom 23. bis 24.11.2021.
