Rechnungen aus der Apotheke per Mail?
Bei der Übermittlung von Apothekenrechnungen per E-Mail ist zum Schutz der hier betroffenen Gesundheitsdaten eine Inhaltsverschlüsselung („Endezu-Ende-Verschlüsselung“) erforderlich. Als datenschutzkonforme Lösungen kommen Verschlüsselungsstandards S/MIME oder OpenPGP, Portallösungen oder gegebenenfalls passwortgeschützte ZIP-Dateien in Betracht.
Die Landesapothekerkammer Hessen bat die Datenschutzaufsicht um eine Einschätzung, wie grundsätzlich bei dem Versand von Rechnungen per E-Mail zu verfahren sei. Vorangegangen war eine Eingabe bezüglich des unverschlüsselten E-Mail-Versands von Apothekenrechnungen an ein Pflegeheim. Hier hatte der hessische Datenschutzbeauftragte durchgesetzt, dass die Apotheke diese Vorgehensweise einstellt. Gemäß Art. 5 Abs. 1 lit.f DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Durch geeignete technische und organisatorische Maßnahmen ist der Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung sicherzustellen („Integrität und Vertraulichkeit“).
Nach Art. 32 DSGVO hat der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Je sensibler die personenbezogenen Daten sind, desto größer ist auch der Schutzbedarf, der bei der Auswahl der zu treffenden Maßnahmen zugrunde zu legen ist.
Die Rechnungen von Apotheken enthalten regelmäßig Informationen, die Rückschlüsse auf den Gesundheitszustand der Kundinnen und Kunden zulassen. Insbesondere bei verschreibungspflichtigen Medikamenten kann die voraussichtliche Einnahme eines Medikaments auch einer konkreten Person zugeordnet werden. Es sind daher die nach Art. 9 Abs. 1 DSGVO besonders geschützten Gesundheitsdaten betroffen.
Bei der Versendung von E-Mails mit Gesundheitsdaten ist eine Transportverschlüsselung grundsätzlich nicht ausreichend. Vielmehr ist hier zum Schutz der Gesundheitsdaten bei Berücksichtigung des Standes der Technik zusätzlich zur Transportverschlüsselung auch eine Inhaltsverschlüsselung („Ende-zu-Ende-Verschlüsselung“) erforderlich.
Durch Nutzung der gängigen Verschlüsselungsstandards S/MIME oder OpenPGP kann z.B. eine Inhaltsverschlüsselung von E-Mails erreicht werden. Dafür müssten die Empfängerinnen und Empfänger der Rechnungen aber über entsprechende Kenntnisse und technische Möglichkeiten verfügen.
Eine andere datenschutzkonforme Variante kann in der Bereitstellung der Rechnungen über einen externen IT-Anbieter bestehen (Portallösung). Hierbei werden die Kundinnen und Kunden per E-Mail darüber benachrichtigt, dass sie ihre Rechnung über ein personalisiertes und passwortgeschütztes Login von einem Server des IT-Anbieters herunterladen können. Bei dieser Variante muss sichergestellt werden, dass der IT-Anbieter die erhöhten Anforderungen an die IT-Sicherheit beim Umgang mit Gesundheitsdaten erfüllt. Die Daten müssen dazu auch verschlüsselt auf dem Server des Anbieters abgelegt werden, so dass dieser keinen Zugriff auf die Daten erhält.
Alternativ dazu dürfen Apothekenrechnungen unter den folgenden Bedingungen auch als passwortgeschützte ZIP- oder PDF-Datei im Anhang einer E-Mail versendet werden:
- Die E-Mail selbst darf im Betreff, im Text und im Namen des Anhangs keine Gesundheitsdaten enthalten.
- Das Passwort muss ausreichend komplex sein und darf sich nicht aus der Kommunikationsbeziehung ableiten lassen (z.B. Geburtsdatum oder Kundennummer).
- Bei der Verschlüsselung muss durch entsprechende Einstellungen unter Berücksichtigung des Stands der Technik ein angemessenes Schutzniveau erreicht werden (Art. 25 DSGVO). Dazu gehört beispielsweise, dass die eingesetzte Software sichere Verschlüsselungsalgorithmen unterstützt (z.B. AES-256) und keine Zugriffsmöglichkeiten (sog. „Backdoors“) für den Anbieter der Software vorsieht.
- Das Passwort muss auf einem alternativen Kommunikationsweg übermittelt werden (z.B. persönlich, telefonisch, SMS) und sollte nicht über einen längeren Zeitraum verwendet werden.
Voraussetzung für diese datenschutzkonformen Lösungen zur elektronischen Übermittlung der Rechnungen ist, dass die Empfänger tatsächlich in der Lage sind, die verschlüsselten Nachrichten zu öffnen. Daher ist regelmäßig im Vorfeld der Übermittlung eine Abstimmung zu geeigneten Lösungen und Formaten erforderlich. Der routinemäßige unverschlüsselte Versand von Rechnungen per E-Mail auf Basis einer Einwilligung der Kundinnen und Kunden ist nicht zulässig. Die gesetzlichen Vorgaben der Art. 5 Abs. 1 lit.f und 32 DSGVO stehen dem entgegen und verpflichten die Apotheken, unabhängig von Willensbekundungen ihrer Kundinnen und Kunden entsprechende Vorkehrungen zum Schutz der personenbezogenen Daten zu treffen.
Auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat mit Beschluss vom 24. November 2021 klargestellt, dass ein Verzicht auf die vom Verantwortlichen vorzuhaltenden technischen und organisatorischen Maßnahmen oder die Absenkung des gesetzlich vorgeschriebenen Standards auf der Basis einer Einwilligung grundsätzlich nicht zulässig ist.
Im Ergebnis wurde die Landesapothekerkammer Hessen darüber informiert, dass die oben angeführten Anforderungen für den Versand von Rechnungen per E-Mail gelten. Die Landesapothekerkammer Hessen kann nunmehr ihre Mitglieder rechtssicher beraten und diesen die genannten, datenschutzkonformen Lösungsansätze aufzeigen.
Quelle: HBDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks