Gesundheitsdaten – zu brisant für eine unverschlüsselte Sendung per E-Mail (oder Fax)

Patientendaten gehören zu der Art personenbezogener Daten, die laut Datenschutzgrundverordnung (DSGVO) besonderen Schutz genießen. Für Akteure im Gesundheitswesen lohnt es sich daher, für den Versand von Patientendaten sichere Prozesse zu installieren.

Unverschlüsselte E-Mails oder Faxnachrichten sollten möglichst vermieden werden. Denn die mit Einverständnis des Patienten unverschlüsselte Versendung seiner Daten bleibt zwar auch unter der DSGVO rechtens – sollte dann aber auf keinen Fall an eine falsche Adresse erfolgen. Auch nicht aus Versehen. Sonst droht neben Ärger mit der Aufsichtsbehörde auch ein Schmerzensgeld.

In einem Berufungsurteil des Oberlandesgerichts Düsseldorf vom 28. Oktober 2021 (Az.: 16 U 275/20) hat das Gericht nämlich weitgehend ein zuvor ergangenes Urteil des Landgerichts Wuppertal bestätigt. Dieses erging zugunsten einer Klägerin, deren Gesundheitsdaten durch ein Missgeschick in falsche Hände hätten geraten können. Im vorliegenden Fall hatte die Klägerin ihre gesetzliche Krankenkasse darum gebeten, ihr Kopien ihrer Gesundheitsakte zukommen zu lassen. Diese benötigte sie für eine Bewertung durch einen privaten Krankenversicherer, den die Klägerin als neuen Gesundheitsdienstleister in Erwägung gezogen hatte. Abredegemäß übersandte ihr ein Mitarbeiter der beklagten Versicherung den umfangreichen Auszug per E-Mail und unverschlüsselt. Er sandte die zum Teil sehr intimen Angaben jedoch versehentlich an eine falsche E-Mail-Adresse. So gelangten die Daten unabsichtlich in ein falsches Postfach.

Nachdem der Fehler bemerkt und der Betroffenen mitgeteilt wurde, erhielt die Klägerin den Auszug schließlich per Post. Dem Inhaber des E-Mail-Postfachs, an den fälschlicherweise die Akte gelangte, wurde die Verwertung der Daten untersagt. Die Klägerin beschwerte sich dennoch darüber „wie sehr sie unter der Ungewissheit ob des Verbleibs ihrer Gesundheitsdaten leide und dass sie seit Tagen nicht mehr schlafen könne“ und verlangte von der Versicherung daher die Zahlung von 15000 € Schmerzensgeld. Vor Gericht erwies sich dann ein gutes Jahr später, dass keine reale Gefahr bestanden hatte: Das Postfach, an das die falsche E-Mail gelangte, war inaktiv und später sogar ganz gelöscht. Die Daten der Patientin kamen auch nach Überzeugung des Gerichts keinem Unbefugten zur Kenntnis.

Auch wenn im Verfahren nicht eindeutig festzustellen war, bei welchen Details der Kommunikation zwischen den Parteien welche Seite welchen Fehler begangen hatte, verurteilte das Oberlandesgericht im Berufungsprozess die Versicherung aber schon wegen des Fehlversands und des fast einjährigen Gefühls der „Ungewissheit“ zur Zahlung eines Schmerzensgeldes von immerhin noch 2000 €. Dieses stünde ihr in dieser Höhe „angesichts der Sorgen und Befürchtungen, unter denen sie aufgrund des Datenverlusts in dieser Zeit gelitten hat“ zu.

Patientendaten ausschließlich an den richtigen Empfänger versenden – aber am besten immer verschlüsselt oder per Post

Der Fall macht deutlich: Nicht nur bei Krankenversicherern, sondern auch in Arztpraxen und Kliniken gehört der Versand von Patientendaten einerseits zum Alltag – Überweisungen zwischen Praxen unterschiedlicher Disziplinen, Datenaustausch mit dem Labor bis hin zum Austausch von Patientendaten zwischen Praxis und Versicherungen: Täglich werden besonders schützenswerte Patientendaten zwischen den Akteuren im Gesundheitswesen ausgetauscht – und in den meisten Fällen per E-Mail, oft auch noch per Fax.

Ein rechtssicherer Versand von Daten per E-Mail kann andererseits jedoch nur noch erfolgen, wenn die Dateien verschlüsselt sind. Denn selbstverständlich können die Betroffenen Patienten auf eine Verschlüsselung der an sie gerichteten Nachrichten verzichten. Was bei einer Terminvereinbarung aber noch risikolos möglich ist, kann bei der Übermittlung von Gesundheitsdaten schnell zum Schadensrisiko werden. Denn in der Hektik des Alltags und aufgrund der Funktionalität vieler E-Mail-Programme, bei der Eingabe Adressen vorzuschlagen oder zu vervollständigen, sind Fehlversendungen kaum vollständig auszuschließen. Und auch beim Fax ist eine falsche Nummer schnell getippt.

Da Faxmitteilungen heute meist ebenfalls mit Hilfe von Internet-Standards versandt werden und nicht mehr durch direkte Leitungsverbindungen, gilt für sie technisch zudem dieselbe Unsicherheits-Einstufung. Anders als E-Mails gelten Faxe zwar aus gesetzlichen Gründen jedoch immer noch als sichere Telekommunikation - Datenschutzaufsichtsbehörden raten dennoch dazu, in allen Fällen auf sicherere, verschlüsselte Formen der Kommunikation umzusteigen. Die Aufsichtsbehörde in Hessen etwa empfiehlt auf Systeme wie „Kommunikation im Medizinwesen“ (KIM) umzusteigen.

Fazit: Das vorliegende Urteil zeigt, dass für Arztpraxen wie für die anderen Akteure im Gesundheitswesen die Empfehlung gilt, sensible Patientendaten ausschließlich Ende-zu-Ende verschlüsselt zu versenden. Ein Fehlversand an einen falschen Empfänger ist dann nicht so schlimm, da nur der berechtigte etwas mit den Daten anfangen kann.

Eine sichere Kommunikation im Gesundheitswesen lässt sich nicht nur via E-Mail oder mit spezialisierten Diensten wie KIM realisieren, sondern auch über Portallösungen, bei denen die Identität des Berechtigten durch eine Registrierung sichergestellt werden kann und Daten sicher zum Abruf bereitgestellt werden. Eine Übermittlung per Fax dagegen ist absehbar keine rechtssicherere Alternative mehr.