(beantwortet von Anja Mehling, RAin und FAin für MedizinR, Hamburg)

Frage: „Wenn wir Behandlungsunterlagen, insbesondere Röntgenaufnahmen, per E-Mail verschicken, muss das verschlüsselt geschehen. Wie ist das aber mit den Rechnungen? Einige Patienten wünschen den Empfang per E-Mail. Dürfen wir diese einfach so zustellen? Und: Können wir das Verschlüsseln des Versands von Unterlagen, z. B. der Röntgenbilder, auch separat abrechnen?“

Antwort: Zunächst zur Frage, ob die Rechnungen unverschlüsselt per E-Mail versendet werden dürfen: Nein, diese dürfen Sie nicht einfach so verschicken, denn auch Rechnungen enthalten personenbezogene bzw. sensible Daten. Daher dürfen und sollten Rechnungen bei Versand per E-Mail nur verschlüsselt gestellt werden, entweder über eine Inhalts- oder eine Transportverschlüsselung. Das bedeutet: Entweder wird die Rechnung oder aber der Übertragungsweg verschlüsselt.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hatte unverschlüsselte E-Mails in seinem 28. Tätigkeitsbericht zum Datenschutz 2019 (Erscheinungsdatum 17.06.2020, Seite 63, online unter iww.de/s5599) dem Versand per Postkarte gleichgestellt. Dabei ging es auch um die Frage, ob eine zuvor eingeholte Einwilligungserklärung der Patienten (ausdrückliche oder konkludente Zustimmung zum unverschlüsselten Versand) das Problem lösen kann. Das ist zwar strittig, jedoch äußerst kritisch zu sehen. Dazu hatte der BfDI gleichermaßen klar Stellung bezogen (Seite 10 des o. g. Tätigkeitsberichts): „Ein unverschlüsselter Datenversand per E-Mail ist bei sensiblen Daten auch dann nicht rechtmäßig, wenn vorher eine entsprechende Einwilligung des Empfängers eingeholt wurde, da diese i. d. R. nicht datenschutzkonform erteilt werden kann. Nationale Vorschriften, die einen unverschlüsselten E-Mail-Versand legitimieren, sind darüber hinaus nicht DS-GVO-konform.“ Manche Datenschützer stufen eine fehlende Verschlüsselung von E-Mails für Berufsgeheimnisträger wie Ärzte, Steuerberater und Anwälte sogar als Straftat nach § 203 Abs. 1 Strafgesetzbuch (StGB) ein.

Für eine separate Abrechnung für die Verschlüsselung des Versands von Unterlagen, z. B. der Röntgenbilder, sehe ich grundsätzlich keine Rechtsgrundlage, zumal entsprechend frei verfügbare Software erhältlich ist. Die Verantwortung für eine entsprechend ordnungsgemäße – datenschutzkonforme – Versendung liegt bei der Klinik bzw. der Praxis. Wenn Röntgenbilder versendet werden, dann geschieht das i. d. R. zur Weiterbehandlung und/oder ist das Teil der Wahrnehmung der Verpflichtung zur Erledigung des Einsichts-/Auskunftsrechts des Betroffenen. Solche Anfragen sind mit Blick auf die DS-GVO-Vorschriften nicht kostenpflichtig (Art. 15 DS-GVO).

Weiterführender Hinweis

• „Telefax: Nicht mehr datenschutzkonform?“ in RWF Nr. 04/2021