Service-Briefkasten durch Arztpraxis
Ärztinnen und Ärzte haben geeignete technische und organisatorische Maßnahmen zu treffen, um unbefugten Dritten den Zugang zu Patientendaten zu verwehren.
Dies gilt auch dann, wenn sie Rezepte und Überweisungen außerhalb ihrer Praxisräume für ihre Patientinnen und Patienten hinterlegen möchten. Für Unterlagen, die Gesundheitsdaten beinhalten, besteht ein besonderer Schutzbedarf.
Durch eine Eingabe wurde ich darauf aufmerksam, dass eine Ärztin Rezepte und Überweisungen für ihre Patienten zur Abholung in einem öffentlich zugänglichen Briefkasten hinterlegt. Der Schlüssel zum Briefkasten steckte dabei permanent im Briefkasten, so dass berechtigte und nicht berechtigte Personen die dort hinterlegten Unterlagen jederzeit mitnehmen konnten. Auf meine Nachfrage teilte die Ärztin mit, dass die Patientinnen und Patienten meist telefonisch um die Hinterlegung im Briefkasten bäten, um die Unterlagen außerhalb der Öffnungszeiten mitnehmen zu können. Die Rezepte oder Überweisungen würden, in einem verschlossenen Umschlag und mit den Namen der jeweiligen Patientinnen und Patienten beschriftet, in den Briefkasten gelegt. Der Postweg sei hierfür eine unsichere Alternative.
Der Briefkasten befand sich vor dem Eingang zur Praxis, der von der Straße abgeschieden und für Unbeteiligte nicht einsehbar war. Nach Angabe der Ärztin seien bisher keine negativen Rückmeldungen oder missbräuchliche Verwendungen von Inhalten durch Dritte vorgekommen. Gleichwohl schlug sie vor, Aufträge zum Deponieren im Briefkasten zukünftig nur schriftlich einzuholen und ein Zahlenschloss am Briefkasten anzubringen.
Rechtliche Bewertung
Die praktizierte Verfahrensweise war – auch mit den vorgeschlagenen Änderungen – datenschutzrechtlich unzulässig.
Die Aufbewahrung bzw. Hinterlegung von Patientenunterlagen ist nach den in Art. 5 Abs. 1 lit. f DSGVO festgelegten Grundsätzen auszugestalten. Trotz eines etwaigen ausdrücklichen schriftlichen Auftrags von Patientinnen und Patienten zur Hinterlegung im Briefkasten bleibt die Ärztin als Inhaberin und Betreiberin des Briefkastens sowie als „Absenderin“ der Daten verantwortliche Stelle für die Verarbeitung der Daten im Sinne des Art. 4 Nr. 7 DSGVO.
Sie trägt weiterhin die Pflichten aus Art. 5 DSGVO und hat insbesondere durch geeignete technische und organisatorische Maßnahmen eine angemessene Sicherheit personenbezogener Daten zu gewährleisten (Art. 5 Abs. 1 lit. f DSGVO). Hierzu gehört nach Erwägungsgrund 39 der DSGVO, dass unbefugte Personen keinen Zugang zu den Daten haben dürfen.
Welche Maßnahmen zum Schutz der Daten ergriffen werden müssen, hängt insbesondere von dem Risiko eines unberechtigten Zugriffs, der Art der Verarbeitung sowie der Bedeutung der Daten für die Rechte und Interessen der betroffenen Person ab. So sind bei der Beurteilung des angemessenen Schutzniveaus insbesondere die Risiken durch Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. unbefugten Zugang zu personenbezogenen Daten zu berücksichtigen (Art. 32 Abs. 1 und 2 DSGVO).
Da die Ärztin durch die Übermittlung der Rezepte und Überweisungen Gesundheitsdaten im Sinne des Art. 4 Nr. 15 DSGVO verarbeitet, ist Art. 9 Abs. 1 DSGVO zu beachten. Als besondere Kategorie personenbezogener Daten sind Gesundheitsdaten besonders schützenswert. Aufgrund dessen ist es unzulässig, die Patienten gänzlich auf den Schutz ihrer Gesundheitsdaten verzichten zu lassen. Eine wirksame Einwilligung scheidet hier schon deswegen aus, weil weder für die Ärztin noch für die Patientinnen und Patienten ersichtlich ist, wer Zugang zu den Daten haben könnte und zu welchen Zwecken diese möglicherweise verwendet werden könnten.
Die Patientinnen und Patienten können somit nicht umfänglich informiert in eine solche Übermittlung bzw. Offenlegung einwilligen, die letztlich unübersehbare Gefahren, wie z.B. eine Veröffentlichung im Internet, in sich bergen kann.
Anforderungen an die technisch-organisatorischen Maßnahmen
Im Hinblick auf die Sensibilität der Daten war der durch den permanent vorhandenen Schlüssel stets von jedermann zu öffnende Briefkasten nicht hinnehmbar. Auch die von der Ärztin vorgeschlagene Lösung eines Zahlenschlosses mit täglich wechselnden Zugangscodes müsste so ausgestaltet sein, dass die täglich verwendete Zugangsnummer weder für unbeteiligte Dritte noch für Patientinnen und Patienten, die aktuell nichts abzuholen hatten, vorhersehbar ist. So scheidet z.B. die Nutzung der laufenden Tageszahl oder eine feststehende zweistellige Nummer mit laufender Nummer des aktuellen Wochentages als zu leicht überwindbar aus. Es müssten vielmehr zufällige Folgenummern generiert werden.
Ein Standard-Briefkasten ist zudem zum Hinterlegen von Rezepten oder sonstigen ärztlichen Unterlagen mit Patientendaten gänzlich ungeeignet. Weder Material noch Schließsystem stellen einen ernsthaften Widerstand gegen Einbruch oder Vandalismus dar. Ein angemessenes Behältnis für den von der Ärztin angebotenen Service müsste sicherstellen, sein, dass
- das unbefugte Öffnen des Abholbehälters nur mit erheblichem Zeitaufwand und Werkzeugeinsatz möglich ist,
- ein Diebstahl des verschlossenen Behälters durch entsprechende Verankerung weitestgehend verhindert oder erschwert ist und
- eine unbefugte Entnahme durch Dritte über den eventuell vorhandenen Einwurf nicht möglich ist (Sperrklappe oder Blockieren des Einwurfs).
Auch hinsichtlich des Standortes waren erhöhte Anforderungen an den Zugangsschutz zu stellen. Der von der Straße nicht einsehbare Eingangsbereich außerhalb der Praxisöffnungszeiten war insoweit mit hoher Wahrscheinlichkeit weitestgehend unbeobachtet.
Zudem müssten die einzelnen verschlossenen Umschläge mit den bereitgestellten Dokumenten in dem Behältnis deutlich mit den jeweiligen Empfängeranschriften beschriftet sein, damit diese sofort erkennen können, dass das Dokument
- eindeutig aus der Praxis stammt,
- nicht durch Dritte geöffnet wurde,
- der Inhalt vollständig und unverändert ist.
Schließlich stellte sich die Frage, ob überhaupt mehrere Dokumente – und wenn ja, wie viele – pro Tag zur Abholung bereitgestellt werden durften, da nicht ausgeschlossen werden konnte, dass berechtigte Nutzer versehentlich, bös- oder mutwillig fremde Dokumente entfernen oder manipulieren.
Problematisch ist vor allem, dass insbesondere eine missbräuchliche Entnahme immer erst nachträglich auffallen würde: Empfänger, die ihr/e Dokument/e vermissen, könnten frühestens am folgenden Öffnungstag die Praxis kontaktieren. Es ließe sich damit erst im Nachhinein feststellen, ob das angekündigte Dokument nur vergessen oder evtl. durch Dritte entwendet wurde.
Ergebnis
Um den datenschutzrechtlichen Anforderungen bezüglich der Gesundheitsdaten zu entsprechen, hätte die Ärztin eine Schließfach- bzw. Packstation-ähnliche Anlage bereitstellen müssen, die mit den oben beschriebenen Maßnahmen eine geeignete Anzahl von Abholfächern für jeweils einen Patienten (mit zufälligem Wechsel der Zugangsnummer nach jeder Abholung) beinhaltet.
Die aufgestellten technisch-organisatorischen Anforderungen an die Beschaffenheit und den Betrieb eines datenschutzgerechten „Service-Briefkastens“ wollte die Ärztin nicht erfüllen und stellte daher den Betrieb des Briefkastens ein.
Quelle: HBDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks