BiM diskutiert: Jahresbericht des Berliner Datenschutzes
Unverschlüsselte Datenübermittlungen an Cloud-Dienste verstoßen ohne Patienteneinwilligung gegen den Datenschutz
Vor einigen Tagen hat der Berliner Datenschutzbeauftragte seinen Jahresbericht 2021 veröffentlicht. Darin werden unter anderem cloud-basierte Terminbuchungssysteme unter die Lupe genommen, und es wird festgestellt:
“Arztpraxen dürfen Patient:innen eine Terminerinnerung nur dann übermitteln oder durch Auftragsverarbeiter:innen übermitteln lassen, wenn die Patient:innen ggü. der Arztpraxis ausdrücklich darin eingewilligt haben, dass ihre Telefonnummern oder E-Mail-Adressen für die Terminerinnerung genutzt werden dürfen.”
Bei reinen Online-Terminkalendern ist dies in der Regel kein Problem. Die Terminbuchung erfolgt durch den Patienten selbst, der parallel zur Buchung auch gleich sein Einverständnis zur Übermittlung seiner persönlichen Daten an den Dienstanbieter gibt.
Ganz anders sieht dies bei Videodiensten aus, die keine eigene Online-Terminvergabe haben oder bei denen die Terminvergabe durch den Heilberufler direkt erfolgt. Hier findet keine initiale Interaktion des Patienten mit der Anwendung statt, bei der er seine Einwilligung geben könnte. Insbesondere bei den regelmäßig telefonisch vereinbarten Videosprechstunden ist eine wirksame schriftliche Einwilligung des Patienten eher die Ausnahme.
Aus diesem Grund ist davon auszugehen, dass Heilberufler in der Regel - sei es wissentlich oder unwissentlich - gegen geltendes Datenschutzrecht verstoßen, sobald sie Patientendaten bei der Vereinbarung solcher Termine in einem entsprechenden Dienst speichern.
Um dieses Problem zu adressieren, gibt es eine einfache Lösung: Heilberufler sollten ausschließlich Cloud-Dienste verwenden, die die Daten der Patienten Ende-zu-Ende verschlüsseln. Damit stehen sie gar nicht erst vor dem Problem, die Patienten nach einer entsprechenden Einwilligung zu ersuchen. Dies gilt sowohl für Videodienste und erst recht für eine komplexe Praxissoftware in der Cloud.
Und es gibt noch weitere Vorteile: Selbst im unwahrscheinlichen Fall eines erfolgreichen Hackerangriffes auf eines der Rechenzentren könnte ein Angreifer nichts mit den Daten anfangen, da ein Zugriff auf die notwendigen Passwörter systematisch ausgeschlossen ist. Damit sind die Daten dort sicherer als bei einer Vor-Ort-Lösung, bei der die Daten in der Regel unverschlüsselt auf der Festplatte liegen.
Es gibt bereits Systemanbieter, die ihre vollständig cloud-basierten Systeme mit einer wirksamen Ende-zu-Ende-Verschlüsselung ausstatten. Die entsprechenden Angebote schaffen somit eine abschließende Lösung für die Einwilligungsanforderung bei ärztlicher oder medizinischer Datenverarbeitung in der Cloud.