Die digital souveräne Praxis (Stand 20.05.2020)

Datenschutz ist etwas für Gesunde, Jens Spahn, Bundesgesundheitsminister

Als Ärztinnen und Ärzte und Beschäftigte im Gesundheitswesen haben wir gelernt, die Geheimnisse unserer Patientinnen und Patienten zu schützen. Nur deswegen können sich diese uns anvertrauen. Zu Recht! Wenn wir unsere Schweigepflicht brechen, könnten wir dafür ins Gefängnis kommen. Denn wer sich hilfesuchend an uns wendet, der braucht den besonderen Schutz seiner Privatsphäre. [1]

Leider stehen immer schon Patientendaten ganz oben auf der Wunschliste von Pharmafirmen oder Medizin-Datenkraken wie IMSHealth/Cegedim oder Google mit seinem Projekt Nightingale. Ende Januar 2020 gab es passend dazu eine fehlerhaft konfigurierte Medizin-Cloud  mit 90.000 öffentlich zugänglichen Dateien, die offenbar aus französischen Patientenakten stammten. Darunter 360-Grad-Scans von Körpern und Gesichtern von Patienten, hinzu kamen intimste Fotos von Patientinnen vor und nach Brust- oder Gesäß-OPs. Im Februar 2020 deckte der “Guardian” den Verkauf von Millionen von Datensätzen der britischen Gesundheitsbehörde an Pharmafirmen auf. Im Zuge der Corona-Pandemie werden elementare Datenschutzgrundrechte von einer unheillvollen Allianz öffentlicher Institutionen und privaten Datensammlern einfach ignoriert – so wurden erst im April 2020 in Großbritannien Patientendaten über den nationalen Gesundheitsdienstleister NHS an die höchst umstrittene Spionagsoftwarefirma Palantir übermittelt – einer von vielen Datenskandalen die auch Deutschlands Patientendaten akut drohen! Geleakte und gehackte Gesundheitsdaten haben laut bayrischem Landesdatenschutzbeauftragten in den vergangenen Jahren bereits einen höheren Umsatz erzielt als etwa Bankverbindungsdaten.

Aber auch Allround-Datensammler wie das US-Unternehmen Acxiom geben Jahr für Jahr Verhaltensdaten zu rund 1,2 Milliarden E-Mail-Adressen weiter. Laut der Wochenzeitung „Die ZEIT“ ist bereits mehr als die Hälfte der Deutschen unwissentlich in deren Datenbanken fein säuberlich identifiziert und kategorisiert, mit bis zu 1500 Datenpunkten zu allen noch so intimen Lebensbereichen aus der Vergangenheit und mit immer besserer Vorhersagequalität für die Zukunft. Und zunehmend missbrauchen auch Krankenkassen und Versicherungsunternehmen diese Datenquellen abseits berechtigter Interessen, um ihre wirtschaftliche Position im Wettbewerb zu optimieren und mittels Scoring-Verfahren Krankheits- und damit Kosten-Risiken zu minimieren.
Gleichzeitig geben Patientinnen und Patienten bewusst und unbewusst über „Bonusprogramme” wie Payback, heimlich datensammelnde Apps, Fitnesstracker und soziale Medien unter anderem medizinische (Meta-)Daten an Unternehmen weiter. Diese verdienen durch Weiterverkauf, Aggregation und/oder personalisierte Werbung. Google und Facebook machen mit zielgerichtet-individueller Werbung schon heute Milliardenumsätze und können die nun real existierenden gläsernen Verbraucherinnen und Verbraucher immer besser in ihrem Konsumverhalten steuern. Wer sich die absolute Dominanz und das rücksichtslose Ausschlachten von Benutzerdaten von Google im Web genauer anschauen möchte, findet hier einen exzellenten Überblick.

Eine aktuelle Studie von Amnesty International kommt zu dem Schluss, dass die Dominanz von Google und Facebook (=WhatsApp) dazu geführt hat, dass die Nutzung der Unternehmen nicht mehr optional sei, sondern Bedingung zur Teilnahme am sozialen Leben. Durch die Nutzung der Konzernprodukte ist eine allgegenwärtige Überwachung entstanden.

Doch Kundinnen, Kunden, Patientinnen und Patienten bekommen von dem Handel mit ihren Daten meist nichts mit – oder wer weiß schon, dass alleine Acxiom still und heimlich 8,4 Millionen Hintergrundprüfungen zu Kriminalität und Kreditwürdigkeit pro Jahr durchführt. Erst, wenn zum Beispiel die Berufsunfähigkeitsversicherung Preisaufschläge wegen gestiegener Risiken will oder der Einstieg in die private Krankenversicherung unbezahlbar wird, ist die fehlende Privatsphäre evident. Doch dann ist es zu spät.

Aktuell scheint das hohe Gut Privatsphäre obsolet. Das „Ich-habe-doch-nichts-zu-verbergen“-Mantra frisst sich – auch mit tatkräftiger ministerieller Unterstützung – in den deutschen Gesundheitsbereich.

We don’t monetize the things we create…we monetize users.Andy Rubin, co-founder of Android, 2013

Wir von MEZIS setzen uns ein für digital souveräne und datensparsame Kliniken und Arztpraxen, denn sie sind Voraussetzung für bestmöglichen Datenschutz und Datensicherheit und damit Patienten- und Vertrauensschutz.

Die folgenden (adaptierten) Empfehlungen von Digitalcourage zur digitalen Selbstverteidigung von Unternehmen und Organisationen sollen Kolleginnen und Kollegen in Praxen dabei unterstützen:

1) Hinterfragen Sie Ihre digitalen Handlungen (ICD-Kodierung, Internet in der Arztpraxis, Kommunikationskanäle für Patientinnen und Patienten, u.s.w ).

Stellen Sie sich immer die Fragen: Wenn ich das jetzt mache, wer außer mir hat einen Nutzen davon? Könnte mein Team, können meine Patientinnen und Patienten Schaden nehmen?

2) Geben Sie Daten von sich, von Ihrem Team oder von Ihren Patientinnen und Patienten nicht ungefragt heraus.

Das mache ich nicht, sagen Sie jetzt vielleicht, denn ich bin ja an die Schweigepflicht gebunden. Überprüfen Sie, ob Sie dies nicht unbewusst durch Ihr Arztinformationssystem, durch Googeln, Suchen von Adressen, Terminplanung mit externen Anbietern, Patientenkommunikation (z. B. per E-Mail oder Videosprechstunde) oder die Registrierung von Medizinprodukten doch tun.

3) Nutzen Sie möglichst wenige kostenlose Dienste.

Machen Sie sich stets bewusst, dass Sie hier meist in einer anderen Währung bezahlen: mit Ihren Daten – und noch schlimmer, den Daten Ihrer Patientinnen und Patienten oder Ihres Teams. Erst wenn es weh tut und ihre Daten missbraucht werden (z. B. Erpressungstrojaner, Identitätsdiebstahl, unberechtigte Bankkonten-Abbuchungen), wird Unternehmen klar, wo und wie sie besser auf Datenschutz Rücksicht genommen hätten. Gefährlicher als Datenklau und Systemeinbrüche sind Gedankenlosigkeit, Ahnungslosigkeit und Bequemlichkeit. Nicht alle Programme oder Tools, die so praktisch und bequem scheinen, nützen auch Ihrer Organisation. Darum gilt die Devise: Prüfen Sie, ob Sie mess­baren Nutzen aus der „Freeware” ziehen und diese nicht nur verwenden, weil alle anderen das auch tun.

4) Behalten Sie die Kontrolle über Ihre Daten.

Speichern Sie Daten auf eigenen Datenträgern oder Ihrem Praxisserver. Außerhalb der Praxis sollten Sie Daten verschlüsselt speichern. Vermeiden Sie Speicherung in der “Cloud”. Überprüfen Sie bei der Nutzung von externen Dienstleistern, ob die deutschen Datenschutzbestimmungen erfüllt werden (z. B. Serverstandort Deutschland).

5) Verwenden Sie sichere Passwörter.

Trainieren Sie Ihre Teammitglieder darin, Passwörter sicher zu wählen und eine Passwortverwaltung zu nutzen – anstelle sie mit einem Zettel an den Monitor zu kleben. Mehr dazu. 

Tipps zur souveränen Datenverarbeitung in der Arztpraxis

Corona-Update 5/2020 – Digital souverän in Praxis-Teams kommunizieren: In Zeiten von Corona sind auch viele Ärztinnen und Ärzte abrupt mit der Frage konfrontiert, wie sie mit ihrem Team und Kolleginnen und Kollegen (vielleicht sogar in der Quarantäne) schnell und unkompliziert virtuell kommunizieren können. Für eine digital souveräne Praxis kommen hier ein paar Tipps:

Messenger-Dienste

Chatten Sie nicht über Facebook oder WhatsApp deren Geschäftsmodell aus personalisierter Werbung besteht, sondern benutzen Sie Dienste, die Datenschutz ernst nehmen wie Signal oder Matrix. Sonst machen Sie nur wieder kostenlos Werbung für Konzerne, die Ihre intimsten (Meta-)Daten klauen und meistbietend verkaufen. Wenn Sie die Team-Kommunikation leiten, sind Sie moralisch auch für Datensparsamkeit ihres Teams verantwortlich: Falls Sie WhatsApp wählen, zwingen Sie ihr Team “digital die Hosen runter zu lassen”, etwas was kein Chef im echten Leben tun würde. Außerdem finden es immer mehr Menschen nicht nett, dass auch alle Kontaktdaten von Nicht-WhatsAppern aus den digitalen Telefonbüchern jedes WhatsAppers regelmäßig zu Facebook gesendet und dort zu Werbezwecken mißbraucht werden. Wird Whatsapp in geschäftlichem Rahmen genutzt, entstehen nach Auffassung von Landesdatenschutzbeauftragten und Anwaltskanzleien zudem Praxisinhabern und den Teilnehmer Haftungsrisiken durch die DSGVO, die Landesdatenschutzbehörden lehnen unter anderem Whatsapp aufgrund der Werbe- und Analysedienste für diesen Einsatzzweck sogar ab. Ende Mai warnte auch der Bundesdatenschutzbeauftragte vor einer WhatsApp-Nutzung in bundesdeutschen Behörden.

Hier gibt es einen Überblick der Verbraucherzentralen zu Messengern (Stand 1/2020).

Daumen hoch für Signal (www.signal.org): Die EU-Kommission empfiehlt ihren Beschäftigten, den als besonders sicher geltenden Dienst Signal zu verwenden. Auch Edward Snowden sieht dies so, denn neben den Nachrichten sind alle Benutzerdaten und selbst das Telefonbuch so verschlüsselt, dass nicht mal die Macher von Signal Zugriff darauf erlangen können. Gruppenchats sind ebenso möglich wie geschützte Videotelefonie. Signal wird von der gemeinnützigen Signal-Stiftung entwickelt und betrieben. Sie hat sich zum Ziel gesetzt, für alle Menschen den freien Meinungsaustausch in geschützter Privatsphäre sicherzustellen. Signal wird rein durch Spendengelder finanziert, so dass er nur den Nutzern verpflichtet ist und weder Inhalte noch Metadaten zur kommerziellen Verwendung sammeln muss. Durch die einfache Installation und Bedienung ist es auch für Laien auf Mobiltelefonen und Computern ein guter WhatsApp-Ersatz.

Die Zukunft gehört Matrix und seinen vielen Anwendungen wie Riot.im (direkt via Browser): Dezentral kann jeder seinen eigenen Server betreiben oder an vertrauenswürdigen Servern von z.B. Universitäten andocken. Neben klassischem Messaging bietet Matrix für fortgeschrittene Benutzer auch Videotelefonie (via integriertem Jitsi) aber auch Brücken in andere Dienste (Messaging, Mail, Feeds …). Sowohl die französische als auch die deutsche Regierung testen Matrix aktuell als sichere Kommunikationsplattform bereits auf zehntausenden Diensthandys. 

Der Landesdatenschutzbeauftragte Baden-Württemberg kommt in einer aktuellen Analyse (Ende März 2020) bezüglich Messengerdiensten zu den gleichen Ergebnissen. Weitere, lesenswerte Informationen zu Messengern finden sich bei Digitalcourage, unter Anderem auch zu den Sicherheitsbedenken bei den proprietären Diensten Telegram oder Threema.

Videokonferenzen
Kommerzielle Programme wie Skype, Zoom, Webex, Microsoft Teams oder Wire werden bei uns leider immer noch häufig genutzt, einfach, weil sie viel Werbung machen. Die Gelder dafür holen Sie sich -Sie ahnen es- auch direkt von Ihnen: Sie sind nicht Kunde sondern Datenrohstoff. Bei der Nutzung im beruflichen Rahmen in Arztpraxen und Kliniken treten zudem juristische Risiken durch fehlende DSGVO-Konformität auf, die empfindliche Strafen nach sich ziehen können. Einen ersten Überblick über die (Nicht-)Erfüllung dieser Mindestanforderungen können Sie sich hier verschaffen:

https://noyb.eu/sites/default/files/2020-04/noyb_-_report_on_privacy_policies_of_video_conferencing_tools_2020-04-02_v2.pdf

Fehlende Datensicherheit bei maximalem Datenhunger – Beispiel Zoom

Da die Firma hinter Zoom ihren Programmcode (im Gegensatz zu den u.g. Alternativen) nicht veröffentlicht, liegt die Datensicherheit bei Zoom im Argen (“Ist Zoom ein Sicherheitsalptraum?”, heise.de) und erst Mitte April 2020 wurden hunderttausende Zugangsdaten für Zoom-Accounts zum Verkauf in Darknet entdeckt.

Zusätzlich zu diesen Sicherheitslücken hat Zoom einen unstillbaren Datenhunger, den der Datenschutzexperte Herr Kuketz analysierte: Sobald man einen Zoom-Account angelegt hat, feuert Zoom zusätzlich zahlreiche Tracking-, Marketing- und Analysedienste auf den Benutzer ab: Google Tag Manager, Google Analytics, TrustArc, Google Doubleclick, Cheqzone, Zendesk, AdRoll, Pingdom, G2, TechTarget, SalesLoft, Hotjar, Demandbase, Facebook, Rubicon Project, PubMatic, Outbrain, Casalemedia, Yahoo Advertising, BidSwitch, Taboola, LinkedIn, … .

Und die “Datenschutz”erklärung von Zoom ist ebenso freimütig wie erschreckend: ” Wir können Identifikatoren, Beschäftigungsinformationen, Zahlungsinformationen, Facebook-Profilinformationen, technische Informationen, demografische Informationen, Nutzungsinformationen und benutzergenerierte Informationen verwenden, um:

  • Kundenfeedback und Support bereitzustellen (zoom.us/support)
  • Zustimmungswettbewerbe, Gewinnspiele und anderen Marketing- oder Werbeaktivitäten auf den Zoom.us-Websites oder Websites von Tochtergesellschaften bereitzustellen und zu organisieren
  • Informationen und Angebote von uns oder Dritten für Sie bereitzustellen
  • Befragungen und Umfragen durchzuführen (soweit Sie daran teilnehmen möchten), um unseren Kunden und Endnutzern bessere Produkte und Dienste zu bieten
  • Bewerberanfragen zu unterstützen (zoom.us/careers)
  • Marketingkommunikation und Webseiteninhalt aufgrund Ihrer Vorgaben zu personalisieren, wie z.B. als Antwort auf Ihre Anfrage nach spezifischen Informationen über Produkte und Dienste, die von Interesse sein können
  • Kontakt mit Einzelpersonen aufzunehmen, die Sie an uns empfohlen haben und Sie als Quelle der Empfehlung identifizieren, gemäß dem folgenden Abschnitt „Empfehlung“ …

Da Skype von Microsoft betrieben wird, hat man als Windowsnutzer neben der Abhörmaschine Windows 10” (Verbraucherzentralen) bei Skype dann auch noch sehr neugierige Augen und Ohren in seinem Büro/Wohnzimmer: „Wer Skype benutzt, muss sich nicht nur damit einverstanden erklären, dass Microsoft alle übertragenen Daten quasi nach Belieben nutzt. Er muss davon ausgehen, dass dies tatsächlich geschieht und der Konzern auch nicht verrät, was genau er mit diesen Daten anstellt.[4]“ Das Fraunhofer-Institut für Eingebettete Systeme und Kommunikationstechnik ESK warnt seit 2013 vor den Risiken einer (ungeregelten) Nutzung von Skype und rät wegen Sicherheitsbedenken von der Nutzung in Unternehmen ab [5]. Microsoft Teams hat ebenfalls einen unstillbaren Datenhunger und die Stiftung Warentest stellte zum Datenschutzhinweis nüchtern fest: „Die Texte (…) lassen keine ernst­hafte Befassung mit der europäischen Daten­schutz­grund­ver­ordnung (DSGVO) erkennen.“ Dies wäre aber insbesondere für Praxen und Kliniken (und auch alle öffentlichen Einrichtungen) juristische Voraussetzung für den rechskonformen Einsatz.

Eine von vielen quelloffenen und datenschutzfreundlichen Alternativen ist: Jitsi, es kann direkt im Browser ohne Softwareinstallation ausgeführt werden, für das Handy gibt es eine schlanke App. Viele Schulen und Universitäten haben in wenigen Wochen dezentrale Jitsi- und BigblueButton-Kapazitäten aufgebaut, die im Gegensatz zu den amerikanischen Servern kommerzieller Anbieter DSGVO-konform gestaltet sind. BigBlueButton ist ebenfalls eine Open-Source-Webkonferenzlösung, die die gemeinsame Nutzung von Video, Audio, Whiteboard, Chat und Bildschirm in Echtzeit im Stil einer Videokonferenz ermöglicht.

Weitere datenschutzfreundliche Kommunikationslösungen finden Sie aktuell (Ende März 2020) beim Landesdatenschutzbeauftragten Baden-Württembergs und beim Landesmedienzentrum BW.

Beispiel Krankschreibung

Wenn eine kurzzeitige Krankschreibung wegen einer Überlastungssituation am Arbeitsplatz ausgestellt wird, erfolgt dies häufig über eine ICD-Diagnose aus dem psychiatrischen Bereich (z. B. akute „Überlastungsreaktion” = F.43.0). Die Ärztin oder der Arzt erhält für diese psychiatrische Diagnose sogar noch eine Belohnung, darf sie oder er doch nun zusätzlich die Leistungen aus der psychosomatischen Grundversorgung mit abrechnen. Alternativ und datensparsam wäre aber auch eine unspezifische Diagnose „Unstimmigkeiten mit dem Arbeitgeber” = Z.63 oder eine reine Symptombeschreibung „Müdigkeit“ = R.53 (für maximal sieben Tage) möglich. Die Folgen dieser unterschiedlichen Kodierungen können weitreichend sein: Ergibt sich zum Beispiel später eine manifeste Depression, könnte die Versicherung den Krankengeldanspruch aufgrund einer weiteren psychiatrischen Diagnose zeitlich begrenzen, da sie die erste psychiatrische Verlegenheitsdiagnose „Überlastungsreaktion” nun mit der „echten” psychiatrischen Diagnose zeitlich zusammenrechnet. Auch führen psychiatrische „Verlegenheitsdiagnosen” wie „akute Überlastungsreaktion” oder „Anpassungsstörungen” insbesondere bei privaten Versicherungen zu Nachteilen oder sogar Ausschlüssen. Diese Liste lässt sich mit Suchtkrankheiten (beginnend bei der „Nikotinsucht”), chronischen Erkrankungen, chronischen Infektionen (Hepatitis, HIV) etc. fortführen.

Arztinformationssystem

Nach der Installationsstatistik der KV beherrschen die Compugroup und Medatixx den deutschen Markt der Arztinformationssysteme. Beide Firmen missbrauchen ihre Schlüsselposition zwischen Ärztin/Arzt und Patientin/Patient mit Zugriff auf sensibelste Informationen aus Anamnese, Diagnostik und Medikamentenhistorie für subtile Gewinnmaximierung durch Vermarktung an die (Pharma-)Industrie. Die Compugroup formuliert das selbst so: „Wir begleiten den Arzt den ganzen Tag durch alle Arbeitsschritte – mit unserer Software. Im perfekten Augenblick zeigt sie dem Arzt Ihre [Pharmafirma] Botschaft: Während der Patient vor ihm sitzt; genau dann, wenn er seine Entscheidung trifft. Sie sind den entscheidenden Schritt näher an Ihrem Kunden – mit CompuGroup Medical.” Bei Medatixx ist subtil lancierte Werbung immer schon tief integrierter Standard. Immerhin haben Ärztinnen und Ärzte eine interessante, kostenpflichtige Zusatzoption: „Für monatlich 25,00 € zzgl. 19 % MwSt. wird medatixx Praxissoftware werbefrei.

Kleinere Unternehmen wie Duria oder Indamed bieten mehr Datenschutz und damit Patientensicherheit: Duria zum Beispiel bietet explizit „seit 1993 werbefreie Praxis-Software an, abgesichert und zukunftsfähig durch eine Genossenschaft von Ärzten für Ärzte“.

Offene Schnittstellen

Einige Arztpraxis-Softwarehersteller nutzen immer noch keine offenen Schnittstellen (zur Dokument-Datenablage, zur Datenerfassung aus externen Geräten), sei es aus Bequemlichkeit, mangelnder Erfahrung oder einfach, um den Umstieg auf Konkurrenzprogramme zu erschweren.
Das führt zu einem “lock-in”, welches oft erst bei einem Umstieg auf eine andere Praxissoftware sichtbar wird. Teilweise müssen dann Mitarbeiterinnen oder Mitarbeiter in Arztpraxen Daten aufwändig bewegen oder sogar komplett neu erfassen. Bereits vor dem Kauf sollten Sie deshalb auf 100% offenen Schnittstellen (z. B. GDT) achten und den Erfolg einer Probekonvertierung von Patientendaten vor Vertragsabschluss genau analysieren.

Betriebssystem

Windows ist ein Sicherheitsrisiko und saugt mannigfaltige Daten aus der Praxis ab, darunter sind auch zwangsläufig Patienten(meta)daten. Die Verbraucherzentralen haben Windows 10 deshalb „Abhörmaschine” getauft. Apple als Betriebssystem ist wenig verbreitet, hat aber als proprietäres Betriebssystem die gleichen (oft verborgenen) Sicherheitslücken wie Windows. Windows kostet Geld, die Update-Politik zwingt Praxen häufig zu teuren Um- und Aufrüstungen und Windows-Updates führen oft zu Problemen mit dem angebundenen Arztinformationssystem. Linux als quelloffenes (also mit veröffentlichtem Quellcode) Betriebssystem ist aus Sicht von Datenschutz und Datensicherheit sicherlich das bevorzugte Betriebssystem. Doch während Linux in Form von „Android” auf Platz eins der globalen Mobiltelefonbetriebssysteme steht, gibt es immer noch zu wenig Linux für Ärzte. Es gibt allerdings erste Ansätze zum Umstieg.

Somit ist in Arztpraxen Windows weiterhin das beherrschende Betriebssystem alleine schon durch seine Monopolstellung – Zeit dies zu ändern!

Antivirenprogramme

Der Einsatz von aktuellen Antivirenprogrammen ist in Arztpraxen gerade bei Haftungsprozessen oder Blackouts durch Trojaner mit Versicherungsschaden obligat. Anbieter, die deutschen Datenschutzbestimmungen unterliegen, sind zu bevorzugen.

Firewall

Als Firewall sind aufgrund geringerer Verwundbarkeit, langfristigem Support und Datensparsamkeit quelloffene Systeme zu bevorzugen, z. B. PFSense oder IPFire mit erschwinglicher Hardware. Für die Praxis besonders relevant ist die nahtlose Integration in die Telematik-Infrastruktur (TI) und das Telefon/Faxsystem sowie das Erkennen verdächtiger Aktivitäten (Intrusion-Prevention) und eine konfigurierbare Blockierliste von Webseiten.

Programme/Tools

Als Internet-Browser sind datensparsame Browser wie Firefox bevorzugen (Add-Ons für noch mehr Datenschutz: ublock, Canvasblocker, CookieAutodelete). Google Chrome wird via (verdeckter) Werbung finanziert, Microsoft Browser sind wegen fehlender Datensicherheit inakzeptabel. Browser sind ein Haupteinfallstor für praxisbedrohende Schädlinge, allerdings ist die Option „kein Browser” aufgrund vieler erforderlicher Nutzungen auch nicht mehr zeitgemäß. Eine Lösung ist, den Browser vom EDV-Support der Praxis in einer geschützten „Sandbox” laufen zu lassen, damit Trojaner und Viren nicht das Praxisnetzwerk entern können (kommerzielle Lösung: BitBox).

Suchmaschinen

Google freut sich über Suchanfragen aus Arztpraxen und verkauft diese Daten an Analysefirmen. Bedenken Sie auch: Wenn Sie Google in Ihrer Praxis nutzen, setzen Sie Ihre Angestellten unter Druck, sich von Google ausspähen zu lassen. Nutzen Sie einfach Alternativen.

Routenplaner

Routenplanungen z. B. für Hausbesuche mit Patientenadressen komplettieren mit Google-Suchanfragen und der Anfahrtswegbeschreibung für die Praxis via Google-Maps das begehrte Verhaltens- und Vorhersageprofil für Analysefirmen. Nutzen Sie datensparsame Alternativen wie OpenStreetMap.

Textverarbeitung/Tabellenkalkulation

Bereits beim Kauf sollte man sicherstellen, nicht unter Umständen noch Dutzende von Microsoft-Office-Lizenzen zu benötigen – die zudem teilweise schon (oft nicht DSGVO-konform) cloudbasiert sind. Offline-fähige quelloffene Programme sind zu bevorzugen: Libreoffice/Openoffice bieten die gleiche Funktionalität und werden bei guten Arztsoftwarefirmen standardmäßig bevorzugt. Leichtgewichtige   queloffene PDF-Reader ebenso, z. B. Sumatra-PDF.

Patientenkontakte

Leider unterliegen in der Bundesrepublik Deutschland nur Brief, Fax, Telefon und SMS dem Fernmeldegeheimnis. Alle anderen Kommunikationskanäle müssen vor unberechtigtem Zugriff geschützt werden. Die Ärztin und der Arzt stehen hier aufgrund ihrer berufsrechtlichen Verpflichtung in der Haftung. Wird ein Praxis-E-Mailkonto mit unverlangt eingesendeten Laborwerten oder Arztberichten aus Patienten-E-Mails gehackt, müssen sich die Ärztin oder der Arzt vor Gericht ggf. wegen Bruchs der Schweigepflicht verantworten.

Wenn Sie eine eigene Domain haben, verwenden Sie diese auch als E-Mail-Adresse. Mailadressen wie arzt-xy@t-online.de oder gar aerztin-yz@gmail.com sind Zeichen von Unprofessionalität. Praxen mit Googlemail-Konten müssen auch wissen, dass der Inhalt dieser (Patienten-)Mails zu Werbezwecken analysiert wird, was nach deutschem Recht nicht datenschutzkonform ist.

Benutzen Sie einen sicheren E-Mail-Anbieter. Nutzen Sie inhabergeführte europäische Anbieter wie etwa posteo.de oder mailbox.org, oder gehen Sie zu ihrem aktuellen Provider und fragen Sie ihn, ob er DANE unterstützt. Speziell für Organisationen bietet die mailbox.org-Mutter JPBerlin E-Mail-Pakete mit Mailinglisten, Webspace und Datenbank an. Mehr dazu.

Textbausteine für datensparsamere eMails

Folgender Textbaustein hat sich für Praxis-E-Mails und Praxiswebseiten bewährt:

Sehr geehrte Damen und Herren,

vielen Dank für Ihre E-Mail. Aufgrund unserer berufsrechtlichen Verpflichtungen und den damit verbundenen Datenschutzbestimmungen versenden und empfangen wir keine medizinischen Daten über unverschlüsselte E-Mails. Auch Terminabsprachen nehmen wir nicht über E-Mail vor. Bitte nutzen Sie für die Absprache von persönlichen oder medizinischen Daten die in Deutschland unter dem Fernmeldegeheimnis liegenden Medien Telefon, Brief, Fax oder SMS.

Tel:

Faxnr.:

Soziale Netzwerke…

…sind in der Arzt-Patientenkommunikation tabu, hier drohen Haftungsrisiken!
Facebook-Diabetikergruppen oder Anorexie-WhatsApp-Gruppen sind alleine nur durch die Metadaten Goldgruben für Analysefirmen und ermöglichen die umfassende Manipulation der Patientinnen und Patienten durch schwer entdeckbare Zielgruppenwerbung.  Zusätzlich problematisch bei WhatsApp: Alle Kontakte aus dem Telefonbuch werden in regelmäßigen Abständen ungefragt zu WhatsApp-Facebook-Servern zwecks Datenanalyse und Zielgruppenwerbung hochgeladen. Theoretisch müsste jeder WhatsApp-Nutzer jeden seiner Kontakte in seinem Adressbuch deshalb vorab via Datenschutzgrundverordnung um dessen Einverständnis bitten… Mehr zu Alternativen lesen.

So wie sich die Tür beim Arzt-Patientengespräch schließt, sollte Vertraulichkeit auch im digitalen Raum wahr- und ernstgenommen werden.

Praxis-Webseite

Versuchen Sie dem HON-Standard „Qualität und Vertrauenswürdigkeit von medizinischen und gesundheitsbezogenen Informationen im Internet” zu folgen.

Nutzen Sie als Webhoster einen, dem deutschen Datenschutz verpflichteten Anbieter.

Vermeiden Sie Google als Analysetool oder für Webseitendarstellungen. Ein alternatives, datenschutzfreundliches Analysetool ist zum Beispiel Matomo.

Wenn Sie eine Kontaktaufnahme per E-Mail zulassen, nutzen Sie die unter „Patientenkontakte” vorgeschlagene Signatur.

Weitere Informationen zur Eindämmung der Werbeflut in der Arztpraxis durch Faxe, Post und Zeitschriften folgen an dieser Stelle.

Quellen

[1] Wolfgang Wodarg: Offener Brief an den Bundespräsidenten. https://www.wodarg.com/
[2] https://www.zeit.de/digital/datenschutz/2014-04/big-data-schwangerschaft-verheimlichen
[3] https://www.kuketz-blog.de/zoom-uebermittelt-personenbezogene-daten-an-drittanbieter/
[4] Kristina Beer: Vorsicht beim Skypen – Microsoft liest mit. In: Heise online. Verlag Heinz Heise
[5] Fraunhofer Institut äußert klare Sicherheitsbedenken gegenüber Skype. In: ht4u.net.