Datenschutz: Datenschutzgerechte Kommunikation mit Krankenkassen

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) fordert die Träger der Sozialversicherungen dazu auf, mit Ihren Versicherten nur noch auf sicherem und insbesondere beim elektronischen Versand von Gesundheitsdaten ausschließlich auf verschlüsseltem Wege zu kommunizieren. 

Gesundheitsdaten sind hoch sensible Daten. Der Missbrauch solcher Daten birgt ein hohes Risiko für die Grundrechte und Grundfreiheiten der Betroffenen in sich. Sie sollten deshalb einen besonders hohen Schutz genießen. Das Gesetz bezeichnet Gesundheitsdaten als besondere Kategorie personenbezogener Daten (vgl. Art. 9 Abs. 1 DSGVO), deren Verarbeitung grundsätzlich untersagt und nur in den besonderen Fällen des Art. 9 Abs. 2 DSGVO zulässig ist.

Einrichtungen, die besondere personenbezogene Daten verarbeiten

In seiner Pressemitteilung vom 10. Juli 2019 bezieht sich der BfDI auf die Träger der Sozialversicherungen. Hierzu zählen u.a. die Kranken- und Pflegekassen, Berufsgenossenschaften und die Deutsche Rentenversicherung. Neben den Einrichtungen aus dem öffentlichen Bereich gibt es aber auch zahlreiche Einrichtungen und Unternehmen aus der Privatwirtschaft, die regelmäßig mit hoch sensiblen Daten zu tun haben, weshalb die Ausführungen des BfDI auch dort zumindest vorausschauend beachtet werden sollten. Namentlich dürften sich deshalb alle Berufe und Einrichtungen aus dem Pflege- und Gesundheitswesen, wie Ärzte, Krankenhäuser, Tageskliniken und Pflegeheime oder auch Einrichtungen aus der Hospizarbeit und spezialisierten ambulanten Palliativversorgung (SAPV) angesprochen fühlen. Und auch wenn die DSGVO in caritativen und diakonischen Einrichtungen nicht anwendbar ist, werden dort regelmäßig besonders sensible personenbezogene Daten verarbeitet, sodass auch hier eine analoge Anwendung anzuraten ist.

Hohes Schutzniveau mittels Postversand oder verschlüsselter Versendung

Nach Meinung des BfDI könne ein hohes Schutzniveau typischer Weise durch den Versand der hoch sensiblen Daten mit der Post gewährleistet werden, da die Versandstücke in diesen Fällen dem grundrechtlich geschützten Brief- und Postgeheimnis unterliegen. Der Versand von Gesundheitsdaten mittels einfacher, unverschlüsselter E-Mail sei keinesfalls angemessen und sei vergleichbar mit dem Versand einer Postkarte. Die Mindestanforderung sei daher die (transport-)verschlüsselte Versendung von Gesundheitsdaten per E-Mail mit einer qualifizierten Signatur.

Zum Thema Datensicherheit sind wir bereits in einem unserer letzten Beiträge darauf eingegangen, was für eine sichere Datenübertragung laut dem Bundesamt für Sicherheit und Informationstechnik (BSI) der Mindeststandard sein sollte. SSL  v2, SSL v3 oder TLS 1.0 bzw. TLS 1.1 Protokolle werden ausdrücklich als ein „Risiko für die Informationssicherheit“ bezeichnet. Empfohlen wird der Einsatz der Verschlüsselungsprotokolle TLS 1.2 und TLS 1.3, jeweils in Kombination mit Perfect Forward Secrecy (PFS).

Handlungsbedarf

Um der Erwartungshaltung des BfDI, ein hohes Schutzniveau beim Versand der hoch sensiblen Daten zu gewährleisten, gerecht zu werden, sollten Unternehmen und Einrichtungen sich umgehend sowohl mit den technischen Anforderungen als auch den verschiedenen Möglichkeiten des verschlüsselten Versands hoch sensibler Daten auseinandersetzen.

Autor: Markus Spöhr, Wirtschaftsjurist LL.B. & Berater im Datenschutz