Verschlüsselung von E-Mail-Kommunikation im Gesundheitswesen
Die Terminbestätigungsmails bei regionalen Terminservice-Stellen der Kassenärztlichen Bundesvereinigung (KBV) stellen aufgrund mangelnder Verschlüsselung eine Gefahr für die Patientendatensicherheit dar. Darauf muss geachtet werden.
Verschlüsselungsmechanismen für die E-Mail-Kommunikation
Den Medien zufolge äußerte sich der Bundesdatenschutzbeauftragte dahingehend, dass eine unbefugte Offenlegung einer Behandlung bzw. eines -bedarfs eine erhebliche Diskriminierungsgefahr berge und die betroffenen Personen damit im höchstpersönlichen Kernbereich ihres Privatlebens verletzen würde.
Die DSGVO sieht vor, dass geeignete technische und organisatorische Maßnahmen eingeführt werden, um den Datenschutz angemessen gewährleisten zu können. Dabei wird der Grad der Intensität der zu treffenden Maßnahmen unter anderem an dem Stand der Technik, der praktischen Umsetzbarkeit und der Sensibilität der betroffenen Datensätze bemessen. Zu einer solchen Maßnahme kann auch die Verschlüsselung von E-Mails gehören. Zwar besteht nach der DSGVO keine unmittelbare Pflicht zur Verschlüsselung, jedoch ist gerade bei dem Versand von besonders sensiblen Daten das Risiko für mögliche Zugriffe und damit auch für mögliche Datenschutzvorfälle verhältnismäßig hoch. Damit E-Mails vor dem Zugriff Dritter geschützt werden können, gibt es verschiedene Verschlüsselungsmechanismen. Welche Verschlüsselungsart erforderlich ist, hängt maßgeblich von den Inhalten der E-Mail ab.
Transportverschlüsselung
Der Einsatz von Transportverschlüsselung bietet lediglich einen Basis-Schutz und ist Mindestvoraussetzung für den Versand von E-Mails, die personenbezogene Daten zum Inhalt haben. Die obligatorische Transportverschlüsselung reduziert die Erfolgswahrscheinlichkeit passiver Abhörmaßnahmen Dritter auf dem Transportweg. Der Grundgedanke ist, dass die E-Mail-Übertragung unterbunden wird, wenn beim jeweiligen Empfänger-Server keine TLS-Verschlüsselung verfügbar sein sollte. Die obligatorische Transportverschlüsselung ist als technische Maßnahme geeignet, wenn personenbezogene Daten per E-Mail versendet werden, die das "normale" Datenschutz-Risiko nicht überschreiten.
Werden sensible personenbezogene Daten (z.B. Gesundheitsdaten) übermittelt, ist mindestens eine qualifizierte Transportverschlüsselung erforderlich. Bei der Verwendung der qualifizierten Transportverschlüsselung werden auf Server-zu-Server-Ebene strikte TLS-Sicherheitsprüfungen angewendet, bevor E-Mails übermittelt werden. Damit kann sichergestellt werden, dass auf dem Übertragungsweg durch öffentliche Netze keine Dritte in die Verschlüsselung involviert sind und Nachrichten nicht unbemerkt mitgelesen werden können. Diese Art der Transportverschlüsselung ist damit geeignet, aktive Angriffe im Netzverkehr abzuwehren.
Ende-zu-Ende-Verschlüsselung
Sollen die Inhalte einer E-Mail-Nachricht durchgreifend gegen unbefugte Kenntnisnahme geschützt werden, ist dies nur durch eine Ende-zu-Ende-Verschlüsselung mit den Verfahren S/MIME und OpenPGP möglich. Dieser Schutz erstreckt sich dabei nicht nur auf den eigentlichen Transportweg, sondern auch auf die Zwischenspeicherung und -verarbeitung auf den an der Übermittlung beteiligten Servern. Der Datenstrom zwischen den Kommunikationsteilnehmern wird mittels Kryptographie sicher chiffriert. Nur die unmittelbar Beteiligten verfügen über den notwendigen Schlüssel, um auf die Inhalte der E-Mail zugreifen zu können.
Kritik des Bundesdatenschutzbeauftragten an der KBV
Der Bundesdatenschutzbeauftragte fordert von der KBV die Ende-zu-Ende-Verschlüsselung. Die KBV bietet an, dass sich Patienten über einen Service der Kassenärztlichen Bundesvereinigung (KBV) online Termine bei Ärzten und Psychotherapeuten vermitteln lassen. Im Anschluss wird eine Terminbestätigung per E-Mail versendet. Der Vorwurf lautet hier, dass im Zeitraum vom 24. Januar 2022 bis 24.Oktober 2022 die Sicherheit von Gesundheitsdaten und Sozialdaten der anfragenden Personen beim Versand von 169.787 E-Mails nicht gewährleistet worden ist. Deshalb soll dieser Service verboten werden.
In den Bestätigungsmails seien Angaben zum behandelnden Arzt enthalten und damit seien Rückschlüsse auf die Behandlungsart zulässig. Diese Daten unterliegen aber einerseits dem Sozialgeheimnis und zum anderen handelt es sich um Gesundheitsdaten, die einem besonderen Schutz gemäß der DSGVO bedürfen. Zwar habe die KBV die Mails mit einem sog. Transport Layer Security-Protocol (TLS) und der Hypertext Transfer Protocol Sercure-Verschlüsselung (HTTPS) gesichert, allerdings sei diese Verschlüsselung aufgrund der sensiblen Daten der Patienten nicht ausreichend. Eine Ende-zu-Ende-Verschlüsselung sei unumgänglich. Die KBV habe dadurch gegen Art. 32 DSGVO verstoßen, indem Sie im genannten Zeitraum zahlreiche E-Mail-Nachrichten ohne geeignete technische und organisatorische Maßnahmen versendete, um eine angemessene Sicherheit bei der Verarbeitung von Gesundheitsdaten und Sozialdaten der anfragenden Person zu gewährleisten.
Email-Verkehr: Darauf muss in der Arztpraxis geachtet werden
Dieser Fall zeigt die Wichtigkeit der Ergreifung angemessener technischer und organisatorischer Maßnahmen, gerade im Bereich des Gesundheitswesens, in dem regelmäßig Gesundheitsdaten erhoben, verarbeitet und übermittelt werden. Überprüfen Sie Ihre internen Praxisvorgänge dahingehend, wo Sie Gesundheitsdaten per E-Mail übertragen und sichern Sie sich und die Daten Ihrer Patienten ab, indem Sie geeignete Verschlüsselungsmechanismen wählen.
Für weitere Informationen zu den einzelnen Verschlüsselungsmechanismen verweisen wir gerne auf die Orientierungshilfe des LDI NRW, die dort die Anforderungen an die jeweiligen Verschlüsselungsarten näher darlegt.
