Der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI) for­dert die Trä­ger der Sozi­al­ver­si­che­run­gen dazu auf, mit Ihren Ver­si­cher­ten nur noch auf siche­rem und ins­be­son­de­re beim elek­tro­ni­schen Ver­sand von Gesund­heits­da­ten aus­schließ­lich auf ver­schlüs­sel­tem Wege zu kommunizieren.

Und auch wenn die DSGVO in cari­ta­ti­ven und dia­ko­ni­schen Ein­rich­tun­gen nicht anwend­bar ist, wer­den dort regel­mä­ßig beson­ders sen­si­ble per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet, sodass auch hier eine ana­lo­ge Anwen­dung anzu­ra­ten ist.” – Mar­kus Spöhr

Gesund­heits­da­ten sind hoch sen­si­ble Daten. Der Miss­brauch sol­cher Daten birgt ein hohes Risi­ko für die Grund­rech­te und Grund­frei­hei­ten der Betrof­fe­nen in sich. Sie soll­ten des­halb einen beson­ders hohen Schutz genie­ßen. Das Gesetz bezeich­net Gesund­heits­da­ten als beson­de­re Kate­go­rie per­so­nen­be­zo­ge­ner Daten (vgl. Art. 9 Abs. 1 DSGVO), deren Ver­ar­bei­tung grund­sätz­lich unter­sagt und nur in den beson­de­ren Fäl­len des Art. 9 Abs. 2 DSGVO zuläs­sig ist.

Ein­rich­tun­gen, die beson­de­re per­so­nen­be­zo­ge­ne Daten verarbeiten

In sei­ner Pres­se­mit­tei­lung vom 10. Juli 2019 bezieht sich der BfDI auf die Trä­ger der Sozi­al­ver­si­che­run­gen. Hier­zu zäh­len u.a. die Kranken- und Pfle­ge­kas­sen, Berufs­ge­nos­sen­schaf­ten und die Deut­sche Ren­ten­ver­si­che­rung. Neben den Ein­rich­tun­gen aus dem öffent­li­chen Bereich gibt es aber auch zahl­rei­che Ein­rich­tun­gen und Unter­neh­men aus der Pri­vat­wirt­schaft, die regel­mä­ßig mit hoch sen­si­blen Daten zu tun haben, wes­halb die Aus­füh­run­gen des BfDI auch dort zumin­dest vor­aus­schau­end beach­tet wer­den soll­ten. Nament­lich dürf­ten sich des­halb alle Beru­fe und Ein­rich­tun­gen aus dem Pflege- und Gesund­heits­we­sen, wie Ärz­te, Kran­ken­häu­ser, Tages­kli­ni­ken und Pfle­ge­hei­me oder auch Ein­rich­tun­gen aus der Hos­piz­ar­beit und spe­zia­li­sier­ten ambu­lan­ten Pal­lia­tiv­ver­sor­gung (SAPV) ange­spro­chen füh­len. Und auch wenn die DSGVO in cari­ta­ti­ven und dia­ko­ni­schen Ein­rich­tun­gen nicht anwend­bar ist, wer­den dort regel­mä­ßig beson­ders sen­si­ble per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet, sodass auch hier eine ana­lo­ge Anwen­dung anzu­ra­ten ist.

Hohes Schutz­ni­veau mit­tels Post­ver­sand oder ver­schlüs­sel­ter Versendung

Nach Mei­nung des BfDI kön­ne ein hohes Schutz­ni­veau typi­scher Wei­se durch den Ver­sand der hoch sen­si­blen Daten mit der Post gewähr­leis­tet wer­den, da die Ver­sand­stü­cke in die­sen Fäl­len dem grund­recht­lich geschütz­ten Brief- und Post­ge­heim­nis unter­lie­gen. Der Ver­sand von Gesund­heits­da­ten mit­tels ein­fa­cher, unver­schlüs­sel­ter E‑Mail sei kei­nes­falls ange­mes­sen und sei ver­gleich­bar mit dem Ver­sand einer Post­kar­te. Die Min­dest­an­for­de­rung sei daher die (transport-)verschlüsselte Ver­sen­dung von Gesund­heits­da­ten per E‑Mail mit einer qua­li­fi­zier­ten Signatur.

Zum The­ma Daten­si­cher­heit sind wir bereits in einem unse­rer letz­ten Bei­trä­ge dar­auf ein­ge­gan­gen, was für eine siche­re Daten­über­tra­gung laut dem Bun­des­amt für Sicher­heit und Infor­ma­ti­ons­tech­nik (BSI) der Min­dest­stan­dard sein soll­te. SSL  v2, SSL v3 oder TLS 1.0 bzw. TLS 1.1 Pro­to­kol­le wer­den aus­drück­lich als ein „Risi­ko für die Infor­ma­ti­ons­si­cher­heit“ bezeich­net. Emp­foh­len wird der Ein­satz der Ver­schlüs­se­lungs­pro­to­kol­le TLS 1.2 und TLS 1.3, jeweils in Kom­bi­na­ti­on mit Per­fect For­ward Sec­re­cy (PFS).

Hand­lungs­be­darf

Um der Erwar­tungs­hal­tung des BfDI, ein hohes Schutz­ni­veau beim Ver­sand der hoch sen­si­blen Daten zu gewähr­leis­ten, gerecht zu wer­den, soll­ten Unter­neh­men und Ein­rich­tun­gen sich umge­hend sowohl mit den tech­ni­schen Anfor­de­run­gen als auch den ver­schie­de­nen Mög­lich­kei­ten des ver­schlüs­sel­ten Ver­sands hoch sen­si­bler Daten auseinandersetzen.

Artikel zum selben Thema:

Autor des Artikels:

Datenschutz am Bodensee

Mehr zum Autorenteam