Die Digitalisierung der ärztlichen Versorgung durch virtuelle Hausbesuche, Online-Therapien oder Video-Sprechstunden schreitet voran. Setzen Ärztinnen und Ärzte auf digitale Möglichkeiten, müssen Sie gewährleisten, dass Datenschutz und Patientengeheimnis genauso eingehalten werden, wie in der herkömmlichen Sprechstunde vor Ort.
Anbieter von Videosprechstunden, bei denen Arzt und Patient per Online-Videoverbindung kommunizieren, müssen in Deutschland zudem die Anforderungen der „Vereinbarung über die Anforderungen an die technischen Verfahren zur Videosprechstunde gemäß § 291g Absatz 4 SGB V“ vom 01.10.2016 zwischen dem GKV-Spitzenverband und der Kassenärztlichen Bundesvereinigung einhalten.
§ 5 der Vereinbarung gibt dabei neben bestimmten inhaltlichen Anforderungen auch Anforderungen an die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten vor. Beispielsweise dürfen nur Server innerhalb der EU genutzt werden. Dabei ist darauf zu achten, welche personenbeziehbaren Daten als „Nebenprodukt“ im Rahmen der Kommunikation per Video-Chat anfallen und wie diese verarbeitet werden. Werden etwa Chat-Protokolle auf Servern in den USA längere Zeit gespeichert, wie es bei Skype der Fall ist, ist dies anhand der Anforderungen für Datenübermittlungen in Drittländer außerhalb der EU/des EWR zu bewerten (vgl. hierzu die Berliner Beauftragte für Datenschutz und Informationsfreiheit im Tätigkeitsbericht 2016, Kap. 7.2, die den Einsatz von Skype für Bewerbungsverfahren für unzulässig erachtete). § 5 der Vereinbarung schließt eine Datenverarbeitung in den USA kategorisch aus.
Ferner ist eine Peer-to-Peer-Verbindung einzusetzen. Metadaten dürfen nur maximal 3 Monate aufbewahrt werden.
Vor allem aber sind sämtliche Inhalte der Videosprechstunde während des gesamten Übertragungsprozesses nach dem Stand der Technik Ende-zu-Ende zu verschlüsseln. Als Beispiel wird hier die Technische Richtlinie 02102 des BSI benannt. Hierbei muss insbesondere sichergestellt werden, dass Patientengeheimnisse nicht an Unbefugte offenbart werden können.
Damit Ärzte und Patienten nur solche Systeme für Videosprechstunden einsetzen, die auch vertrauenswürdig sind, müssen Anbieter von Videosprechstunden die Einhaltung der Vorgaben des § 5 nachweisen durch:
(1) ein Gütesiegel, das von einer unabhängigen Datenschutzaufsichtsbehörde vergeben bzw. anerkannt wurde oder
(2) ein Datenschutzzertifikat von einer von der Deutschen Akkreditierungsstelle (DAkkS) akkreditierten Stelle.
Für Anbieter von Videosprechstunden bieten sich damit verschiedene Möglichkeiten:
Behördlich erteilte Siegel wie z. B. des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) erfüllen die Anforderungen nach (1). Eine Prüfstelle prüft dabei das Produkt auf Einhaltung des Datenschutzes und der IT-Sicherheit und erstellt hierzu ein Gutachten. Das ULD kann dann auf Basis des Gutachtens das deutschlandweit anerkannte Gütesiegel erteilen.
Andererseits kann ein Zertifikat einer DAkkS-akkreditierten Stelle diesen Nachweis bringen. Dabei besagt die Vereinbarung der Verbände zur Videosprechstunde nichts über die Art eines solchen Zertifikates; gleichwohl sind die Prüfungsbedingungen in § 5 der Vereinbarung festgehalten, so dass Zertifizierungsstellen und Prüfstellen für IT-Sicherheit und Datenschutz in der Lage sind, diese Anforderungen angemessen zu überprüfen.