von Sascha Maksymov, COO, SEPPmail

Die Contact Tracing Unit des Bundes versendet unverschlüsselte Mails an alle Kontakte. Die Plattform «meineimpfungen.ch» muss aufgrund gravierender Sicherheitsmängel vom Netz. Ärzte schicken Patienten ihre Befunde ohne weitere Sicherheitsvorkehrungen per E-Mail. Doch was, wenn die Daten in die falschen Hände geraten?

Unverschlüsselte E-Mails werden in puncto Sicherheit oft als «elektronische Postkarte» bezeichnet. Dass Gesundheitsdaten verschlüsselt verschickt werden sollten, liegt auf der Hand. Und trotzdem kommt es auch heute noch vor. Wie ist die Rechtslage?

Die Rechtslage sagt klar, dass mit Gesundheitsdaten verantwortungsvoll umgegangen werden muss. Patientendaten gehören laut Artikel 3 des Schweizerischen Datenschutzgesetzes (DSG) zu den besonders schützenswerten Daten. Das heisst, beim Umgang mit und der Bearbeitung von solchen Daten ist besondere Vorsicht geboten – etwa, dass diese nicht in die Hände von Drittpersonen gelangen.

Und weiter: Die ärztliche Schweigepflicht ist im Artikel 321 des Schweizerischen Strafgesetzbuches verankert. Ihr Sinn und Zweck ist es, die Privatsphäre von Patientinnen und Patienten zu gewährleisten. Die Schweigepflicht gilt nicht nur für Ärzte und anderes medizinisches Fachpersonal, sondern auch für deren Hilfspersonen, und weitere.

Doch nicht nur das Gesundheitswesen ist zu einem sorgsamen Umgang mit Gesundheitsdaten verpflichtet, sondern auch andere Branchen. Die Rede ist von gesundheitsnahen Branchen, etwa  Behörden wie das BAG, Versicherungen oder die KESB. Und doch gibt es immer wieder Fachpersonen im Gesundheitswesen und auch in gesundheitsnahen Branchen, die es mit dem Datenschutz nicht so genau nehmen und sorglos mit sensiblen Personendaten umgehen.

Knackpunkt E-Mail

Gemäss einer Umfrage des Tages-Anzeigers haben im Jahr 2016 zehn Prozent der Ärztinnen und Ärzte in der Schweiz unverschlüsselte Patientendaten per E-Mail versandt. Dieser Anteil ist aber seit 2016 deutlich geschrumpft. Dazu hat massgeblich das bereits 1996 gegründete Health Info Net beigetragen, kurz HIN. Seine Mission ist es, Patientendaten in der digitalen Welt zu schützen. Heute sind über 90 Prozent des gesamten Gesundheitswesens an das HIN angeschlossen. Mit HIN kann Fachpersonal etwa Dokumente elektronisch unterschreiben, Nachrichten an andere Mitglieder verschicken oder Daten aufbewahren. Und vielleicht das wichtigste: HIN schützt die E-Mail-Kommunikation mittels automatischer Verschlüsselung und eindeutiger Signatur.

Ausserhalb des Gesundheitswesens sieht es anders aus – etwa im Versicherungswesen. Längst nicht alle Versicherungen verschlüsseln E-Mails, etwa beim Versand von Krankenkassenabrechnungen oder Pensionskassenausweisen. Andere Branchen sind ebenfalls vom Problem betroffen. Auch Organisationen abseits vom Gesundheitswesen, wie das Strassenverkehrsamt, arbeiten mit besonders schützenswerten Personendaten.

Reale Konsequenzen

Wer sich fragt «Wo liegt jetzt genau das Problem? Dann weiss halt jemand anderes, dass ich unter kreisrundem Haarausfall leide. Ich habe nichts zu verheimlichen.» Doch was ist, wenn bei einer verheirateten Person eine Geschlechtskrankheit diagnostiziert wird, diese aber nicht vom Partner stammt? Oder eine schwere Erkrankung? Egal ob Hautausschlag, Krebs oder Geschlechtskrankheit: Diese Daten gehen per Gesetz niemanden etwas an. Und gelangen sie  in die falschen Hände, kann das unter Umständen schwere Konsequenzen haben. Für die betroffenen Personen, falls sie verleumdet, verlacht, ausgegrenzt, genötigt, oder gar erpresst werden. Und auf juristischer Ebene für jene, die nicht sorgsam mit den Daten umgegangen sind.

Privatpersonen haben das Anrecht darauf, dass sorgsam mit ihren Gesundheitsdaten umgegangen wird. Und sämtliche Branchen, die in irgendeiner Weise mit Gesundheitsdaten oder sonstigen besonders schützenswerten Daten zu tun haben, müssen diese Anforderung zwingend erfüllen. Und es ist einfach: Verschlüsselungslösungen sind erschwinglich und fügen sich als Plugin direkt ins Mailprogramm ein. Fürs Gesundheitswesen existiert das HIN. Für Branchen, die im Austausch mit dem Gesundheitswesen stehen, gibt es Lösungen, die mit HIN kompatibel sind. Und übrige Branchen und Organisation, die mit besonders schützenswerten Daten arbeiten, haben eine breite Auswahl an Verschlüsselungslösungen.