17. Juni 2021 – Die neue Orientierungshilfe der Datenschutzkonferenz (DSK) bezieht sich auf den sogenannten Transportweg solcher E-Mails, die nicht bereits durch eine ausreichend sichere Ende-zu-Ende Verschlüsselung nur für den bestimmten Empfänger lesbar sind. Diese Verschlüsselung kann bspw. mit dem Standard PGP in Verbindung mit asymmetrischen Schlüsseln erreicht werden.
Ärzte und Therapeuten haben als Berufsgeheimnisträger besondere Pflichten zur Geheimhaltung ihnen anvertrauter Daten. Für sie gelten neben den allgemeinen Grundsätzen des Datenschutzrechts zur Verarbeitung personenbezogener Daten (insbesondere Patientendaten) zusätzliche Strafvorschriften (z.B. § 203 StGB) und einschlägiges Berufsrecht. Die Datenschutzbehörden sind zwar nicht für den Vollzug dieser Vorschriften zuständig; ihnen obliegt allerdings die Beurteilung des Risikos einer Verarbeitung für die Betroffenen der besagten anvertrauten Daten.
Datenschutzrechtlich sind Verantwortliche wie Ärzte und Therapeuten verpflichtet, die Anforderungen an die zu ergreifenden technischen und organisatorischen Maßnahmen im Sinne des Art. 32 DSGVO umzusetzen. Nehmen Sie als Verantwortliche die Dienste eines öffentlichen E-Mail-Anbieters in Anspruch, sind Sie demnach verpflichtet, den Anbieter darauf zu prüfen, ob er hinreichende Garantien für die Einhaltung der Anforderungen aus Art. 32 gibt. Ferner sind Sie als Verantwortliche dazu verpflichtet, die Risiken (vor allem für die Patienten) sorgfältig einzuschätzen, die mit einem Bruch der Vertraulichkeit der E-Mail-Kommunikation verbunden sein können. Je nach Risikograd sind Sie dann angehalten, den E-Mail-Dienstanbieter anzuweisen, bestimmte Konfigurationen am System vorzunehmen (soweit dies technisch möglich ist).
VDP Tip: Setzen Sie auf verschlüsselte E-Mail-Kommunikation mit Patienten und Kollegen! Falls dies nicht möglich sein sollte: auch der Postweg gilt als sicher – solange Sie die Diagnose nicht per Postkarte schicken, was vom Prinzip her dem Vertraulichkeitsstufe einer unverschlüsselten E-Mail entspricht.
Einzelheiten zu den Anforderungen an Verantwortliche finden Sie in der Orientierungshilfe (PDF) der DSK.