Die Nutzung von Videosprechstunden in Form von virtuellen Hausbesuchen oder Online-Therapien hat – nicht zuletzt aufgrund der Corona-Pandemie – stark zugenommen. Dementsprechend vielfältig ist das Angebot an Videosprechstunden, das aus der heutigen Gesundheitsversorgung nicht mehr wegzudenken ist. Im Folgenden möchten wir Sie über die gesetzlichen Anforderungen an Videosprechstundenanbieter sowie über typische Probleme während einer Zertifizierung in Bezug auf den Datenschutz und die Informationstechniksicherheit aufklären.
Gesetzliche Anforderungen an eine Videosprechstunde
Die rechtliche Grundlage der Anforderungen bildet insbesondere die Anlage 31b zum BMV-Ä auf Grundlage des § 365 SGB V. Innerhalb dieser werden unter anderem die Rahmenbedingungen für den Ablauf der Videosprechstunde, die datenschutzrechtlichen sowie informationssicherheitstechnischen Anforderungen definiert. Zusammengefasst umfassen diese Anforderungen die Datensicherheit, die Verschlüsselung der Videosprechstunde, Aufbewahrungsfristen für etwaig anfallende Metadaten und die Einhaltung der datenschutzrechtlichen Vorgaben der Anlage 31b zum BMV-Ä sowie der DSGVO. Zudem muss die Teilnahme der Patient*innen freiwillig und auf Grundlage einer Einwilligung gegenüber den Behandelnden erfolgen.
Ablauf der Zertifizierung einer Videosprechstunde
Da nun die rechtlichen Rahmenbedingungen abgesteckt wurden, wenden wir uns den Anforderungen an die eigentliche Zertifizierung der Videosprechstunde zu. Die Evaluierung der Videosprechstunde erfolgt anhand eines vordefinierten Prüfkatalogs einer Zertifizierungsstelle. Die Zertifizierungsstelle der datenschutz cert GmbH nutzt hierfür seit geraumer Zeit den Prüfkriterienkatalog „DSGVO – information privacy standard“. Da der Prüfkriterienkatalog der datenschutz cert GmbH generisch ist und somit auf eine Vielzahl von Datenverarbeitungsprozessen anwendbar ist, wird er auch zur Zertifizierung der Videosprechstunde herangezogen.
Nachfolgend wird der Ablauf der Zertifizierung einer Videosprechstunde anhand des Prüfkriterienkatalogs der datenschutz cert GmbH beschrieben. Insgesamt ist der Prüfkriterienkatalog „DSGVO – information privacy standard“ in acht Kriterien unterteilt:
P.1 Zulässigkeit der Datenverarbeitung
P.2 Grundsätze
P.3 Pflichten des Kunden
P.4 Auftragsverarbeitung
P.5 Technisch-organisatorische Maßnahmen
P.6 Datenschutz-Management
P.7 Datenverarbeitung außerhalb der EU
P.8 Betroffenenrechte
Die Abfrage der Informationen zu den jeweiligen Kriterien des Prüfkriterienkatalogs erfolgt innerhalb eines Referenzdokuments, das nach Beauftragung an den Videodienstanbieter druch die datenschutz cert GmbH übermittelt wird. Neben den abgefragten Informationen innerhalb der acht Kriterien muss der Anbieter auch erforderliche Nachweise wie das Verzeichnis der Verarbeitungstätigkeiten, die Datenschutz-Folgeabschätzung sowie etwaige Auftragsverarbeitungsverträge der eingesetzten Dienstleister einreichen.
Insofern erfolgt die Evaluierung in der Regel auf Dokumentenbasis sowie durch Überprüfung der Applikation selbst und ist in die Bereiche Datenschutz und Informationssicherheitstechnik unterteilt. Sollte es während der Evaluierung zu Rückfragen oder festgestellten Abweichungen kommen, werden diese in einem vorläufigen Fazit an den Anbieter der Videosprechstunde übermittelt. Der Anbieter hat dann die Möglichkeit, diese innerhalb einer gesetzten Frist zu beantworten und zu beheben.
Herausforderungen im Zertifizierungsprozess
Während des Evaluierungsprozesses können verschiedene Herausforderungen auftreten. Diese reichen von technischen Hürden bis hin zu datenschutzrechtlichen Fragestellungen. Nachfolgend werden häufig auftretende Schwierigkeiten beschrieben.
Hinsichtlich der informationssicherheitstechnischen Evaluierung beziehen sich die häufigsten Stolpersteine insbesondere auf eine unvollständige Dokumentation im Referenzdokuments. Da die Evaluierung im Bereich der Informationssicherheit unter anderem eine umfangreiche Dokumentenprüfung umfasst, ist eine abschließende Beurteilung nur möglich, wenn alle Dokumente und Nachweise vollständig ausgefüllt und eingereicht wurden. Fehlende Angaben, wie beispielsweise die Möglichkeit, eine Gruppenvideosprechstunde durchführen zu können, führen zu Verzögerungen und Problemen bei der Abgrenzung des Untersuchungsgegenstandes, der zu Beginn der Evaluierung klar definiert sein muss. Ein weiteres Erfordernis, das viele Anbieter vor Herausforderungen stellt, ist die Ende-zu-Ende-Verschlüsselung. Sie stellt sicher, dass die Kommunikation aller Teilnehmenden geschützt ist, indem nur die kommunizierenden Parteien Zugriff auf die Videosprechstunde und die geteilten Nachrichten (z. B. in Chats) haben. Die Verschlüsselung schützt also davor, dass Dritte – einschließlich des Anbieters – Zugang zur Videosprechstunde und die dort geteilten Inhalte haben. Infolgedessen darf der Anbieter keinen eigenen Schlüssel vorhalten, der es ihm ermöglichen würde, auf die verschlüsselten Inhalte zuzugreifen.
In Bezug auf die datenschutzrechtliche Evaluierung ergeben sich insbesondere Abgrenzungsschwierigkeiten im Hinblick auf den eigentlichen Untersuchungsgegenstand. Es ist in diesem Zusammenhang wichtig zu verstehen, dass es sich bei der Evaluierung um eine Bewertung genau definierter Datenverarbeitungen handelt, die teilweise auch durch die Anlage 31b zum BMV-Ä vorgegeben werden. Daran anschließend ergeben sich die häufigsten Schwierigkeiten aufgrund einer unzureichenden Dokumentation im Referenzdokument sowie in Bezug auf eingereichte Nachweise, die häufig unvollständig oder nicht vorhanden sind.
Fazit
Die Zertifizierung von Videosprechstunden nach dem „DSGVO – information privacy standard“ ist ein wichtiger Prozess, durch den sichergestellt werden soll, dass Anbieter von Videosprechstunden sowohl datenschutzrechtliche als auch informationstechnische Anforderungen nach der Anlage 31b zum BMV-Ä und der DSGVO einhalten. Dementsprechend ist die Einhaltung der gesetzlichen Vorgaben und die vollständige Dokumentation für eine erfolgreiche Zertifizierung entscheidend.