Verdächtige E-Mail mit Anforderung personenbezogener Daten

Eine psychotherapeutische Behandlerin erhält über Ihre Praxis-E-Mailadresse die oben angeführte Nachricht. In dieser E-Mail wird sie aufgefordert zu einem namentlich bekannten Patienten den letzten Therapiebericht einer Arztpraxis zu übersenden. Der genannte Patient ist aktuell in der Behandlung der Psychotherapeutin, das Geburtsdatum stimmt und die genannte Arztpraxis ist zwar nicht bekannt, aber laut einer Internetabfrage eine existierende Hausarztpraxis. Es war weder ein Anhang noch ein Link in der E-Mail enthalten.

Risiko

Die Echtheit dieser E-Mail muss in Frage gestellt werden. Es ist unklar, ob es sich hierbei um den Versuch handelt, auf kriminelle Weise an personenbezogenen Daten eines Patienten zu gelangen oder ob die genannte Praxis dennoch der Absender der E-Mail ist. Falls ja, dann wurde diese Nachricht als herkömmliche E-Mail rechtswidrig im Sinne der DSGVO Art. 5 und anderer Gesetze versendet und somit zu einer Offenbarung von personenbezogenen Daten geführt. Die Aufforderung einen Therapiebericht per Mail ohne eine angemessene, technische Absicherung oder per Fax zu übermitteln, ist ebenfalls nicht datenschutzkonform.

Reaktion

Die Behandlerin beschließt nach Rückfrage mit ihrem DSB (Datenschutzbeauftragten) auf diese E-Mail nicht mit einer E-Mail-Nachricht zu antworten. Es wird in Erwägung gezogen den Patienten bei der nächsten Behandlung auf einen möglichen Hausarztwechsel anzusprechen. Um den Gesundheitszustand des Patienten nicht zu gefährden, wird vorerst auf die Existenz dieser E-Mail nicht hingewiesen. Weiterhin wird in Erwägung gezogen, die vermeintliche Absender-Arztpraxis telefonisch oder persönlich aufzusuchen, um sie zu fragen, ob eine E-Mail an dem Datum an die psychotherapeutische Praxis versendet wurde.

Im Anschluss an den Vorfall werden folgende Schritte unternommen

  • Es folgten Absprachen mit dem DSB
  • Kontakt mit der Arztpraxis und mit dem Patienten wird geprüft
  • Der Vorfall wird protokolliert (interne Dokumentationspflicht nach Art. 33 Abs. 5 Datenschutzgrundverordnung).
  • Die E-Mail wird ausgedruckt zwecks Archivierung bzw. Dokumentationspflicht

Tipps zur Prävention

  • Antworten Sie nicht leichtfertig auf E-Mails die Sie auffordern, personenbezogene Daten zu versenden. Die Authentizität des Absenders und des E-Mailinhalts ist in einer normalen E-Mail nicht gegeben. Unautorisierte Dritte könnten eine falsche Identität vortäuschen oder einen Identitätsdiebstahl begangen haben. Zum Beispiel durch das Kapern eines E-Mailkontos eines weiteren Leistungserbringers.
  • Der Versand von herkömmlichen E-Mails mit personenbezogenen Daten (medizinische oder therapeutische Daten zu Patienten) ohne technische Absicherung ist ein Datenschutzverstoß seitens des Verantwortlichen. Als Empfänger dieser E-Mail ist die Praxis nicht für den aktuellen Datenschutzverstoß verantwortlich, sondern der Absender.
    Behandler (Ärzte oder Psychotherapeuten etc.) haben als Berufsgeheimnisträger eine besondere Pflicht zur Geheimhaltung ihnen anvertrauter Daten. Sie müssen neben dem Datenschutzrecht zusätzliche Strafvorschriften, z. B. § 203 StGB, und der Musterberufsordnung beachten.
  • Falls ein Versand von Patientendaten digital erfolgen soll: Ist die E-Mail überhaupt die geeignete Versandform für die zu versendenden Daten? Falls ja, welcher E-Mailprovider, welche Empfänger-E-Mailadresse soll genutzt werden? Welche dem Stand der Technik entsprechende Transportverschlüsselung und/oder Ende-zu-Ende-Verschlüsselung soll eingesetzt werden?
  • Alternativ sollte geprüft werden, ob nicht ein Versand von Patientendaten über KIM (Kommunikation im Medizinwesen) als eNachricht oder eArztbrief in Frage kommt. Jede Nachricht über KIM wird automatisch verschlüsselt und signiert. So sind auch sensible Inhalte aus der sprechenden Medizin sicher und der Absender kann darauf vertrauen, dass der E-Mail-Inhalt unveränderlich ist und von der entsprechenden Leistungserbringerinstitution kommt.
Vorfälle & Incidents-Übersicht

Zurück

Haben Sie eine Frage?

Zögern Sie nicht, uns zu den Themen Telematik, Informationssicherheit und Cybercrime zu kontaktieren.

Wir sind gerne für Sie da und unterstützen Sie mit Rat und Tat.

Jetzt anrufen
Kontaktformular
Jetzt anrufen
Kontaktformular
Copyright 2024. daten-strom.Medical-IT-Services GmbH
DatenschutzImpressum
Einstellungen gespeichert
Datenschutzeinstellungen

Diese Website verwendet Cookies, um Ihnen einen sicheren und komfortablen Website-Besuch zu ermöglichen. Entscheiden Sie selbst, welche Cookies Sie zulassen wollen.

Einige Cookies sind für die Funktionalität dieser Website notwendig (Erforderlich), andere Cookies dienen der Nutzung externer Medien (Extern).

Sie können der Nutzung aller Cookies zustimmen (Alle akzeptieren), technisch zwingend notwendige Cookies auswählen (Nur erforderliche Cookies erlauben) oder Ihre eigene Auswahl vornehmen und speichern (Auswahl akzeptieren).

Mehr Informationen finden Sie unter Datenschutz. Sie können die Datenschutz-Einstellungen für diese Website jederzeit nachträglich anpassen.

Datenschutz Impressum
You are using an outdated browser. The website may not be displayed correctly. Close