Datenschutz im Gesundheitswesen: Kommunikation mit gutem Gewissen
– Rebecca Jeffares –
Obwohl die Digitalisierung stetig fortschreitet und neue Wege beschritten werden, wird im Gesundheitswesen weit verbreitet standardmäßig noch zum Faxgerät gegriffen, um Arztbriefe & Co. zu verschicken. Datenschutzrechtliche Bedenken dieser Versandart stoßen hier auf jahrzehntelang antrainierte Verhaltensmuster und bewährte Vorgehensweisen im Arbeitsalltag. Muss das Fax nun komplett aus der Arztpraxis verschwinden?
Nicht unbedingt. Denn trotz der Risken gibt es Wege Faxe datenschutzkonform zu versenden. Hierzu ist es wichtig sich mit der Übertragung und Funktionsweise des verwendeten Faxgerätes näher auseinanderzusetzen.
Welche Übermittlungsarten von Faxen gibt es?
Unverschlüsselte Übermittlung: Hier findet eine unverschlüsselte Übermittlung über die Telefonleitung statt. Diese kann – wie Telefongespräche auch – von Dritten abgehört werden. Folgt man der Meinung der Datenschutzbehörden, dann ist diese Übermittlung mit dem Versand einer Postkarte gleichzusetzen.
IP-basierte Datenübermittlung (All-IP): Die Datenübertragung findet über das IP-Protokoll, als Datenpakete über das Internet statt. Hier bestehen die selben Sicherheitsbedenken wie beim Versand von Gesundheitsdaten mittels einfacher E-Mail.
Welche Risiken bestehen beim Faxversand?
Rufumleitung oder falsche Nummer
Ohne dass es der Versender merken würde, kann es vorkommen, dass der Empfänger eine Rufumleitung eingerichtet hat und somit das Fax nicht an dem Ort herauskommt, für den es bestimmt war. Auch ist die Gefahr sich bei der Eingabe der Nummer zu vertippen groß.
Zugriff auf Faxgerät
Der Absender kann nicht kontrollieren, wer Zugriff auf das Faxgerät hat und wer das Fax aus dem Gerät nimmt. Bei einem E-Mail-Postfach z.B. ist eine höhere Sicherheit gegeben, was die Zugriffsmöglichkeiten betrifft. Ein E-Mail-Postfach hat zugewiesene Benutzer(gruppen).
Schnittstelle für die (Fern-)Wartung
Faxgeräte besitzen meist Schnittstellen, über die auch die Wartung stattfindet. Diese Zugänge sind zumeist nur mit einem Standard-Passwort gesichert. Zumal sieht man diese Einstellungen/Zugriffe dem Faxgerät äußerlich nicht an, sondern muss „ins Innere“, um Einstellungen vorzunehmen oder sie überhaupt erst zu erkennen.
Interne Festplatten
Hier besteht nicht nur das Risiko eines Zugriffes, sondern auch die Möglichkeit, dass Daten länger gespeichert werden als es datenschutzrechtlich konform wäre.
Sollte also nun die E-Mail oder der Postweg Ihr bevorzugtes Mittel der Wahl sein?
Absolut. Faxe sollten nur in Ausnahmefällen versendet werden, denn die Risiken sind nicht von der Hand zu weisen. Bei Versendung von Informationen, die personenbezogene Daten beinhalten sollte E-Mail oder Brief sollte die bevorzugte Möglichkeit sein.
Ausnahmen
Ist ein Faxversand ausnahmsweise zulässig, muss sichergestellt werden, dass Adressat und Faxnummer (insbesondere die Aktualität gespeicherter Nummern) kontrolliert werden und die Übersendung beim Adressaten telefonisch angekündigt wird, sodass auch dort nur Berechtigte von den Daten Kenntnis nehmen können.
Weiterhin wird das Fax als ein legitimes Mittel zur Fristwahrung angesehen. Gleiches gilt für die Übermittlung in eilbedürftigen Fällen. Dies sind Ausnahmefälle. Das Fax sollte keine Lösung für die Standardkommunikation darstellen. In jedem Falle sind Sende- und Empfangsprotokolle zwecks Dokumentation gesichert aufzubewahren.
Anfragen von Dritten sowie Auskünfte an Krankenkassen, die nicht auf den vereinbarten Vordrucken erteilt werden, dürfen nur mit schriftlicher Einwilligung des Patienten per Fax übersandt werden.
Stellt sich hierbei nur die Frage: wie praktikabel ist diese Vorgehensweise in der Praxis?
Gesundheitsdaten von Patienten sollten am besten per Briefpost oder mit verschlüsselter E-Mail verschickt werden. Bei der Versendung von Patientendaten per Fax ist besondere Vorsicht geboten. Faxfehlversand durch Wählfehler und Irrläufer sind im Zweifel meldepflichtige Datenpannen!
Was bei E-Mails zu beachten ist
Welche Wege eine E-Mail im Internet nimmt und wer diese Kommunikation dabei zur Kenntnis nehmen kann, ist weder vom Absender noch vom Empfänger beeinflussbar. Vertrauliche Informationen wie Arztbriefe, Befunde etc. dürfen deshalb über das Internet per E-Mail nur versandt werden, wenn Maßnahmen zum Schutz vor unbefugter Kenntnisnahme ergriffen werden. Eine geeignete technische Maßnahme ist hier die Verschlüsselung. Diese ist bei Kommunikation mit externen Dritten notwendig und sollte auch bei Kontaktformularen im Internet bedacht werden. Gesundheitsdaten dürfen zu keiner Zeit beim Provider im Klartext vorliegen.
Eine Übermittlung von Gesundheitsdaten wie Diagnosen, Krankheitsverläufen, Arzt- und Befundberichten, radiologischen Bildern oder Symptombeschreibungen per einfacher E-Mail ist daher nur dann vertretbar, wenn die „Umstände der Verarbeitung“ (vgl. Art. 32 DSGVO) den Verschlüsselungsverzicht rechtfertigen. Dies kann zum Beispiel bei medizinischen Notfällen aufgrund der Dringlichkeit oder bei wechselndem Auslandsaufenthalt des Patienten mangels Erreichbarkeitsalternativen der Fall sein.
Hinweis: Solche Ausnahmefälle sind zu dokumentieren.
Lediglich einfache Terminanfragen und -absagen, die neben dem Patientennamen und dem Kalenderdatum des angefragten/abgesagten Termins keine Gesundheitsdaten enthalten, dürfen aufgrund ihrer vergleichsweise geringen Sensibilität generell unverschlüsselt übermittelt werden.
FAZIT: Was ist nun vertretbar und was nicht?
Sie sollten sich im Klaren sein, was Sie verschicken und an wen und wie sensibel diese Informationen sind. Würden Sie diese Daten auch per Postkarte versenden, sodass Sie jeder einsehen kann? Sollte Ihre Antwort hierauf „Nein“ lauten, dann ist eine erhöhte Sicherheitsstufe gefragt. Schauen Sie sich Ihr Faxgerät an und machen sich vertraut damit, wie die Daten übermittelt werden. Und nutzen Sie es nur, wenn Brief oder E-Mail keine Alternative sind. Aus den oben genannten Risiken ist es nicht ratsam das Faxgerät als Standardversandgerät zu benutzen. Behandeln Sie es wie ein Sonntagskleid, welches nur hin und wieder zum Einsatz kommt, aber niemals Alltag wird.
Benötigen Sie Unterstützung?
Sollten Sie sich unsicher sein, wie Sie die Faxkommunikation in Ihrem Unternehmen am besten handhaben können, dann zögern Sie nicht, uns zu kontaktieren.