Arbeitsgruppe

Datenschutz und IT-Sicherheit im Gesundheitswesen (DIG)

Bemerkungen zur Nutzung von E-Mail im Gesundheitswesen

Erarbeitet von der GMDS-Arbeitsgruppe „Datenschutz in Gesundheitsinformationssystemen“

Für die Nutzung von E-Mail im Gesundheitswesen gibt es bereits Empfehlungen, die auch die Gesichtspunkte des Datenschutzes berücksichtigen. Zu nennen sind hier vor allem:

  • Netzdienste im Gesundheitswesen (GMDS-Präsidiumskommission),
  • Klinische Nutzung von E-Mail (GMDS-AG Internet).
  • Leitlinien für den E-Mail-Versand im Gesundheitswesen (KV Bayern).

Daher werden hier nur einige Bemerkungen zusammengestellt, die zusätzlich zur Klärung von Fragen beitragen können.

Anwendungsfälle

Grundsätzlich ist beim Einsatz von E-Mail zu unterscheiden zwischen

  1. Kommunikation zwischen Trägern des Gesundheitswesens (Ärzte, Krankenhäuser, Kassenärztliche Vereinigungen, Krankenkassen),
  2. Kommunikation zwischen Forschergruppen (Ärzte, epidemiologische Register, medizinische Forschungsnetze, …),
  3. Kommunikation mit Patienten.

Für den ersten Anwendungsfall kann auf der Basis vorhandener oder leicht zu installierender Infrastruktur ein angemessenes Sicherheitsniveau erreicht werden. Das gilt auch für den zweiten Fall, wobei hier die Möglichkeiten zur Anonymisierung und Pseudonymisierung zu nutzen sind. Für den dritten Anwendungsfall - Kommunikation mit Patienten - bestehen erhebliche Bedenken: Grundlegende Anforderungen des Datenschutzes können nicht erfüllt werden; daher ist E-Mail-Kommunikation hier nur einzelnen Ausnahmefällen annehmbar.
In jedem Fall sind natürlich die gesetzlichen Regelungen zur Weitergabe von personenbezogenen Daten zu beachten.
Zu beachten ist auch, dass das E-Mail-Protokoll die Zustellung nicht garantiert.

Sicherheitsgesichtspunkte

Bei der Beurteilung der nötigen Sicherheitsmaßnahmen für den E-Mail-Einsatz wird oft unterschieden zwischen geschlossenen Netzen, die vollständig unter Kontrolle einer Institution (z. B. Krankenhaus) oder eines Gesundheits-/Ärztenetzes stehen, und dem offenen Internet. Aber auch im ersten Fall bildet die Institution in der Regel keine informationelle Einheit. Außerdem sind schwache Sicherheitsmaßnahmen, was E-Mail betrifft, nicht einfacher in der Installation und der Handhabung. Daher ist diese Differenzierung wenig hilfreich. Auch im geschlossenen Netz eines Krankenhauses oder einer Institution sind Patientendaten z. B. vor der Netzverwaltung zu schützen. Bei einem Gesundheitsnetz kann auch schon der Zugang zu diesem, d. h. bis zum Einwahlknoten, eine Schwachstelle sein.
Zu beachten ist weiter, dass auch bei Kommunikation innerhalb eines Netzes (z. B. einer Universitätsklinik) nicht zwingend ausgeschlossen werden kann, dass die Datenströme nicht einen Umweg über die „Außenwelt“ nehmen oder gar außerhalb liegende Mail-Accounts verwendet werden.
Zu unterscheiden ist weiter zwischen

  1. der Sicherheit der Übertragung
  2. und der Sicherheit der beteiligten Endgeräte und Anwendungen.

In dieser Empfehlung wird nur der Punkt 1 behandelt. Das heikle und bei der gegenwärtigen Marktlage keineswegs gelöste Problem 2 ist Gegenstand anderer Empfehlungen; als Einstieg sei dafür verwiesen auf:

  • Datenschutz und informationstechnische Sicherheit bei PCs (LfD Berlin)
  • Sicherheitsmaßnahmen beim PC-Einsatz (BSI-Faltblatt)

Ferner muss unterschieden werden zwischen

  1. der eigentlichen mit der E-Mail übertragenen Information (Nutzdaten)
  2. und den Verbindungsdaten.

Schutz der Nutzdaten

Dass die Nutzdaten kryptographisch gesichert werden müssen (Vertraulichkeit und Echtheit), ist unstrittig und wird inzwischen weitgehend eingesehen. Zu verwenden ist hierbei die im jeweiligen Gesundheitsnetz oder der Institution vorhandene kryptographische Infrastruktur; in der Regel wird die Mail dann mit dem S/MIME-Protokoll verschlüsselt.
Bei der Stärke der Verschlüsselung sind zu unterscheiden:

  • symmetrische Verfahren, die Schlüssellängen von mindestens 128 Bit erfordern,
  • asymmetrische Verfahren mit zu fordernden Schlüssellängen von mindestens 2048 Bit (bei den gängigen Verfahren).

In der Praxis werden in der Regel sogenannte hybride Verfahren (z.B. in S/MIME oder PGP) eingesetzt, die beide Sorten von Verschlüsselung verwenden, und zwar das asymmetrische Verfahren zur Übermittlung von Einmalschlüsseln für das symmetrische Verfahren; hier müssen nätürlich beide Schlüssellängen unabhängig voneinander ausreichend gewählt werden.

Sind Verbindungsdaten schutzbedürftig?

Die Verbindungsdaten, die bei den Netz-Betreibern anfallen, sind bei der Kommunikation innerhalb und zwischen Institutionen des Gesundheitswesens, also etwa von Arzt zu KV, nicht besonders schützenswert. Anders wäre es bei einer Kommunikation mit Patienten. Hier ließe sich allein aufgrund der Verbindungsdaten auf die Tatsache der Behandlung eines bestimmten Patienten bei einem bestimmten Arzt schließen. Darüber hinaus würden sich in Log-Dateien Patientenlisten für die beteiligten Ärzte ansammeln, die mit einfachen Extraktionsmethoden ausgewertet werden könnten. Die Verbindungsdaten können beim Provider beschlagnahmt werden. Außerdem können Patientenlisten durchaus auch einen kommerziellen Wert haben.
Diese Information preiszugeben ist seitens des Arztes also ein Verstoss gegen die Schweigepflicht, die auch gegenüber dem Provider gilt.

Weitere Sicherheitshinweise

  • Die interne Kommunikation im Gesundheitswesen oder innerhalb der Institution ist möglichst von der externen, vor allem von der privaten, zu trennen, am besten durch die Verwendung unterschiedlicher Rechner und Mail-Accounts. Insbesondere ist die Weiterleitung an einen eigenen privaten Account, etwa um dienstliche E-Mail auch zu Hause bearbeiten zu können, nicht ohne weiteres zulässig.
  • Mail, sowohl versendete als auch empfangene, sollte stets verschlüsselt gepeichert werden; in Frage kommt hier auch die Klartextspeicherung in einem verschlüsselten Dateisystem.
  • Es ist auch auf sicheres Löschen zu achten; insbesondere sind Mail-Dateien im Papierkorb nicht gelöscht.
  • Eine in Praxis- oder Krankenhaussoftware integrierte E-Mail-Funktion sollte nur dann verwendet werden, wenn sie die vorhandene kryptographische Infrastruktur einbindet, und zwar mit starker Verschlüsselung.
  • Verschlüsselung schützt nicht vor der Übertragung von Viren und Schadprogrammen, im Gegenteil: Virenfilter beim Provider oder in einem Firewall können das mitverschlüsselte Schadprogramm ja gar nicht erkennen. Daher ist es wichtig, dass der Endnutzer sich selbst um einen wirksamen Virenschutz kümmert.
  • Die Verwendung von Multimedia-Mail, auch von HTML-formatierter Mail, ist zu vermeiden, auch innerhalb geschlossener Netze. Zwar lassen sich deren Gefahren durch sorgfältige Handhabung vermindern; das ist aber nur unter der unrealistischen Annahme umsetzbar, dass alle Kommunikationspartner das gleiche Sicherheitsniveau einhalten. Insbesondere sollten Office-Dateien (Textverarbeitung, Tabellenkalkulation usw.) so lange nicht verschickt werden, wie die Anbieter dieser Software nicht Vorkehrungen für einen sicheren Dokumentenaustausch vorsehen. Die Gefahr besteht
    • einerseits im unbeabsichtigten Versand versteckter (z.B. scheinbar gelöschter) Daten, die in Office-Dokumenten reichlich vorhanden sind,
    • andererseits im unbeabsichtigten Empfang mitverschickter Makroviren.

E-Mail-Kommunikation mit Patienten?

Das bereits erwähnte Problem der Verbindungsdaten, das beim gegenwärtigen Stand der Informationstechnik nicht mit angemessenem Aufwand lösbar ist, spricht gegen die E-Mail-Kommunikation mit Patienten.
Ferner ist aber auch in der Regel nicht anzunehmen, dass Patienten die nötigen Kenntnisse haben, E-Mail sicher zu empfangen und zu speichern. Auch routinierte Internet- und Mail-Benutzer haben meist noch erhebliche Wissenslücken im Bereich der IT-Sicherheit. Hier muss der Arzt an seine Fürsorgepflicht erinnert werden. Da ihm eine umfassende Schulung seiner Patienten in Sicherheitsfragen nicht zuzumuten ist, sollte der E-Mail-Versand besser ganz unterbleiben. Allenfalls auf ausdrücklichen Wunsch des Patienten könnte man evtl. eine Terminvergabe per Mail mitteilen, auf keinen Fall aber sensible Informationen.
Zwar wäre sogar die unverschlüsselte Kommunikation aufgrund einer schriftlichen Einwilligungserklärung des Patienten rechtlich nicht anfechtbar; insgesamt muss aber davon abgeraten werden, dass der Arzt mit seinen Patienten per E-Mail kommuniziert.

23. Oktober 2001. Letzte redaktionelle Änderung: 6. Januar 2002.