Schutz personenbezogener Daten im E-Mail-Verkehr

Das müssen Sie im Geschäftsverkehr beachten!

Faxgeräte erfreuen sich bei Ärzten, Rechtsanwälten und Behörden besonders in Zeiten der Pandemie großer Beliebtheit, wenn es um eine schnelle und unkomplizierte Kommunikation geht. Dennoch steigen die datenschutzrechtlichen Bedenken. So hat zuletzt das LfDI Bremen als zuständige Datenschutzbehörde des Bundeslandes dem Fax eine generelle Abfuhr erteilt. Dies nicht nur, weil Telefonkommunikation ohnehin nur über geringe Sicherungsmaßnahmen für die Vertraulichkeit verfügt, sondern vielmehr, weil die meisten Faxsysteme heute digitalisiert sind und man die Unwägbarkeiten auf der Gegenseite hat, ob das Fax nicht am Ende als PDF-Datei per E-Mail versendet wird. Daher macht es dann keinen Unterschied mehr und man hätte gleich die Daten per E-Mail versenden können.

Womit ein sehr beliebtes Streitthema des Datenschutzes eröffnet ist: die Kommunikation per E-Mail. Diese ist schnell, unkompliziert und inzwischen als Standard verbreitet. Es ist erheblich wahrscheinlicher geworden, dass jemand eine E-Mail-Adresse vorhält, aber nicht mehr über ein Fax verfügt. Daher hat auch die Datenschutzkonferenz als gemeinsames Gremium der zuständigen Datenschutzbehörden zum 16. Juni 2021 das Maßnahmenpapier „zum Schutz personenbezogener Daten” bei der Übermittlung per E-Mail aktualisiert.

Über den Inhalt und die Position der Datenschutzkonferenz lässt sich zwar wie so oft, fachlich streiten, aber da es sich um eine offizielle Position der Aufsichtsbehörden handelt, ist diese Stellungnahme gleichwohl besonders relevant für die eigenen Vorkehrungen, die man bei der eigenen Kommunikation treffen muss.

Eine Verschlüsselungspflicht ist aus den jetzt veröffentlichten Unterlagen der Datenschutzkonferenz zwar nicht herauszulesen, aber gerade bei E-Mails, die über rein organisatorisches hinausgehen, kann nicht auf eine Verschlüsselung verzichtet werden.

1. Umfang und Ermittlung der notwendigen Maßnahmen

Welche der Sicherungsmethoden nach Ansicht der Datenschutzbehörden Pflicht ist, ist dabei von den Verwendern und der Bedeutung der Daten abhängig. Grundsätzlich wird zwischen personenbezogenen Daten unterschieden, bei denen ein Bruch der Vertraulichkeit ein Risiko für die Rechte und Freiheit der Person darstellt und jenen, bei denen ein hohes Risiko besteht.

Zahnärzte zählen zu den Berufsgeheimnisträgern im Sinne des § 203 StGB. Für den Vollzug dieser berufsrechtlichen Pflichten sind zwar die Berufskammern und Strafverfolgungsbehörden zuständig, dennoch deutet diese besondere Stellung bereits daraufhin, dass regelmäßig besonders sensible Daten verarbeitet werden und daher die besonderen Schutzvorkehrungen für Daten mit einem hohen Risiko zu treffen sind.

Ein Problem, das bei E-Mail und Telefonkommunikation in gleicher Weise besteht, ist, dass eine Transportverschlüsselung nicht zum Standard gehört. Bei einer Transportverschlüsselung wird der eigentliche Transportkanal verschlüsselt, sodass dieser nicht gegen den Zugriff Dritter gesichert ist. Im Unterschied zu einer Ende-zu-Ende Verschlüsselung wird hierbei aber nicht jede E-Mail an sich verschlüsselt, sondern nur ein Knotenpunkt des Transportweges zum anderen. Haben Sie z. B. eine Transportverschlüsselung zwischen Ihrem E-Mail-Client und dem Server des E-Mail-Anbieters aktiviert, ist dieser Kommunikationskanal gesichert. Die E-Mail liegt aber auf Ihrem Computer und dem Server des E-Mail-Anbieters im Klartext vor. Bei der Ende-zu-Ende Verschlüsselung wird die E-Mail an sich verschlüsselt und dann versendet. Erst an dem bestimmten Zielort wird diese wieder für den bestimmten Empfänger in Klartext übersetzt.

2. Empfang von E-Mails

Grundsätzlich bedeutet das für den jeweils verantwortlichen Zahnarzt, dass eine Transportverschlüsselung der E-Mails obligatorisch ist, auch wenn keine Daten über den Patienten und dessen Behandlung oder Befunde ausgetauscht werden. Dies gilt sowohl für den Versand, als auch gerade für den Empfang, wenn hierzu durch die Angabe der E-Mail-Adresse, die Internetseite der Praxis aufgerufen wurde. Heute wird dies nahezu immer der Fall sein. Regelmäßig wird der Patient die Anfrage an die Praxis stellen.

Einfache Terminerinnerungen, Hinweise zur Praxisorganisation und die Terminvereinbarung lassen nicht auf den eigentlichen Zweck der Kontaktaufnahme und die gegebenenfalls notwendigen Behandlungsmaßnahmen schließen. Sie sind mit einer solide implementierten Transportverschlüsselung als einfache Sicherungsmaßnahmen regelmäßig unkritisch.

3. Versand von E-Mails mit Patientendaten

Für die inhaltliche Kommunikation mit dem und auch über den Patienten wird aber aufgrund der besonders sensiblen Daten auf eine Ende-zu-Ende Verschlüsselung zurückzugreifen sein.

Solche Verschlüsselungssysteme sind auch für E-Mails ohne Weiteres umsetzbar. Aufgrund des technischen Aufwandes und der Tatsache, dass viele Messengerdienste heutzutage Plug-and-Play Lösungen bieten, ist aber zunehmend eine Müdigkeit bei der Umsetzung dieser Sicherheitsstandards zu erkennen. Dabei gehört die technische Einrichtung der Systeme bei nahezu allen IT-Dienstleister zum absoluten Standard des angebotenen Serviceumfangs.

Idealerweise wird dem Patienten eine Ende-zu-Ende Verschlüsselung für die eigentliche Inhaltskommunikation angeboten. Hier haben sich S/MIME und Open PGP als Standards etabliert. Diese sind in die Praxisorganisation gut einzubinden und haben sich als verbreiteter Standard etabliert.

Die Realität zeigt jedoch, dass nahezu kein Patient über diese Kommunikationswege verfügen oder diese gezielt nutzen wird. Im Alltag ist bei Patienten die Verschlüsselung der E-Mail nur wenig verbreitet. Viele sind für dieses Problem nicht sensibilisiert oder haben sich noch nicht mit den technischen Voraussetzungen auseinandergesetzt, welche für einen Laien auch nicht ganz unkompliziert sind. Dabei bieten die beiden genannten Standards auch den erheblichen Vorteil, dass die ruhenden Daten ebenfalls geschützt werden. Unter ruhenden Daten versteht man all jene Dateien, welche auf dem Zielgerät bereits gespeichert sind und nicht mehr über ein Netzwerk transportiert werden. Ist die E-Mail also angekommen, verwandelt sie sich auf dem Zielcomputer zu einem ruhenden Datensatz. Die oben genannten Standards der Ende-zu-Ende Verschlüsselung machen die Daten nur für den befugten Anwender auf dem Computer einsehbar. Die Daten sind also auch in ihrem ruhenden Zustand zu einem gewissen Grad geschützt.

Ein weiterer Vorteil der oben genannten Standards ist auch die Möglichkeit, E-Mails zu signieren. Hierbei kann die E-Mail sowohl verschlüsselt als auch unverschlüsselt bleiben. Durch das Hinzufügen eines „digitalen Fingerabdrucks“ kann bei einer signierten E-Mail sichergestellt werden, dass diese von dem tatsächlichen Absender stammt und nicht gefälscht wurde (Authentizität der E-Mail). Gleichzeitig ist Anhang der Signatur erkennbar, ob der Inhalt manipuliert oder verändert wurde (Integrität der E-Mail). Den meisten Menschen ist heute bereits aufgrund von Phishing-E-Mails bekannt, dass hier besondere Gefahren liegen, wenn über den Absender einer E-Mail getäuscht wird. Will man signierte E-Mails versenden, ist aber auch hier eine Voraussetzung, dass der Empfänger und auch der Versender die notwendigen Systeme eingerichtet haben.

Bei der Kommunikation mit Dentallaboren und -technikern ist so eine Lösung gut zu implementieren. Für die Patienten, die nicht technisch versiert sind, können andere Lösungen umgesetzt werden.

4. Alternativen zu Open PGP und S/MIME

Ein Weg kann sein, schlichtweg auf die Verschlüsselung zu verzichten. Dazu kann vorher eine der Einwilligung des Patienten in die unverschlüsselte E-Mail-Kommunikation eingeholt werden. Solche Einwilligungen sind komplex und rechtlich problematisch, finden in der Praxis aber häufig Anwendung. Der Verzicht auf Verschlüsselung sollte bei der Überarbeitung bestehender Arbeitsabläufe und auch im Rahmen der zunehmenden Digitalisierung nicht die erste Wahl sein.  

Eine weitere Methode, die Patienten bei dem Wunsch zur Kommunikation per E-Mail zu unterstützen und zu ihrem Glück bei der Datensicherheit zu zwingen, kann die Verschlüsselung der Daten in einer ZIP-Datei darstellen. Zumindest die süddeutschen Datenschutzbehörden, welche etwas pragmatischer sind als die norddeutschen Gegenstücke, Schlagen diese Art der Übermittlung ebenfalls vor. Hierbei ist zu bedenken, dass jeder, der sich mit der Sicherung der Kommunikation auseinandersetzt, schon auf einem guten Weg ist und dies im Streitfall mit den Behörden zu seinen Gunsten nachweisen kann. Dennoch bergen kreative Lösungsansätze immer das Risiko, dass die eigene Behörde nicht mitspielt. Die bayrische Datenschutzbehörde schlägt diese Lösung selbst vor, ist aber auch die Einzige, die gegen die aktuelle Entschließung der Datenschutzkonferenz zu den Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail gestimmt hat.

Nach dem Erstellen der gesicherten ZIP-Datei wird das Passwort dem Patienten dann auf einem gesonderten Kommunikationsweg, zum Beispiel per Messenger oder telefonisch, mitgeteilt. Nicht unterschätzen sollte man hierbei auch die Verifikation der bestehenden Kontaktdaten. Es ist ohne Weiteres denkbar, dass ein Dritter eine E-Mail-Adresse unter falschem Namen erstellt, um Informationen zu erlangen. Daher ist die Verifikation der Kontaktdaten besonders wichtig. Auch die Aktualisierung ist neben der Verifikation ein wichtiges Instrument. Die Fehlzustellung von E-Mails oder Faxen können gravierende Folgen für den Betroffenen und die Arztpraxis haben. Die Verifikation und Pflege eines Datenbestandes dürfte für die meisten Zahnarztpraxen kein unzumutbarer Aufwand sein und ist durch die direkte Nachfrage beim Patienten umsetzbar.

Bei der Verwendung einer ZIP-Datei muss man darauf achten, dass die ZIP-Datei mit einem ausreichend sicheren Passwort verschlüsselt ist, mindestens mit dem Verschlüsselungsverfahren AES-256 verschlüsselt wurde und ebenfalls eine Transportverschlüsselung beim Versand verwendet wird. Hinzu kommt ebenfalls, dass die Passwörter nicht dauerhaft und wiederholt verwendet werden dürfen.

So können Patientenanschreiben, der Befund und auch die Untersuchungsdaten für Patienten und weiterbehandelnde Kollegen in der ZIP-Datei übermittelt werden, ohne dass dieser besondere technische Kenntnisse haben muss oder spezielle Vorkehrungen treffen muss. Der E-Mail Textkörper enthält dann keine relevanten Daten mehr, die etwas über die Behandlung des Patienten preisgeben.

Das gleiche ist bei reinen Textdaten auch mit dem Passwortschutz von PDF-Dateien möglich. Wenn es nur um Textdaten geht, kann dann auf eine ZIP-Datei verzichtet werden.

Sollen Patientendaten, Untersuchungsergebnisse oder andere Befunde mit Dentallaboren und -technikern per E-Mail ausgetauscht werden, sollte man bedenken, dass eine Einwilligung des Patienten kritisch ist, da er schlecht in die Weitergabe der Daten in unverschlüsselter Weise an Dritte einwilligen kann.

Bei professionellen und regelmäßigen Partnern bietet sich daher erst recht die Verwendung einer gesicherten ZIP-Datei oder die Einrichtung einer Ende-zu-Ende verschlüsselten E-Mail Kommunikation an. In diesem Fall kann eine sichere Kommunikation nicht an einem unversierten Partner scheitern.

5. Fazit

Auch wenn die Behörden bisher keinen besonderen Fokus auf Berufsgeheimnisträger gelegt haben, da diese zur Prüfung primär den Kammern und den Strafverfolgungsbehörden unterstellt sind, ist nicht auszuschließen, dass sich zukünftig etwas mehr Strenge durchsetzen wird. Die erste Panik nach der Einführung der DSGVO ist zwar inzwischen auch pragmatischen Lösungsansätzen gewichen, dennoch wird die digitale Kommunikation von vielen in ihren Sicherheitsaspekten unterschätzt.

Gerade die Kommunikation unter Berufskollegen oder Laboren wird den notwendigen Standards häufig nicht genügen. Dabei sind einfache Lösung wie die Verwendung von verschlüsselten ZIP-Dateien oder eine Ende-zu-Ende Verschlüsselung für regelmäßige Kommunikationspartner gut umsetzbar. Bei Patienten kann auch über eine Einwilligung nachgedacht werden.

Es ist in Zukunft nicht auszuschließen, dass die Datenschutzbehörden branchenweise Nachforschen werden, um Schwachstellen zu ermitteln und um hier auf Kommunikationssicherheit zu drängen. Ein solches Vorgehen ist nicht unüblich. Das Schreckgespenst der drastischen Bußgelder, welches oft als Werbung für kommerzielle Anbieter verwendet wird, mag in der Realität zwar eine überschaubare Gefahr darstellen, man sollte sich aber keineswegs darauf ausruhen. Gerade im Bereich der E-Mail-Kommunikation kann man bereits mit wenigen Schritten die Anforderungen umsetzen.

Dabei wollen viele kommerzielle Plattformanbieter Patientenkommunikation und Praxisorganisation in kostenpflichtige, aber einfach zu implementieren Dienste gießen. Diese werben zwar mit vielen Zertifizierungen, aber gerade in Anbetracht der zuletzt bekannt gewordenen Lücken im Datenschutz des Anbieters Doctolib, muss die gute alte E-Mail bei einer korrekten Implementierung nicht abgeschrieben werden.

Im Gegensatz zu vielen traditionellen Kommunikationswegen erscheint die sichere digitale Kommunikation häufig wie ein besonderes großer Aufwand. Das ist aber lediglich einmalig bei der Einrichtung und Gestaltung der Fall. In der Realität ist sichere und zuverlässige digitale Kommunikation einfach umsetzbar.

Hierbei kann eine Praxis nicht nur gegenüber den Patienten mit einem besonders effizienten und sensiblen Umgang mit Daten punkten, sondern vielmehr auch vorsorgen für die nächste Veränderung im Bereich des Datenschutzes. Diese wird mit Sicherheit kommen und dann nur bei Unvorbereiteten für Unruhe sorgen. Es bietet einem die Möglichkeit, sich von der Konkurrenz durch schnelle und zeitgemäße Digitalsysteme abzusetzen und auch Praxisabläufe effizienter zu gestalten. Die E-Mail kann hierbei immer noch eine Rolle spielen.

Ein Beitrag von Nicolas Balzer, Casa Rechtsanwälte

Bildnachweis: stock.adobe.com / Shinonome Studio / 233944854