Liebe Leser,
gestern im Webinar kam die Frage nach einer E-Mail Verschlüsselung auf. Ich habe mich heute morgen damit beschäftigt und möchte Ihnen folgendes dazu mitteilen:
Grundsätzliches:
Wir lesen in wikipedia:
Die E-Mail-Verschlüsselung geht oft einher mit der digitalen Signatur und wird in vielen Szenarien tatsächlich mit ihr kombiniert. Das Ziel einer digital signierten E-Mail ist es, Informationen so vom Absender zum Empfänger zu schicken, dass sie niemand unbemerkt auf dem Weg vom Absender zum Empfänger manipulieren kann. Die E-Mail-Signatur befriedigt das Bedürfnis nach Authentizität und Integrität.
Oft wird E-Mail-Verschlüsselung mit TLS-Verschlüsselung in Verbindung gebracht. Bei diesem Verfahren handelt es sich jedoch oft nur um eine Transportverschlüsselung zwischen den E-Mail-Servern. Wenn auch die Anlieferung der E-Mail an den E-Mail-Server und das Abholen der E-Mail vom Postfachserver verschlüsselt erfolgen soll, muss zusätzlich STARTTLS eingesetzt werden. Außerdem ist die Integrität der E-Mail nicht gewährleistet, da die E-Mail nicht signiert wird.
Quelle: https://de.wikipedia.org/wiki/E-Mail-Verschl%C3%BCsselung
Bitte lesen Sie ruhig mal den ganzen Wikipedia Beitrag durch, er erklärt diese Verschlüsselungen sehr gut mit Beispielen, auch für den „normalen“ Menschen verständlich.
Das heißt: Bei einer „richtigen“ E-Mail-Verschlüsselung braucht der Empfänger ein Passwort oder eine Signatur zum entschlüsseln. Es sind hier an den Empfänger hohe technische Anforderungen gestellt. Auch eine Einrichtung von Verschlüsselung auf mobilen Geräten ist für Laien kaum umsetzbar. Damit wird eine wirkliche „Ende-zu-Ende-Verschlüsselung“ kompliziert.
E-Mail-Verschlüsselung im Hinblick auf die DSGVO:
Hier hilft ein Blick in Art 32 DSGVO „Sicherheit der Verarbeitung“. Hier lesen wir in Abs 1:
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten;…“
Betrachten wir die von mir fett hervorgehobenen Passagen. Es sind die Kosten für so eine Verschlüsselung abzuwägen und auch die Umstände (heißt, wie kompliziert wird es) und es müssen GEEIGNETE Maßnahmen ergriffen werden. Es kann nicht jedem Patienten zugemutet werden, sich mit solchen Verschlüsselungen auseinander zu setzen. Dann ist es eben keine geeignete Maßnahme und es greift der sog. Verhältnismäßigkeitsgrundsatz. Damit käme ich (mit Unterstützung des Datenschutz-Gurus und meines IT-lers) zu der Erkenntnis: Keine Verschlüsselungspflicht.
Art 9 DSGVO besonders schützenswerte Daten
Jetzt kann man trefflich streiten. Als Heilpraktiker verarbeiten Sie besonders schützenswerte Daten. Der Datenschutzbeauftragte Andreas Schurig aus Sachsen lässt verlauten, dass es nicht rechtsmäßig ist, Gesundheitsdaten unverschlüsselt zu versenden. Auch das ist „nur“ eine Meinung und nach meiner Ansicht greift auch hier die Verhältnismäßigkeit aus Art 32 DSGVO. Und ich bin mit meiner Meinung nicht alleine.
Was können Sie tun?
Ich würde zum jetzigen Zeitpunkt folgende Empfehlung zum Thema E-Mail-Versand bei Heilpraktikern aussprechen: Wenn Ihr Patient einverstanden ist, dass Sie ihm Mails senden, dann können Sie mit ihm Mails austauschen. Gesundheitsdaten (Rechnungen, Laborberichte, etc) würde ich entweder per Post versenden oder Sie nutzen Lemniscus (ich finde, das ist generell ein tolles Programm für Heilpraktiker).
Sie können aus Lemniscus heraus für Dokumente (Labor, Rechnungen, Befunde) einen sicheren Link generieren. Dieser wird dann mit normaler Mail versendet. Der Link ist passwortgeschützt. Das Passwort erhält der Patient mit SMS. So ist eine verschlüsselte Übertragung sicher gestellt. Diese Methode gefällt mir sehr gut. So haben Sie in Lemniscus alles in Ihren Patientenakten und können den Patienten unkompliziert anmailen. Auch für Ihre Patienten ist dies einfach umsetzbar. Hier finden Sie weitere Informationen:
https://lemniscus.de/news/2018/03/13/dokumente-sicher-verschicken.html
Lemniscus bietet einen 4-wöchigen Test für das Programm an. Gerne können Sie sich bei Fragen an mich oder Lemniscus wenden.
Unser Angebot an Sie:
In Zusammenarbeit mit Lemniscus biete ich dazu Webinare an. Das Webinar kann auch als Aufzeichnung erworben werden.
https://lemniscus.edudip.com/w/293712
Claudia Hönig