30. Jul 2011
E-Mails sind zweifelsohne eine praktische Angelegenheit - auch für die Kommunikation mit Patienten oder Klienten.
Wie jedes Kommunikationsmittel muss auch die E-Mail verschiedenen Anforderungen genügen, um als sicheres Kommunikationsmittel gelten zu dürfen. Hier sind als wichtigste Kriterien die Authentizität,
der Integrität und dem Datenschutz einer E-Mail zu nennen .
Was heißt das im Alltag zum Beispiel in einer Arztpraxis, wo der Vertraulichkeit zwischen "Leistungserbringer", also dem Arzt und seinen Angestellten und dem "Leistungsnehmer" ein hoher Stellenwert zukommt?
Mit "Authentizität" ist gemeint, dass auch tatsächlich eine Kommunikation zwischen realen Personen statt findet und Sie z.B. mit einer Person kommunizieren, die es gar nicht gibt. Das Internet ist voll von real nicht existierenden Personen, schauen Sie nur einmal in die diversen Foren, wo sich Leute mit gefälschten Daten anmelden. Und auch die E-Mail, die Sie sicher auch schon in Ihrer Mailbox gehabt haben, wo Ihnen ein unbekannter Mensch aus Nigeria oder Taiwan das Geschäft Ihres Lebens vorgeschlagen hat, kam sicher nicht von einer realen Person.
Mit "Integrität" bezeichnet man das Schutzziel, dass der E-Mail-Inhalt bei der Übertragung nicht verändert wird. Immerhin könnte einer E-Mail einmal eine Beweisfunktion haben müssen. Bei E-Mails ist diese Integrität im Vergleich mit einem geschriebenen Brief oder einem Fax schwer aufrecht zu erhalten, denn der Inhalt einer E-Mail kann sowohl während der Übertragung oder nachträglich vom Empfänger verändert werden. Das ist an sich nichts Schlimmes, aber man muss sich dieser Tatsache bewusst sein und um die Begrenztheit einer E-Mail, die sich daraus ergibt, wissen
Der Begriff des Datenschutzes dürfte Ihnen, wenn Sie z.B. Arzt oder Therapeut sind, geläufig und im Arbeitsalltag präsent sein. Um einen Ausschnitt dieser Problematik soll es hier gehen.
E-Mails können Sie hinsichtlich Datenschutz mit eine Postkarte vergleichen:
Jeder, der Zugriff auf die Postkarte hat, kann die Inhalte der E-Mail lesen. Verhindern können Sie das nur mit so genannten verschlüsselten E-Mails - das aber hat im Arbeitsalltag einer Arztpraxis bislang nur eine sehr begrenzte Bedeutung, denn kaum jemand nutzt diese Möglichkeit; und gerade in der Kommunikation mit technisch oft nicht ganz so begabten Empfängern Ihrer E-Mails kann das schnell zum Desaster ausarten.
Eine E-Mail, die über ein offenes und jedermann zugängliches Internet übermittelt wird, ist also für vertrauliche Informationen nur sehr begrenzt geeignet. Werden Inhalte der E-Mail Dritten, die dieser Inhalt nichts angeht, bekannt, stellt das einen unzulässigen Eingriff in die allgemeinen Persönlichkeitsrechte dar - letztlich dürfte ich Ihnen hier wenig Neues berichten, aber ich bin trotzdem immer wieder erstaunt, mit welcher Unbedarftheit sich mancher Internetnutzer -gerade auch aus dem medizinisch-therapeutischen Umfeld- in Sicherheit wiegt, wenn er sensible Informationen wie beispielsweise Laborbefunde per E-Mail von A nach B schickt.
Wichtig:
Wenn es um Kommunikation zwischen Arzt/Therapeut geht, sind alle übermittelten Informationen "sensible personenbezogene Patientendaten". Und das gilt auch für die Inhalte von E-Mails.
Patientendaten dürfen nicht an Dritte weiter gegeben werden. Wenn Sie E-Mails nutzen, sind aber immer Dritte in die Weitergabe von Daten involviert - und sei es nur der Provider, mit Hilfe dessen Sie Ihre E-Mails versenden. Sitzt Ihr Provider in Deutschland, dürfen Sie davon ausgehen, dass er sich an deutsches Datenschutzrecht hält. Streng genommen müssen Sie den Patienten, der ja der eigentliche "Eigentümer" seiner sensiblen Patientendaten ist, auf diese Situation hinweisen und der Patient muss sich damit einverstanden erklären. Soweit dürfte Ihnen auch das geläufig sein, obwohl ich mir sicher bin, dass etliche Leser das bereits nicht mehr im Blick haben.
Nun gibt es aber eine Besonderheit:
Nicht wenige Praxen nutzen -aus welchen Gründen auch immer- die Angebote von meist kostenlosen Webmail-Diensten. Verbreitet sind z.B. Google-Mail, GMX, AOL oder das Angebot von web.de - das sind nur wenige Beispiele einer Unzahl vergleichbarer Dienste.
Auf den ersten Blick erscheint das Angebot solcher Freemailer attraktiv und unkompliziert. Sie müssen aber wissen, dass alle diese Dienste
- Geld verdienen wollen - auch dann wenn die Angebote für Sie kostenlos sind
- die Server dieser Dienste i.d.R im Ausland stehen - oft in den USA
Zum Thema "Geld verdienen" und Datenschutz:
Die Server für den E-Mail-Verkehr zu betreiben, kostet richtig Geld. Der Freemailer, der Ihnen einen vordergründig kostenlosen Service anbietet muss aber mit Gewinn arbeiten. Die Schlussfolgerung aus dieser Tatsache: Auch wenn Sie selbst für den Service kein Geld hinlegen müssen, so bezahlen Sie trotzdem: Mit Ihren Daten oder eben mit den Patientendaten.
Und Sie wissen absolut nicht, was z.B. Google mit den Daten macht. Vielleicht blendet Google ja nur eine kontextbezogene Werbung in die Mail ein - das wäre weitgehend harmlos. Vielleicht verlaufen Sie die Daten ja aber auch einer Kranken- oder Lebensversicherung - Geld stinkt ja bekanntlich nicht.
In Deutschland gibt es immerhin ein recht restriktives Datenschutzrecht, das zwar mitunter recht sperrig daher kommt und hinderlich erscheint - aber wir können stolz auf dieses Recht sein und sollten uns freuen, dass wir es haben.
Der erste Punkt: Wenn Sie als Arztpraxis oder als Therapeut E-Mails über einen Freemailer versenden, können Sie davon ausgehen, dass der oder die Server, über die das läuft, nicht in Deutschland stehen. Es werden also Daten an das Ausland übermittelt - Sie brauchen also über die Zustimmungserklärung des Patienten hinaus eine rechtlich bindende Vertraulichkeitserklärung des Datenverarbeiters. Ich glaube nicht, dass beispielsweise Google Ihnen diese Erklärung jemals geben wird...
Der zweite Punkt: In anderen Ländern, beispielsweise den USA, wo z.B. die Mehrzahl der Google-Server stehen dürfte (wer weiss das schon so genau), ist Datenschutz kein sonderlich wertvolles Gut. Google hat sich zwar auf die Fahne geschrieben "Don't be evil" - aber das ist nicht mehr als eine Marketingphrase und keine bindende Verpflichtungserklärung.
Der dritte Punkt ist ein politischer Aspekt: Die USA haben unter dem Banner der Terrorabwehr nach dem 11. September 2001 mit dem "Patriot Act" eine Situation geschaffen, die den amerikanischen Ermittlungsbehörden und den Geheimdiensten unbeschränkte Rechte einräumen.
Thomas Lutz, der Sprecher von Microsoft Österreich gibt dazu laut news@orf.at folgende Auskunft: „Jedes Unternehmen mit einer Präsenz in den USA – wie beispielsweise Google, Apple, Amazon – oder auch Microsoft - ist gesetzlich verpflichtet, einer legitimierten Nachfrage der US-Regierung nachzukommen, wenn das Unternehmen entsprechende Daten verwahrt oder die Kontrolle über diese Daten besitzt“, so. „Das ist der Fall, unabhängig davon, wo die Daten gespeichert sind oder ob es widersprüchliche Verpflichtungen im Rahmen der Jurisdiktion gibt, in der sich diese Daten befinden.“
Wenn man das weiter denkt, kann man im Grunde genommen überhaupt keine sensiblen Daten mehr per Internet übertragen, denn nicht nur Freemailer, sondern auch Unternehmen wie die Telekom, die durchaus stark im amerikanischen Markt aktiv ist, sind davon betroffen und niemand weiss letztendlich, welchen Zugriff sich amerikanische Behörden unter dem Deckmantel der Terorrabwehr auf unsere Daten noch verschaffen werden.
Ich will das gar nicht weiter vertiefen - die nachvollziehbare Schlussfolgerung aus dem Thema Freemailer und Patientendaten ist erst einmal , dass insbesondere die Freemailer von Google über GMX bis hin zu Web.de völlig ungeeignet wir die Übermittlung sensibler personenbezogener Patientendaten per E-Mail sind.
Bildquelle: aboutpixel | Pixelsocke