Das Internet bietet viele Kommunikationsmöglichkeiten. Auch der Kontakt zwischen Patientin oder Patient und Ärztin oder Arzt wird durch das Internet vereinfacht. Mal eben kurz einen Termin vereinbaren, ein Rezept ordern oder die Blutwerte geschickt bekommen – all das ist über E-Mails möglich. Aber nicht immer entspricht diese Form des Kontaktes zwischen Ärzten und Patienten dem Datenschutz. Ungeschützt verschickte Patientendaten können nicht ausreichend vor dem Zugriff Dritter gesichert sein.
Herr Eiermann, was ist am Kontakt zwischen Ärzten und Patienten mittels E-Mail aus Sicht des Datenschutzes problematisch?
„E-Mails sind wie Postkarten“, lautet eine oft zitierte Bewertung. Dies geht darauf zurück, dass keiner der an der Kommunikation Beteiligten wirklich einschätzen und erst recht nicht beeinflussen kann, welche Wege eine E-Mail vom Absender bis zum Empfänger nimmt, welche Stellen und Personen darauf zugreifen können und ob und wie lange die Nachricht (zwischen)gespeichert wird. Die Inhalte einer Mail sind in aller Regel ungeschützt und damit wie eine Postkarte von jedem lesbar, der sie in Händen hält bzw. vor Augen hat.
Ob Patienten ihren Ärzten Daten über ihren Gesundheitszustand per E-Mail zukommen lassen, liegt immer in der Hand und der Entscheidung der Patienten. Ob dabei Vertraulichkeit wichtig ist oder nicht oder ob das Risiko einer Kenntnisnahme durch Dritte in Kauf genommen wird, entscheidet jede Patientin und jeder Patient selbst. Medizinerinnen und Mediziner sind jedoch an ihre Schweigepflicht gebunden. Gegen diese verstoßen sie, wenn Informationen aus ihren ärztlichen Behandlungen Dritten offenbart werden. Streng genommen ist dies bereits der Fall, wenn schon die Tatsache, dass jemand in ärztlicher Behandlung ist, offenbar wird.
Verstoßen Ärztinnen oder Ärzte gegen ihre Schweigepflicht nach § 203 StGB, müssen sie gegebenenfalls mit strafrechtlichen Konsequenzen rechnen. Das Problem liegt also weniger bei einer E-Mail vom Patienten an den Arzt, als vielmehr bei einer (Antwort-)Mail von der Ärztin an die Patientin.
Ein Verstoß gegen die Schweigepflicht liegt allerdings nicht vor, wenn Patienten ihren behandelnden Ärzten eine Einwilligung erteilt haben, Behandlungsdaten per E-Mail zuzusenden. Diese Einwilligung muss jedoch explizit und in Kenntnis der bestehenden Risiken erteilt werden, das heißt, die Patientin bzw. der Patient muss darüber ausreichend unterrichtet sein. Allein in der Tatsache, dass die Patientin oder der Patient eine Anfrage oder Daten per E-Mail geschickt hat, liegt keine wirksame Einwilligung für eine Antwort ebenfalls per E-Mail.
Welche Möglichkeiten gibt es für Patienten und Mediziner, mittels E-Mail sicher miteinander zu kommunizieren?
Mithilfe einer Verschlüsselung können die Inhalte einer E-Mail so gesichert werden, dass Dritte diese nicht zur Kenntnis nehmen können. Zwar erfordert dies zusätzliche Schritte seitens der Absender und Empfänger, diese müssen jedoch nicht kompliziert sein. Auf unserer Internetseite www.datenschutz.rlp.de in der Rubrik „Selbstdatenschutz“ sowie auf unserer Seite www.mit-sicherheit-gut-behandelt.de unter „Digitale Arztpraxis – E-Mail“ ist dargestellt, wie sich E-Mail-Inhalte mit geeigneten und teils recht einfachen Mitteln schützen lassen.
Es handelt sich dabei um eine sogenannte „Ende-zu-Ende“-Verschlüsselung, weil so die Inhalte auf dem gesamten Übertragungsweg geschützt sind. Lösungen, die lediglich eine Verschlüsselung zwischen den Mail-Anbietern bieten (z.B. wie „E-Mail ´Made in Germany´“) reichen nicht aus, da die E-Mails auf den Mailservern der Provider im Klartext vorliegen bzw. von diesen eingesehen werden können.
Was würden Sie Patientinnen und Patienten sowie Ärztinnen und Ärzten zum Umgang mit E-Mails im Patientenkontakt raten?
Von dem Versand von Patientendaten ohne begleitende Schutzmaßnahmen rate ich angesichts der Ungewissheit, wo und wem die Daten unter Umständen bekannt werden, ab. Ärzte und Patienten sollten sich darüber abstimmen, ob und wie sie diese Form der Kommunikation nutzen wollen. Ärzte sollten die Einwilligung der Patientin oder des Patienten dokumentieren.