E-Mail Austausch mit Arztpraxis

fre4k0ne · 27. April 2023 um 09:34

Guten Tag,
ich habe folgendes Problem:
Eine Arztpraxis möchte nun die Rezeptbestellungen auf E-Mail umstellen.
Um dies Datenschutzkonform ablaufen zu lassen, habe ich vorgeschlagen, die Verschlüsselung S/MIME zu verwenden.
Als Antwort bekam ich nur, das keine IT‘ler vor Ort wären und dies nicht eingerichtet werden könnte.

Nun meine Frage: Würde es gegebenfalls auch ausreichen, nur den Anhang der Email zu verschlüsseln?

Bruno · 1. Mai 2023 um 09:33

Hallo @fre4k0ne,
wie immer liegt das dran
Technisch gesehen, sind die „Umstände der Kommunikation“ unverschlüsselt, der Kommunikationsinhalt jedoch verschlüsselt. Zumindest wenn ich davon ausgehe, kein Begleittext in den Body der Mail geschrieben wird.
Jedoch auch die Umstände der Kommunikation können u. U. pbD darstellen, bspw. wenn eine Onkologin einer Person eine Mail schickt, verrät dies einiges.
Ich würde davon ausgehen, dass jegliche Ärztin / Patientin Kommunikation über eine ungesicherte Mailinfrastruktur eher kritisch zu sehen ist.
Herzlichst

Thomas · 2. Mai 2023 um 06:10

Guten Morgen,

was ist denn da konkret geplant? Aus dem Bauch würde ich vermuten, dass die Möglichkeit für Patienten eingerichtet werden soll, ein Rezept vorab elektronisch zu bestellen, welches dann nur noch abgeholt werden soll oder?
Verschlüsselungsmechanismen sind zwar grundsätzlich keine schlecht Idee, doch bei Verschlüsselung von E-Mails müssen beide Kommunikationspartner aktiv werden. Die Arztpraxis kann da primär erst einmal nur die Möglichkeit einräumen entsprechende Möglichkeiten anzubieten. Ohne, dass die Gegenseite aktiv mitwirkt wird das leider nichts. Leider haben viele nicht das Know How eine Verschlüssung für E-Mail einzurichten.
Das sieht man ja schon an der Aussage der Praxis, dass keine IT’ler vor Ort sind.
Die wenigsten niedergelassenen Arztpraxen haben wohl IT’ler fest eingestellt, es soll aber Dienstleister geben, die das machen, kostet halt und ist schon wieder Ausschlusskriterium
Wenn da nicht zufällig jemand mit etwas IT-Affinität arbeitet wird das wohl auch nix.
Anhänge zu verschlüsseln wäre eine Idee, doch mach das wirklich Sinn? Die Apotheke will das Rezept im Original vom Patienten. Ich vermute aber, dass die Praxis eine Bestellung von Rezepten auf anderem Wege haben will und der Patient das Original in der Praxis abholt. In diesem Fall wäre die Anhangverschlüsselung aber ohne Sinn. Die eigentliche Information der Bestellung wäre da wohl eher im Text der Mail, das dann immer noch unverschlüsselt versendet wird.
Gibt es denn eine Internetseite? Dort könnte dann der Patient über ein Webformular das Rezept bestellen. Dann müsste die Praxis sicherstellen, dass die Informationen vom Webserver verschlüsselt abgerufen werden. Das sollte aber das kleinere Problem darstellen.
Wie auch immer man sich entscheidet, die Praxis wird nicht umhin kommen, das von einem IT-Spezialisten einrichten zu lassen.
Leider kenne ich Arztpraxen, denen das so ziemlich Wumpe ist und den Patienten das “Angebot” unterbreiten Rezepte per Mail zu bestellen. Dass der Patient in der Regel das unverschlüsselt machen wird, ist denen entweder egal oder sie wissen es in der Tat nicht besser.

VSH · 17. Juni 2023 um 08:58

Nur zur Information, es gibt eine Orientierungshilfe der DSK zum E-Mail versandt.
DSK – Orientierungshilfe „Schutzmaßnahmen bei E-Mail Übermittlung (Verschlüsselung)"
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat im Fazit eines 11-seitigen „Vermerks“ Stand April 2021 (1) es wie folgt festgehalten:

Der Verantwortliche und der Auftragsverarbeiter haben die nach Art. 32 DSGVO (Sicherheit in der Verarbeitung) erforderlichen Maßnahmen zwingend umzusetzen und vorzuhalten. Betroffene Personen können in die Herabsetzung des nach Art. 32 DSGVO vorgesehenen Schutzniveaus allerdings bezogen auf ihre eigenen Daten im Einzelfall einwilligen, wenn die Einwilligung freiwillig im Sinne des Art. 7 DSGVO erfolgt. Dies setzt jedoch voraus, dass der Verantwortliche die nach Art. 32 DSGVO erforderlichen Schutzvorkehrungen grundsätzlich vorhält und der betroffenen Person auf Verlangen zur Verfügung stellt, ohne dass der betroffenen Person Nachteile dadurch entstehen.

Oder habe ich etwas übersehen?

1Quelle: Vermerk des HmbBfDI zur Abdingbarkeit von technisch-organisatorischen Maßnahmen (Art. 32 DSGVO)

fre4k0ne · 29. Juni 2023 um 08:27

Danke für die Antworten, ich habe es nun hinbekommen, dass die Praxis sich auf das Verschlüsselungsverfahren eingelassen hat!

voxan · 29. Juni 2023 um 12:57

Ja, denn die in Art. 32 Abs. 1 DSGVO genannten Maßnahmen sind nicht “erforderlich”.
“treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:”

Erforderlich sind also geeignete technische und organisatorische Maßnahmen. Dies können Pseudonymisierung und Verschlüsselung sein. Sie sind aber nicht zwingend, wie das Wort “gegebenenfalls” klarstellt.

Dafür sind diese aufgezählten Maßnahmen auch viel zu unspezifisch.

cbk · 11. Juli 2023 um 15:15

Hallo,

und wie handhabt es die Praxis mit § 203 StGB im Verhältnis zum Provider? Dies ist häufig bereits ein Hindernis, weil die Mailprovider sich nicht vertraglich auf die Strafbarkeit verpflichten lassen.
Die DSGVO ist hier allein nicht maßgeblich.
Schönen Gruß

fre4k0ne · 12. Juli 2023 um 09:16

Oh, danke für den Hinweis!