Sichere E-Mail-Übertragung im Gesundheitswesen

Fachkräftemangel, ein stark forderndes Arbeitsumfeld. Und dann noch E-Mails aufwendig verschlüsseln?!

Unternehmen im Gesundheitswesen stehen vor immensen Herausforderungen, die leider zu wenig beachtet werden. Die zu langsam voranschreitende Digitalisierung der Branche verschlimmert diesen Zustand nur weiter. Analoge Formulare, die per Hand ausgefüllt und per Fax versendet werden, gehören zum Alltag dazu. Allerdings ist das Faxgerät spätestens seit der ISDN-Abschaltung veraltet und auch unsicher. Datenschützer raten von der neuen Variante Fax-over-IP dringend ab. Als sicherer digitaler Austauschweg ist die Telematik-Infrastruktur TI vorgesehen, allerdings sind bisher noch nicht alle Berufsgruppen zur Nutzung berechtigt. Weiterhin hindern großflächige Störungen Praxen und Co. daran, mit der TI ordnungsgemäß zu arbeiten.

Medizinische und allgemein jede Art von Patientendaten unterliegen jedoch besonderem Schutzbedarf, z.B. nach Artikel 9 der DSGVO, oder dem Sozialgesetzbuch. Entsprechend ist ein sicherer digitaler Austauschweg unabdingbar. Für diesen Zweck ist die Kommunikation via E-Mail der einfachste und sicherste Weg - wenn auf eine adäquate Verschlüsselung geachtet wird, die ohne Alltags-Schwierigkeiten angewendet werden kann.

Eine Lösung – viele Vorteile

Das MXG arbeitet im Hintergrund und setzt automatisch bei jedem Versand die Methode der adaptiven Verschlüsselung ein. Damit stellt es sicher, dass ein jeweils angemessenes Sicherheitsniveau angewendet wird. Der Anwendende nutzt sein E-Mail-Client wie gewohnt - die Verschlüsselung übernimmt das comcrypto E-Mail-Gateway MXG.

Bestandteile der von uns entwickelten adaptiven Verschlüsselung:

  • Sicherheitskontrolle im Hintergrund: Die qualifizierte Transportverschlüsselung wird als Standard zum sicheren Austausch zwischen Unternehmen oder Organisationen. Zu Empfänger-Servern, die dieses sichere Verfahren nicht unterstützen, wird die unsichere Übertragung verhindert.
  • Verschlüsselung mit Passwort zur sicheren Übertragung auf Anforderung des Absenders oder als Fallback bei nicht vorhandener qualifizierter Transportverschlüsselung
  • Optional: S/MIME-Verschlüsselung mit ausgewählten Empfängern, die dieses ebenfalls unterstützen

Die verschiedenen Technologien zur sicheren Übertragung können flexibel eingesetzt werden, z.B. für verschiedene Abteilungen oder verschiedene Technologien. Das MXG speichert für den nachträglichen Nachweis der Datenschutzkonformität alle dafür notwendigen technischen Parameter jeder E-Mail-Übertragung. Zusätzlich wird ein Zustellnachweis gemäß dem BGH-Urteil aus Okt. 2022 erstellt.

Es fallen keine aufwendigen Schulungen für das Personal an und trotzdem erfüllen Sie alle gesetzlich geforderten Schutzziele der DSGVO - automatisiert und ohne Mehraufwand.

Herkömmliche Verschlüsselung vs. comcrypto MXG

Sie sind selbst im Gesundheitswesen tätig und suchen eine praktikable Lösung für die Erfüllung der Datenschutzpflichten bei der E-Mail-Übertragung?

Deshalb ist das MXG E-Mail-Gateway das Richtige für Sie:

HERKÖMMLICHE VERSCHLÜSSELUNGSSOFTWARE
  • Sicherheit ist ausschließlich vom Absender abhänging - E-Mails müssen händisch als "zu verschlüsseln" markiert werden
  • Aufwendige und zeitintensive Schulungen des Personals
  • Sicherung durch manuelle Passwörter, Zertifikate oder externe Downloadportale mit Anmeldezwang
  • Mitunter komplizierte Implementierungsphase mit Umbau der Bestands-IT
  • Fehlerquelle Mensch bleibt ein schlecht zu überwachendes und hohes Risiko
COMCRYPTO MXG
  • MXG führt im Hintergrund automatisch eine Sicherheitsprüfung durch - ohne dass der Absender daran denken muss
  • Ohne Schulung wie gewohnt E-Mails aus dem Client senden
  • 100 % automatisch gesichert durch qualifiziertes TLS und von uns geprüfte Fallback-Mechanismen
  • In unter einer Stunde betriebsfertig von uns eingerichtet
  • Durch Automatisierung ist menschliches Versagen ausgeschlossen

Das sagen unsere Kunden

Im Gesundheitssektor sind Cyber Resilience und Datensicherheit von besonders großer Bedeutung. Wir schützen die E-Mail-Kommunikation mit unseren Empfängern einfach und effektiv mit dem MXG E-Mail-Gateway von comcrypto.

 
Maria Freystein, VKS Verein für Knochenmark- und Stammzellspenden e. V., Dresden
VKS Deutschland

Erfahren Sie selbst, wie das MXG Unternehmen im Gesundheitswesen geholfen hat:

Ein Auszug unserer Referenzen

Häufige Fragen

Welche Gesundheitsdaten müssen datenschutzkonform übertragen werden?

Besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DS-GVO (oder § 4 Abs. 2 KDG bzw. § 4 Abs. 2 DSG-EKD), wie Gesundheitsdaten, werden von den Datenschutzgesetzen unter einen besonderen Schutz gestellt. Es ist daher immer von einem hohen Risiko für die Betroffenen auszugehen, wenn solche Daten verarbeitet werden. Lesen Sie dazu auch das DSK Kurzpapier Nr. 18 – Risiko für die Rechte und Freiheiten natürlicher Personen.

Welche Verschlüsselungen müssen für Gesundheitsdaten angewendet werden?

Nach der Orientierungshilfe der DSK (Stand 16. Juni 2021) ist für die Übertragung von Daten per E-Mail mit hohem Risiko immer eine Ende-zu-Ende-Verschlüsselung und eine qualifizierte Transportverschlüsselung anzuwenden. Auf eine Ende-zu-Ende-Verschlüsselung kann jedoch dann verzichtet werden, wenn dies bspw. die Daten in der konkreten Nachricht oder die konkrete Ausgestaltung des Übertragungsweges oder die getroffenen kompensierenden Maßnahmen hergeben. Zudem wird die Ende-zu-Ende-Verschlüsselung häufig am fehlenden Vernetzungseffekt scheitern.

Welche gesetzlichen Regelungen gelten für Gesundheitsdaten?

Der Artikel 9 Abs. 1 der DS-GVO wie auch die Regelungen der KVB besagt, dass bei der Verarbeitung von personenbezogenen Daten besonders streng auf den richtigen Umgang geachtet werden muss. Um zwischen TI-Nutzer und Externen zu kommunizieren, ist via E-Mail der einfachste und sicherste Weg - wenn auf eine adäquate Verschlüsselung geachtete wird. Daten wie interne Rechnungen, Dienst- und Finanzpläne oder die Kommunikation mit Verbänden, Behörden oder anderen Gesundheitsdiensten stehen ebenfalls unter dem Datenschutzgesetz. Viele alltägliche Daten, selbst einfache Rechnungen, enthalten oft schon Art. 9 Daten.

Was passiert, wenn Art. 9 Daten an unbeteiligte Dritte gelangen?

Laut Art. 33 DSGVO muss eine Datenschutzverletzung binnen 72 Stunden vom Verantwortlichen an die zuständige Aufsichtsbehörde gemeldet werden, da dies ein meldepflichtiger Vorfall darstellt. In dieser Meldung müssen mindestens Angaben über die Art der Verletzung, die Anzahl der betroffenen Personen, der betroffenen Kategorien und der betroffenen Datensätze gemacht werden. Weiterhin benötigt die Aufsichtsbehörde für eine sachgemäße Bearbeitung mindestens, die Kontaktdaten des Datenschutzbeauftragten, eine Beschreibung der wahrscheinlichen Folgen sowie eine Beschreibung, welche Gegenmaßnahmen getroffen wurden, um einen solchen Vorfall zu verhindern. Sollte eine solche Meldung nicht erfolgen, drohen hohe Geldstrafen oder sogar Haftstraßen.

Was kann das MXG für mich tun?

In den Fokus rückt daher die qualifizierte Transportverschlüsselung, die für den sozialen Bereich als grundlegendes Sicherheitslevel zu empfehlen ist. Für besonders sensible Daten (oder wenn kein qTLS zum konkreten Empfänger verfügbar ist) steht im MXG Gateway zudem die Inhaltsverschlüsselung mit Passwort oder per S/MIME zur Verfügung.

Comcrypto MXG liefert die notwendigen Funktionen:

  • Qualifizierte Transportverschlüsselung (qTLS), wann immer technisch möglich (ca. 90 % der versendeten E-Mails)
  • Wenn qTLS nicht möglich, automatischer Einsatz einer Inhaltsverschlüsselung (wenn vorher so konfiguriert)
  • Bei Nachrichten mit besonderem Schutzbedarf, Inhaltsverschlüsselung auf Anforderung

Zur bewährten MXG-Konfiguration im medizinischen Bereich stehen wir Ihnen gern jederzeit beratend zur Verfügung.

Warum ist das comcrypto MXG die richtige Lösung für mein Unternehmen?

Das comcrypto MXG funktioniert unabhängig von Ihrer Unternehmensgröße. Egal ob 15 oder 1500 Postfächer - das MXG ist flexibel auf Ihre Bedürfnisse skalierbar. Da wir nicht, wie in der Branche üblich, nach kleinen, mittleren und Enterprise-Lösungen abrechnen, sondern nach einzelnen Postfächern, lässt sich ein individuelles Angebot für Sie zusammenstellen.

Sie haben Fragen oder wünschen ein Angebot? Wir beraten Sie gern!