In der fiktiven Gemeinschaftspraxis Dr. Arslan/Müller wurde inzwischen die am 28. Mai 2018 in Kraft getretene DSGVO umgesetzt. Die Informationspflichten nach Art. 13 und Art. 14 DSGVO sind in einem Dokument enthalten, das den Patientinnen und Patienten zur Verfügung gestellt wird. Die Einwilligungserklärungen in der Arztpraxis und die Verträge über die Auftragsdatenverarbeitung wurden überarbeitet. Ein Datenschutzbeauftragter wurde bestellt, der mit Hilfe des vom Hessischen Beauftragten für Datenschutz und Informationsfreiheit zur Verfügung gestellten Formulars auch schon einen Auskunftsanspruch nach Art. 15 EU-DSGVO beantwortet hat.
Bei einer der regelmäßig erfolgenden Rücksprachen von Frau Dr. Arslan und Herrn Müller mit ihrem Datenschutzbeauftragten erzählte Frau Dr. Arslan, dass sie nach langer Wartezeit endlich ihren eHBA erhalten habe und diesen nunmehr nutzen wolle. Der Datenschutzbeauftragte regte daraufhin an, den Einsatz des Faxgerätes zu hinterfragen, zumal der Hessische Beauftragte für Datenschutz und Informationsfreiheit eine Überprüfung des Einsatzes von Faxgeräten angemahnt hat.
Das Problem
Aufgrund der technologischen Weiterentwicklung im Bereich der Übertragungstechnik erfolgt die Übersendung von Faxen nicht mehr mittels einer Leitungsvermittlung, bei der eine direkte Verbindung zwischen den Faxgeräten aufgebaut wurde. Bei einer Leitungsvermittlung wird die Verbindung zwischen den Faxgeräten für die Dauer der Übertragung ausschließlich für die Datenübermittlung genutzt. Mittlerweile erfolgt die Versendung von Faxen, ähnlich wie die Voice-over-IP-Telefonie, jedoch auch in der sog. Paketvermittlung. Die zu übertragenden Daten werden hierbei auf „Pakete“ aufgeteilt und auf unterschiedlichen Wegen über das Internet übermittelt. Hierbei werden „Zwischenpunkte“ im Internet genutzt, die von staatlichen oder privaten Betreibern auf der ganzen Welt unterhalten werden. Bei dieser Übermittlung haben diese Betreiber dann als Dritte grundsätzlich die Möglichkeit, auf Pakete zuzugreifen, zumal bei der Faxversendung üblicherweise keine Verschlüsselung der Daten erfolgt. Dem Faxversand wohnen daher vergleichbare Risiken inne, die auch beim Versand unverschlüsselter E-Mails bestehen.
Darüber hinaus können die Daten der Patienten ungewollt Dritten offenbart werden, wenn die Faxnummer des Adressaten nicht korrekt eingegeben wird.
Auch ist dem Absender in der Regel nicht bekannt, wer bei dem Empfänger Zugriff auf das Faxgerät hat und welche technischen Voraussetzungen auf der Empfängerseite vorliegen.
Die rechtliche Einordnung
Die Ärztinnen und Ärzte, die Inhaber einer Praxis sind, sind nach Art. 5 Abs. 1 lit.f DSGVO verpflichtet, die personenbezogenen Daten ihrer Patientinnen und Patienten dergestalt zu verarbeiten, dass die Integrität und Vertraulichkeit gewahrt bleibt. Konkretisiert werden diese Anforderungen unter anderem in Art. 32 DSGVO sowie § 22 Abs. 2 BDSG. Nach diesen Vorschriften sind unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen die geeigneten technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, zu treffen.
Der Maßstab für die Risikobeurteilung der Verarbeitung der personenbezogenen Daten bemisst sich neben der Eintrittswahrscheinlichkeit der Verletzung von Rechten Dritter auch an den Folgen für die Betroffenen, die eine Offenbarung nach sich ziehen. Dies hat zur Folge, dass bei einer Arztpraxis aufgrund der Verarbeitung von Patientendaten als besondere Kategorie personenbezogener Daten sowie der ärztlichen Schweigepflicht der Schutzbedarf deutlich erhöht ist.
Für die Arztpraxis Dr. Arslan/Müller bedeutet dies, dass Frau Dr. Arslan und Herr Müller als Verantwortliche für den Datenschutz im Sinne des Art. 4 Nr. 7 DSGVO dafür Sorge tragen müssen, dass die von ihnen verarbeiteten Patientendaten ausreichend geschützt werden, auch bei einer Kommunikation mit Dritten.
Die Einwilligung als mögliche Lösung
Bis Anfang 2021 haben die Datenschutzaufsichtsbehörden es abgelehnt, auf Wunsch der betroffenen Person das Schutzniveau für die Datenverarbeitung abzusenken. Im April 2021 veröffentlichte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit einen Vermerk, dass die Verantwortlichen grundsätzlich verpflichtet sind, angemessene technische und organisatorische Maßnahmen bei der Datenverarbeitung umzusetzen. Eine Datenverarbeitung sei jedoch auch mit einem geringeren Schutzniveau möglich, sofern
- der Verantwortliche grundsätzlich die erforderlichen technischen und organisatorischen Maßnahmen vollumfänglich umsetzt und diese vorhält und
- die betroffene Person frei und umfassend informiert einwilligen kann, das „sichere“ oder das „unsichere“ Schutzniveau zu wählen.
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit hält eine entsprechende Einwilligung für denkbar, wenn ein Hinweis auf die Risiken beim Faxversand erfolgt und für etwaige Übermittlungsvorgänge eine den Anforderungen der DSGVO entsprechende Einwilligung eingeholt wird. Hierbei darf es sich jedoch nur um eine Lösung für den Einzelfall in besonders eilbedürftigen Fällen handeln. Keineswegs kommt dies als Standardlösung für alle Patientinnen und Patienten einer Arztpraxis in Betracht.
Die nachhaltigen Lösungen
Um in der Arztpraxis ein entsprechendes Schutzniveau bei der Kommunikation mit Dritten zu gewährleisten, stehen Frau Dr. Arslan und Herrn Müller mittlerweile mehrere Optionen zu Verfügung, die eine Nutzung des Faxes ersetzen können.
Versand inhaltsverschlüsselter E-Mail-Nachrichten – Während der Hessische Beauftragte für Datenschutz und Informationsfreiheit als Beispiele hierfür PGP und S/MIME anführt, ist nach Ansicht der Landesärztekammer Hessen auch eine symmetrische Verschlüsselung von angehängten Dateien ausreichend, soweit der Verschlüsselungsgrad dem Stand der Technik entspricht, das Passwort über einen alternativen Kommunikationsweg mitgeteilt wird und in Betreff und Text der E-Mail keine besonderen Kategorien personenbezogener Daten aufgeführt sind.
- Portallösungen, bei denen die Kommunikationspartner Nachrichten und Inhalte verschlüsselt abrufen und bereitstellen können.
- Kommunikation im Medizinwesen (KIM) – Bei der Nutzung der von der Telematik betriebenen KIM können Nachrichten und Dokumente per Ende-zu-Ende-verschlüsselter E-Mail-Nachricht übermittelt werden. Hierfür ist ein eHBA erforderlich.
- Infrastruktur des elektronischen Rechtsverkehrs (z. B. elektronisches Gerichts- und Verwaltungspostfach, EGVP) – Derzeit laufen Testungen, ob der eHBA auch zur Kommunikation im EGVP mit den hessischen Gerichten genutzt werden kann.
Sowohl für die Nutzung der KIM als auch des EGVP ist ein eHBA erforderlich. Es ist daher allen ärztlich tätigen Ärztinnen und Ärzten in Hessen zu empfehlen, einen eHBA zu beantragen, soweit dies noch nicht geschehen ist.
Für die Arztpraxis Dr. Arslan/Müller bedeutet dies, dass Frau Dr. Arslan die KIM als gute Alternative zum Fax nutzen kann. Herr Müller wird zeitnah den eHBA beantragen.
Andreas Wolf, Syndikusrechtsanwalt, Stellv. Justitiar Landesärztekammer Hessen