Stellungnahme aus dem Ministerium zur Übermittlung von Gesundheitsdaten per unverschlüsseltem E-Mail/Fax seit 1. Juli 2022

Presseaussendung An: Alle niedergelassenen Ärzt*innen
Von: Kurie niedergelassene Ärzte

 

Sehr geehrte Frau Kollegin!
Sehr geehrter Herr Kollege!

Wie bereits am 7. hier und am 14. Juli hier in den Ärzt*innennews berichtet, ist die Regelung im Gesundheitstelematikgesetz 2012 (kurz GTelG), wonach für den Zeitraum der Pandemie erleichterte Vorgaben bei der Übermittlung von Gesundheitsdaten bestanden (unverschlüsselte E-Mails, Fax), mit 30. Juni 2022 ausgelaufen. Ausgenommen davon ist das Suchtgiftrezept bis 30. Juni 2023.
Das Gesundheitsministerium wurde diesbezüglich um Stellungnahme gebeten, welche wir Ihnen nun hiermit zur Verfügung stellen und nachfolgend gerne zusammenfassen:

Fax
Dieses Schreiben des Ministeriums enthält einen klaren Hinweis darauf, dass eine Übermittlung von Gesundheitsdaten per Fax grundsätzlich nicht den Anforderungen der Datenschutzgrundverordnung hinsichtlich Vertraulichkeit und Integrität entspricht. Weiters wird die bereits bekannte Rechtslage zur Gesundheitsdatenübermittlung auf Basis des GTelG erläutert, wonach aber dennoch eine Übermittlung per Fax ausnahmsweise möglich ist, so die im Gesetz vorgesehenen weiteren Voraussetzungen allesamt vorliegen (siehe nachfolgend unter 1. – 5.) und der gesetzlich geforderte Nachweis bzw. die Prüfung von Identität, Rollen oder Integrität insbesondere mangels vorhandener technischer Infrastruktur nicht zumutbar sind.

  1. Die Faxanschlüsse (einschließlich Ausdruckmöglichkeiten zu Faxanschlüssen, die in EDV-Anlagen installiert sind) sind vor unbefugtem Zugang und Gebrauch geschützt.
  2. Die Rufnummern, insbesondere die gespeicherten Rufnummern, werden regelmäßig, insbesondere nach Veränderungen der technischen Einrichtung sowie nach der Neuinstallation von Faxgeräten, nachweislich auf ihre Aktualität geprüft.
  3. Automatische Weiterleitungen, außer an die jeweiligen Gesundheitsdiensteanbieter*innen selbst, sind deaktiviert.
  4. Die vom Gerät unterstützten Sicherheitsmechanismen werden genützt.
  5. Allenfalls verfügbare Fernwartungsfunktionen sind nur für die vereinbarte Dauer der Fernwartung aktiviert.

➔ Da das Privatrezept derzeit noch nicht im e-Rezept technisch abgebildet ist, kann die Übermittlung an eine Apotheke – unter Berücksichtigung der oben genannten Voraussetzungen – auch per Fax erfolgen!
Selbstverständlich gilt dies jetzt und fortan auch für Wahlärzt*innen und ihre Rezepte.

➔ Zusätzlich müssen gemäß GTelG die Identität und Rolle der beiden Akteure (Ärzt*in und Apotheker*in), die an der Übermittlung des Rezeptes via Fax beteiligt sind, durch einen persönlichen oder telefonischen Kontakt bestätigt sein.

E-Mail
Gemäß GTelG ist die Vertraulichkeit bei der elektronischen Übermittlung von Gesundheitsdaten und genetischen Daten entweder durch die Verwendung speziell abgesicherter Netzwerke oder durch eine vollständige, dem Stand der Technik entsprechende Verschlüsselung der Daten sicherzustellen. Die Bestimmung fordert eine Ende-zu-Ende-Verschlüsselung, weshalb eine Transportverschlüsselung nicht ausreichen würde.

Allenfalls von der Verschlüsselung ausgenommenen Informationen dürfen weder Hinweise auf die betroffenen Personen, deren Gesundheitsdaten oder genetische Daten übermittelt werden, noch allfällige Authentifizierungsdaten enthalten. Vereinfacht gesagt bedeutet das, dass personenbezogene Angaben über die betroffene Person (worunter insbesondere auch die Sozialversicherungsnummer fällt) außerhalb des verschlüsselten Teils einer Übertragung, (beispielsweise im Header eines E-Mails) unzulässig sind.

Kann die Ende-zu-Ende-Verschlüsselung nicht garantiert werden, müsste die elektronische Übermittlung von Gesundheitsdaten über Netzwerke durchgeführt werden, die entsprechend dem Stand der Technik in der Netzwerksicherheit gegenüber unbefugten Zugriffen abgesichert sind, indem sie zumindest die Absicherung der Übermittlung von Daten durch kryptographische oder bauliche Maßnahmen, den Netzzugang ausschließlich für eine geschlossene oder abgrenzbare Benutzer*innengruppe sowie die Authentifizierung der Benutzer*innen vorsehen.

➔ Eine elektronische Übermittlung von Gesundheitsdaten und genetischen Daten unter diesen angeführten Voraussetzungen des § 6 GTelG 2012 ist daher jedenfalls zulässig!

Abschließend dürfen wir Sie informieren, dass ein Schreiben mit dieser dargelegten Vorgehensweise an die Apothekerkammer und Sozialversicherung zur Kenntnisnahme ergeht.

Mit kollegialen Grüßen

Erik Randall Huber
Vizepräsident
Obmann der Kurie niedergelassene Ärzte

Johannes Steinhart
Präsident