Kapitel 8 - Versand von Patientendaten

Welche Grundsätze sind beim Versand von Patientendaten (z. B. Befundberichte und Röntgenbilder) zu beachten?

Neben den Vorgaben der EU-Datenschutz-Grundverordnung (Art. 32 EU-DSGVO) hat der Zahnarzt bei der Übermittlung von Patientendaten an Dritte auch die Schweigepflicht nach § 203 Strafgesetzbuch zu berücksichtigen.

 

Eine Übermittlung von Patientendaten an Dritte ist deshalb nur möglich, wenn:

1.
der Patient eingewilligt hat, z. B.:

- Befundbericht nach Überweisung an Kieferorthopäden oder MKG/Oralchirurg

- Übersendung von Röntgenaufnahmen an weiterbehandelnden Arzt

oder

2. 
der Zahnarzt zur Übermittlung gesetzlich verpflichtet ist, z. B.:

- KZV zum Zweck der Abrechnung (§ 295 SGB V)

- KZV zum Zweck der Qualitäts- und Wirtschaftlichkeitsprüfung (§ 298 SGB V)

- den Medizinischen Dienst der Krankenversicherung (§ 284 mit § 295 SGB V) 

- die gesetzlichen Unfallversicherung (§ 201 SGB VII)

- die zahnärztliche Stelle (§ 17a RöV)

 

oder

3. 
zur Wahrung berechtigter Interessen des Zahnarztes, z. B.:

- zivilrechtliche Geltendmachung von Honorarforderungen 

- Inanspruchnahme rechtlicher Beratung bei Schadenersatzforderungen

 

Wie kann der Versand von Patientendaten erfolgen?


Die nachfolgend aufgezeigten Wege gelten nicht nur für den Versand von Patientendaten an Dritte, sondern auch für den Versand an den betroffenen Patienten selbst. In diesem Zusammenhang weisen wir auch auf die vielfach in den Praxen  praktizierte und völlig DSGVO konforme Möglichkeit hin, dem Patienten seine Überweisung samt Röntgenfoto (z.B. auf CD oder USB-Stick) persönlich  in der Praxis mitzugeben.

Post
Dem Zahnarzt steht für den Versand von Patientendaten zunächst der Postweg zur Verfügung. Dabei sind die Unterlagen in einem geschlossenen Umschlag möglichst mit dem Vermerk „persönlich“ oder „vertraulich“ zu transportieren. In diesem Fall unterliegt der Inhalt dem Briefgeheimnis, dessen Verletzung nach § 202 Strafgesetzbuch strafbar ist.


Fax
Der Versand von Patientendaten mittels Fax wird von den Landesdatenschutzbehörden als kritisch gesehen. Insbesondere da es sich um sensible personenbezogene Daten handelt, wird davon generell abgeraten. Bemängelt werden u.a. mögliche fehlerhafte Anwahl an die falsche Adresse, unverschlüsselte Übertragung, abhörbar wie ein Telefongespräch, Zugriffsmöglichkeiten auf die Faxgeräte per Fernwartung, Rufumleitungen beim Empfänger, mögliche Einsichtnahme von Unbefugte beim Empfang des Faxes.

Wenn in Ausnahmefällen doch eine Faxübertragung geboten ist, so sollten Versender und Empfänger am Telefon den Sendezeitpunkt und das Empfangsgerät so abzustimmen, das das Fax direkt entgegengenommen werden kann und damit vor der Einsichtnahme Dritter geschützt ist. Diese Absprachen schützen auch vor Fehlleitungen beispielsweise aufgrund veralteter Anschlussnummern oder aktivierter Anrufum- bzw. Weiterleitungen (LDI NRW).


E-Mail
Beim Versenden eines personenbezogenen Dokumentes wird dieses Dokument verschlüsselt und dann als E-Mail Anhang versendet.

Der Zahnarzt muss über diese Verschlüsselung gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Dabei ist auch zu beachten, dass der Betreff der E-Mail und der E-Mailtext selber nicht verschlüsselt werden und deshalb hierin keine Patientennamen auftauchen dürfen.

Die Verschlüsselung kann auf verschiedenen Wegen erfolgen. Hierfür werden beispielsweise Packprogramme im ZIP und RAR-Format angeboten. Bei der Nutzung solcher Packprogramme muss darauf geachtet werden, dass die Schlüssellänge mindestens 256 Bit-AES beträgt. Ein freies Datenkompressionsprogramm mit Verschlüsselung ist zum Beispiel 7zip, welches auf www.7-zip.de kostenlos erhältlich ist. Weitere Möglichkeiten bietet die Nutzung serverbasierter Verschlüsselungsanbieter, wie bspw. Cryptshare®, welches von der KZV BW für ihre Mitglieder angeboten wird.

Von offiziellen Stellen wird eine GNUPG/PGP Verschlüsselung gerade für kleinere Unternehmen
empfohlen. Hierbei handelt es sich um eine hybride Verschlüsselung, bei der mit einem öffentlichen und einem privaten Schlüssel gearbeitet wird. Wie diese mit angemessenen finanziellen Mitteln und begrenzten IT Kenntnissen in einer Praxis praktikabel und zielführend  implementiert werden soll, ist uns zum heutigen Zeitpunkt nicht ersichtlich.

Bei allen Verschlüsselungsarten ist darauf zu achten, dass jede Verschlüsselung nur so gut ist, wie das Passwort, welches benutzt wird. Bei der Erstellung des Passwortes sollten deshalb folgende Grundsätze des Bundesamtes für Sicherheit in der Informationstechnik beachtet werden:

  • das Passwort sollte keine logische Zeichenfolge enthalten (Abfolge direkt  benachbarter Zeichen auf der Tastatur),
  • das Passwort sollte zwischen acht und zwölf Zeichen als Mindestlänge haben,
  • das Passwort sollte Groß- und Kleinbuchstaben enthalten,
  • das Passwort sollte neben Buchstaben auch Ziffern enthalten,
  • das Passwort sollte auch Sonderzeichen (&, $, §, #, etc.) enthalten und
  • das Passwort sollte kein leicht zu erratender Alltagsbegriff sein (z. B. Lebensmittel, Namen, Musiktitel, etc.).


Neue Passwortempfehlungen aus den USA empfehlen inzwischen längere Sätze mit Wörtern, die nicht im Wörterbuch stehen (z. B. schwäbisch oder badisch).

Das Passwort sollte auf einem anderen Kommunikationsweg dem Empfänger zugänglich gemacht werden, also z. B. per Telefon, Brief oder SMS.

Soweit ein Patient mittels unverschlüsselter E-Mail Auskünfte oder Unterlagen erbittet, ist dieser darauf hinzuweisen, dass bei einer unverschlüsselten Übersendung der Auskünfte oder Unterlagen ein Zugriff von unbefugten Dritten auf diese übermittelten Daten nicht ausgeschlossen werden kann. Erst wenn nach dieser Belehrung der Patient die Zusendung mittels unverschlüsselter E-Mail freigibt, darf der Zahnarzt diesen Weg der Übermittlung nutzen.

Messenger-Dienste
Die meisten Messenger-Dienste, wie z.B. WhatsApp sind zur Übermittlung von Patientendaten aus datenschutzrechtlicher Sicht ungeeignet. Grundsätzlich ist bei der  Verwendung eines Messenger-Dienstes dieser bezüglich der Vorgaben  der EU-DSGVO hin zu überprüfen. Das Vorgehen bei Anfragen von Patienten entspricht dem im vorigen Abschnitt dargestellten Verfahren mittels einer Belehrung.

Zurück zur Übersicht über die EU-DSGVO!

 

 

Erstellt von: Claudia Richter, 07.05.2018

Aktualisiert von: Andrea Mader, 14.03.2019