Die ärztliche Behandlung macht den Austausch medizinischer Daten (u. a. auch) zwischen Ärzten* erforderlich. Dies ist datenschutzkonform, also im Rahmen der gesetzlichen Vorgaben wie folgt möglich:
Grundsätzlich ist es immer möglich, dem Patienten* medizinische Unterlagen wie bspw. Arztbriefe, Laborbefunde, etc. datenschutzkonform auf einem USB-Stick persönlich in der Praxis zu überreichen. Daneben kommt auch die postalische Übersendung in einem verschlossenen Umschlag in Betracht. Öffnet ein unbefugter Dritter*, zu dessen Kenntnis die Unterlagen nicht bestimmt sind, den Umschlag oder verschafft sich auf sonstige Weise Kenntnis vom Inhalt des Umschlags, macht sich dieser gemäß § 202 Abs. 1 Nr. 1 oder Nr. 2 Strafgesetzbuch (StGB) wegen Verletzung des Briefgeheimnisses strafbar.
Es ist weiterhin oft gängige Praxis, medizinische Unterlagen und damit hochsensible, persönliche Daten per Telefax zu übersenden. Dies sehen die Landesdatenschutzbehörden in aller Regel kritisch. Dem Datenschutz geht es im Wesentlichen darum, zu gewährleisten, dass sensible, personenbezogene Daten, wie etwa Gesundheitsunterlagen, nicht in die Hände Dritter fallen. Dies ist beim Faxversand bei den meisten modernen Geräten problematisch, da Telefaxe meist digital als Datenpakete über das Internet versandt oder automatisiert in E-Mails umgewandelt werden. Dabei ist der digitale Faxversand genauso unsicher wie eine unverschlüsselte E-Mail. Die eingesetzten Verbindungen – anders bei analogen Telefaxen – sind nicht den beiden Endstellen vorbehalten, der Zugriff Dritter ist nicht ausgeschlossen. Analoge Telefaxe werden über eine individuelle Verbindung zwischen Sendegerät und Empfänger (Telefonleitung) gesendet. Beim digitalen Faxversand gilt es jedoch, Sendezeitpunkt und Empfangsgerät im Vorhinein so abzustimmen, dass das Telefax unmittelbar von der zum Empfang bestimmten Person entgegengenommen und die Faxnummer auf Aktualität überprüft werden kann, sodass Fehlsendungen ausgeschlossen sind. Abgesehen davon, dass Übersendungen per analogem Telefax im stressigen Praxisalltag vergleichsweise impraktikabel sein dürften, wird das analoge Telefonnetz voraussichtlich noch in diesem Jahr ohnehin eingestellt werden. Die deutsche Telekom hat bereits seit Ende des Jahres 2020 alle Kunden* auf IP-Anschlüsse umgestellt. Eine Übersendung per analogem Telefax ist dann nicht mehr möglich.
Für dringende Fälle, in denen der persönliche Austausch oder der Austausch per Post nicht in Betracht kommt, empfiehlt sich die Implementierung einer Ende-zu-Ende-Verschlüsselung, sodass eine sichere Übersendung per Ende-zu-Ende verschlüsselter E-Mail möglich ist. Gerade wenn besonders sensible personenbezogene Daten – wie etwa Gesundheitsdaten – per E-Mail versendet werden, genügt die Transportverschlüsselung nach Aussage des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen den Anforderungen der Datenschutzgrundverordnung (DSGVO) nicht. Dabei meint die Ende-zu-Ende-Verschlüsselung die zusätzliche Verschlüsselung der ausgetauschten Inhalte, beispielsweise per verschlüsselter ZIP- oder PDF-Datei oder die Inhaltsverschlüsselung per S/MIME, PGP oder GPG. Hierbei gilt es zu beachten, dass der Betreff einer E-Mail sowie deren Absender* und Empfänger* unverschlüsselt bleiben. Der Betreff sollte also möglichst neutral formuliert werden.
Seit dem 01.01.2021 können zudem alle gesetzlich Versicherten eine elektronische Patientenakte (ePA) ihrer Krankenkassen erhalten, in der medizinische Befunde und Informationen aus vorhergehenden Untersuchungen und Behandlungen über Praxis- und Krankenhausgrenzen hinweg umfassend gespeichert werden können. Die Entscheidung und Kontrolle über die gespeicherten Gesundheitsdaten liegen allein in der Hand der Patienten. Diese bestimmen, ob und in welchem Umfang sie die ePA nutzen möchten, welche Daten in der Akte gespeichert oder gelöscht werden sollen und welchem Behandler* sie ihre Daten zur Verfügung stellen wollen. Seit dem 01.01.2022 ist es Versicherten dabei möglich, über ihr Smartphone oder ihr Tablet für jedes in der ePA gespeicherte Dokument zu bestimmen, wer im Einzelnen darauf zugreifen kann. In der Arztpraxis kann zudem der Zugriff auf Dokumente einer bestimmten Fachgebietskategorie beschränkt werden. Neu ist seit diesem Jahr außerdem, dass auch der Impfpass, der Mutterpass, das Untersuchungsheft für Kinder sowie das Zahnbonusheft in der ePA gespeichert werden können. In vertragsärztlichen Praxen muss die ePA bereits seit dem 01.07.2021 nutzbar sein, dies gilt seit dem 01.01.2022 nun auch in Krankenhäusern.
*Die idR von ihrer Buchstabenanzahl her kürzeren Wörter der männlichen Geschlechtsbezeichnungen werden im Text geschlechtsneutral verwandt.
RA Helge Rust
Fachanwalt für Medizinrecht
Fachanwalt für Arbeitsrecht