17.12.2021 – Ab dem 01. Januar 2022 müssen die Verantwortlichen von Arztpraxen Online-Terminkalender und ähnliche Webanwendungen besser vor möglichem Missbrauch schützen. So schreibt die IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung den Schutz vor unerlaubter automatisierter Nutzung von Webanwendungen vor. Sprich: es müssen Maßnahmen ergriffen werden, die verhindern, dass Webanwendungen wie Online-Terminkalender von Skripten und Programmen ausgenutzt werden können. Erreicht werden kann dies bspw. durch sogenannte Captchas, die in der Regel nur von Menschen genutzt werden können. Beispiele hierfür sind: die Eingabe von Zeichensymbolen, die nur schwierig zu erkennen sind; das Anklicken von Bildern mit bestimmten Objekten; oder auch kleine Rechenaufgaben.
Was bedeutet Captcha?
Captcha steht für die englische Abkürzung von „completely automated public Turing test to tell computers and humans apart“, übersetzt: vollautomatischer öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen. Der besagte Test geht zurück auf den englischen Mathematiker Alan Turing, der bereits 1950 eine Idee verfasste, um festzustellen, ob Computer ein dem Menschen gleichwertiges Denkvermögen haben. Vereinfacht ausgedrückt dient ein Turing-Test, einen Menschen von einer Maschine zu unterscheiden. Handelte es sich 1950 wirklich noch um Maschinen, werden diese Tests heute eingesetzt, um sogenannte Bots im Internet einzufangen (to capture). Bots können Skripte und kleine Programme sein, die automatisch nach Schwachstellen suchen und diese ausnutzen. Formulare wie Kontaktformulare werden regelmäßig angesteuert, um darüber Spam zu verschicken, oder im schlimmeren Falle auch Schadsoftware.
Kontaktformulare von Praxiswebseiten oftmals nicht datenschutzkonform
Zu der Gefahr, über unzureichend geschützte Kontaktformulare von Bots Spam oder Schadsoftware zu erhalten, gesellt sich aus datenschutzrechtlicher Sicht ein weiteres Problem. Die Datenschutzgrundverordnung gibt vor, dass die Übertragung personenbezogener Daten über Formularfelder verschlüsselt zu erfolgen hat. Ferner unterliegen Betreiber von Webseiten der Rechenschaftspflicht und müssen die Rechtmäßigkeit der Verarbeitung personenbezogener Daten nachweisen. Ärzte und Psychotherapeuten werden die Rechtmäßigkeit der Datenverarbeitung beispielsweise bei Anfragen über ein Kontaktformular in der Regel auf ihr berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO berufen können. Nichtsdestotrotz sollte das Prinzip der Datenminimierung gemäß Art. 5 DSGVO unbedingt berücksichtigt werden, bevor bei Anfragen Gesundheitsdaten oder Auskünfte über den Gesundheitszustand mit dem Kontaktformular übertragen werden.
Captcha, reCpatcha, Hcaptcha – behalten Sie den Durchblick!
Der Markt bietet eine Reihe von Captcha-Lösungen, die in der Regel leicht einzubinden sind. Allerdings: nicht alle erfüllen die datenschutzrechtlichen Anforderungen (an Praxen). Zu Googles reCaptcha empfiehlt die Bayrische Aufsichtsbehörde (BayLDA), unbedingt Alternativen zu prüfen. Denn Ärzte müssen nachweisen können, wie Google die erhobenen Daten verarbeitet, denn nur so können die Betroffenen transparent über den rechtmäßigen Einsatz informiert werden. Alternativ können derartige Analyse-Tools auch mit Einwilligung der Betroffenen eingesetzt werden; diese wiederum gestaltet sich hier nahezu unmöglich, weil personenbezogene Daten schon übermittelt werden, bevor die Betroffenen auf „Ich bin kein Roboter“ klicken.
Der Teufel bei den Captchas liegt mal wieder im Detail – allerdings ist auch das ohne großen Aufwand zu lösen. Datenschutzfreundliche Alternativen bietet der Markt genügend an. Mehr zu den Anforderungen an die Online-Terminvergabe in unseren FAQ.