· Fachbeitrag · Datenschutz
Vorsicht bei der Beantwortung externer Anfragen per E-Mail
von RA Tim Hesse, Kanzlei am Ärztehaus, Münster/Dortmund
| Kliniken und Krankenhausabteilungen erreicht regelmäßig die Bitte um Übersendung von Behandlungsunterlagen aus der Zeit stationärer Patientenaufenthalte. Der Versand von Entlassbriefen, Röntgenbefunden und Ähnlichem per E-Mail ist schnell und einfach möglich. Doch ist die Beantwortung externer Anfragen auf diesem Weg auch rechtlich zulässig? |
|
Gesundheitsdaten sind von der Datenschutzgrundverordnung (DSGVO) geschützte personenbezogene Daten. Weil sie von erheblicher Bedeutung sind und ihre Kenntnisnahme durch Unbefugte für Betroffene gravierende Folgen haben kann, stuft sie der europäische Gesetzgeber gemäß Art. 9 Abs. 1 DSGVO als besonders schutzwürdig ein. Grundsätzlich sind alle zu einer Patientenakte gehörenden Unterlagen und Informationen der Kategorie streng geschützter Gesundheitsdaten zuzuordnen. |
Ungesicherte Übermittlung birgt Gefahren
Die Übermittlung von Informationen in Text- oder Dateiform mit elektronischer Post (E-Mail) erfolgt grundsätzlich unverschlüsselt. Gesendete Daten gelangen dabei ungesichert auf oftmals unbekannte und ‒ je nach Mail-Dienstleister ‒ häufig im außereuropäischen Ausland angesiedelte Server. Sie können demnach vergleichsweise leicht in die Hände unbefugter Dritter und an Orte geraten, an denen der Datenschutz eine eher untergeordnete Rolle spielt. Die strengen Vorschriften der DSGVO sollen genau dies verhindern: Der unverschlüsselte Versand von Gesundheitsdaten ist danach grundsätzlich untersagt.
Die Patienteneinwilligung als Ausnahmefall
Art. 9 Abs. 2 DSGVO erlaubt die Verarbeitung von Gesundheitsdaten, zu der auch deren Speicherung und die Weitergabe zählen, nur in Ausnahmefällen ‒ zum Beispiel dann, wenn der Patient im Vorfeld einer Auskunftserteilung ausdrücklich in die Übermittlung seiner Daten per E-Mail eingewilligt hat.
Die Einwilligung eines Patienten (bzw. seines Erziehungsberechtigten oder gerichtlich bestellten Betreuers) kann sowohl im Zusammenhang mit einer konkreten Anfrage im Einzelfall als auch bereits vorsorglich bei der stationären Patientenaufnahme erklärt werden. So oder so ist die betroffene Person darauf hinzuweisen, dass der Datenversand per E-Mail ohne sogenannte End-to-end-Verschlüsselung risikobehaftet ist. Stimmt der Betroffene dem Versand trotzdem zu, ist die Auskunftserteilung auch auf diesem Weg rechtlich zulässig.
Anforderungen an die Einwilligungserklärung
Eine Einwilligungserklärung Betroffener sollte immer schriftlich eingeholt werden. Es empfiehlt sich die Ausgabe eines vorformulierten Einwilligungsformulars. Dessen Text muss inhaltlich leicht verständlich und t‒ beispielsweise durch Fettdruck, farbliche Hervorhebung oder Umrahmung ‒ formal von anderen Textpassagen abgesetzt sein.
Die DSGVO stellt darüber hinaus strenge Anforderungen an die Bestimmtheit der Einwilligungserklärung. Sie muss sich ausdrücklich auf die unverschlüsselte Übertragung von Gesundheitsdaten per E-Mail beziehen. Die Erklärung muss selbstverständlich freiwillig erfolgen. Und der Betroffene ist darauf hinzuweisen, dass und wie er sie jederzeit widerrufen kann.
|
Einverständniserklärung zum Datenversand per E-Mail (ohne Gewähr für die Richtigkeit und Vollständigkeit)
Mir ist bekannt, dass die Datenversendung auf dem elektronischen Postweg (E-Mail) in aller Regel unverschlüsselt erfolgt. Die übermittelten Daten sind dabei nicht vor dem Zugriff Unberechtigter geschützt. Es besteht die grundsätzliche Gefahr, dass versandte Daten von Dritten abgefangen und gelesen werden.
In Kenntnis dieser Gefahr erteile ich der/dem ___________ hiermit ausdrücklich die Erlaubnis, Gesundheitsdaten mit Bezug auf meine Person per E-Mail ohne weitere Sicherungsmaßnahmen an nachbehandelnde Ärzte, Verrechnungsstellen oder andere von mir nachweislich bevollmächtigte Personen zu versenden und solche Daten von diesen auf gleichem Weg zu empfangen. Ohne mein Einverständnis müsste der Datenversand auf dem herkömmlichen Postweg erfolgen oder gänzlich unterbleiben.
Meine Einwilligungserklärung kann ich jederzeit ohne Angabe von Gründen mit Wirkung für die Zukunft abändern oder gänzlich widerrufen, wobei der Widerruf entweder postalisch, per E-Mail oder per Fax an _____ übermittelt werden kann. |
Identität des Anfragenden muss klar sein
Liegt eine Anfrage zur Datenübersendung vor, muss im Übrigen die Identität des Anfragenden zweifelsfrei bekannt sein. Eine solche Sicherheit ist bei Anfragen per Telefon oder E-Mail schwer zu erlangen. Weicht beispielsweise die Mail-Adresse eines Anfragenden von der im System hinterlegten des Patienten ab, sollten sicherheitshalber zusätzliche Nachweise zur Identifikation und/oder Berechtigung des Anfragenden eingeholt werden.
FAZIT | Die Pflicht zum sorgsamen Umgang mit Patientendaten bei deren Verarbeitung und Weitergabe bestand bereits vor dem Inkrafttreten der DSGVO. Sie resultiert nicht allein aus dem Datenschutz-, sondern auch aus dem ärztlichen Berufsrecht. Eine Verletzung der ärztlichen Schweigepflicht kann strafrechtliche Konsequenzen haben.
Es ist daher empfehlenswert, den Umgang mit Auskunfts- und Übersendungsanfragen im Krankenhaus routinemäßig zu regeln. Der Einsatz von Verschlüsselungssoftware beim Mailversand ist eine sichere Lösung. Allerdings muss diese Software dann regelmäßig nicht nur beim Versender, sondern auch beim Empfänger installiert sein. Und so ist die Einwilligung des Patienten auch praktisch gesehen eine rechtssichere Alternative. |