Datenverschlüsse­lung im Gesundheitswesen: Wie Ärzte und Therapeuten im Berufsalltag davon profitieren

Für Leistungserbringer im Gesundheitswesen spielt das Thema Datenschutz eine zentrale Rolle: Sie unterliegen als Berufsgeheimnisträger der Schweigepflicht und sind zum wirksamen Schutz sensibler Patientendaten verpflichtet. Mit einer vollständigen Ende-zu-Ende-Verschlüsselung in der Praxisverwaltung und bei der Patientenkommunikation gelingt das. Mehr noch: Die Datenverschlüsselung eröffnet Ärzten wie auch Therapeuten die Chance auf eine neue Art des Arbeitens – ob in der Telemedizin oder bei Hausbesuchen. 

Mehr Bürde als Chance, mehr Pflicht als Kür: Es ist kein Geheimnis, dass Datenschutz zu Beginn der Digitalisierung eine eher untergeordnete Rolle spielte. In der neuen virtuellen Welt galt es zunächst, Grenzen auszutesten und herauszufinden, was mit der gewonnenen digitalen Freiheit überhaupt möglich ist. Das Verwirklichen hatte Vorrang, Bedenken wurden hinten angestellt. 

Diese Herangehensweise hat sich in den vergangenen Jahren und Jahrzehnten verändert. Zwar ist das Netz weiterhin ein Ort des Erschaffens und der Motor etlicher Neuerfindungen, allerdings ist davon auszugehen, dass die meisten Akteure ihren Platz in der anfangs so ungewohnten digitalen Öffentlichkeit mittlerweile gefunden haben. Der positive Nebeneffekt: Im Rahmen dieser Entwicklung rückten auch die Themen Datenschutz und Verschlüsselung verstärkt in den Fokus der öffentlichen Debatte – angetrieben von einem gestiegenen Bewusstsein innerhalb der Bevölkerung und einer zunehmend kritischen (Medien-)Öffentlichkeit.

Ende-zu-Ende-Verschlüsselung bei Tech-Giganten: Mehr Schein als Sein? 

Die sogenannte Ende-zu-Ende-Verschlüsselung hat sich mittlerweile zu einem zentralen Begriff in der Datenschutzdebatte entwickelt. Dabei handelt es sich um ein Verfahren, das den Datenstrom zwischen Kommunikationsteilnehmern mittels Kryptographie sicher chiffriert. Nur unmittelbar Beteiligte verfügen über den notwendigen Schlüssel, um auf den Kommunikationsinhalt zugreifen zu können; unbefugte Dritter können den Datenfluss dagegen nicht entziffern.

Das Potential hinter diesem benutzerfreundlichen Verfahren haben mittlerweile auch einige Technologieriesen erkannt, von denen viele offen damit werben, wenn sie bei einzelnen Anwendungen auf eine Ende-zu-Ende-Verschlüsselung setzen. Dass viele dieser Tech-Giganten oftmals im großen Stil Metadaten speichern oder die entsprechenden Server im EU-Ausland stehen, wo sie nicht den strengen Datenschutzregeln der EU unterliegen, ist vielen Anwendern jedoch nicht bekannt. Erst kürzlich warnte beispielsweise der zuständige Datenbeauftragte die Hamburger Senatskanzlei formal vor dem Einsatz des US-Videodienstes Zoom. Die Begründung: Die Verwendung der on-demand-Variante verstöße gegen die Datenschutz-Grundverordnung (DSGVO), „da eine solche Nutzung mit der Übermittlung personenbezogener Daten in die USA verbunden ist.” 

Für gesetzlich stark reglementierte Branchen wie das deutsche Gesundheitswesen, wo höchste Anforderungen an Datenschutz und -sicherheit gelten, eignen sich solche Kommunikationsmittel folglich nicht. Denn Ärzte und Therapeuten unterliegen in ihrer Rolle als Berufsgeheimnisträger der Schweigepflicht. Für telemedizinische Anwendungen oder die Nutzung von Praxisverwaltungssystemen braucht es folglich Lösungen, die dieser besonderen Verantwortung Rechnung tragen und absolut keine Lücken in ihrem Datenschutzkonzept lassen.

Wie funktioniert die Ende-zu-Ende-Verschlüsselung bei RED?

RED verwendet für die Verschlüsselung von Daten das symmetrische Standardverfahren AES. AES steht für Advanced Encryption Standard und bietet als Nachfolger von DES (Data Encryption Standard) ein besonders hohes Maß an Sicherheit. Mithilfe einer komplexen Abfolge verschiedener kryptographischer Umwandlungen – beispielsweise durch Byteersetzungen (Substitutionen), Verwürfelung (Permutationen) und lineare Transformationen – werden dabei Daten aus dem Klartext in einen sogenannten Geheimtext umgewandelt. 

Der bei der Verschlüsselung eingesetzte Schlüssel ist dabei lediglich den unmittelbaren Nutzern bekannt. Folglich kann kein Unbefugter die Daten lesbar machen, auch nicht unsere System-Administratoren im Rechenzentrum. Entschlüsselt werden die Daten erst wieder, wenn sie zurück auf den eigenen Rechner geholt werden. Sensible Metadaten speichert RED außerdem nicht. Zudem befindet sich das von RED verwendete Rechenzentrum in Deutschland.  

Je nach Anwendung verwendet AES eine definierte Schlüssellänge von 128, 192 oder 256 Bit – an der Schlüssellänge bemisst sich im Allgemeinen die Sicherheit des Datenstroms. Bei RED kommt AES-256 zum Einsatz, die sicherste der drei Varianten mit insgesamt 2²⁵⁶ möglichen Schlüsselkombinationen. Angesicht dieser schier endlos langen Zahl (bis zu 77 Nullen) und der riesigen Anzahl potentieller Schlüssel ist bis heute kein erfolgreich durchgeführter Angriff bekannt. 

Praktischer Mehrwert für Ärzte und Therapeuten 

Ende-zu-Ende-Verschlüsselung stellt in vielerlei Hinsicht die Grundlage für einen modernen Praxisalltag dar. Als Beispiel hierfür kann die ärztliche Videosprechstunde herangezogen werden, deren Potential auch abseits der aktuellen Pandemie riesig ist. So ging aus einer aktuellen Studie zur Telemedizin hervor, dass ganze 91 % der Patienten auch in Zukunft auf telemedizinische Angebote zurückgreifen möchten. Allerdings sieht der Gesetzgeber für die Durchführung der Videosprechstunde einen engen rechtlichen Rahmen vor, dem nicht alle Anbieter entsprechen. Mit dem Einsatz einer wirksamen Datenverschlüsselung, wie es z. B. beim zertifizierten Videodienst RED connect der Fall ist, erfüllt der Behandler hingegen seine technische Sorgfaltspflicht und kann proaktiv auf die hohen Beliebtheitswerte der Videosprechstunde und die steigende Nachfrage reagieren. 

Neben der Videosprechstunde ist eine Ende-zu-Ende-Verschlüsselung selbstverständlich auch bei der Verwendung des Praxisverwaltungssystems von zentraler Bedeutung. Schließlich darf es unter keinen Umständen zu unberechtigter Einsichtnahme oder Zugriff auf Abrechnungsdaten, Rezepte, Patientenakten oder anderweitigen Dokumentationen kommen. Mit der zertifiziert sicheren und mehrfach ausgezeichneten Praxissoftware RED medical sind Sie hier auf der sicheren Seite. Mehr noch: Als webbasierte Anwendung können Sie mit RED medical vollkommen flexibel und ortsunabhängig arbeiten. Über Ihr bevorzugtes mobiles Endgerät haben Sie jederzeit sicheren Zugriff auf das interne Praxissystem, was insbesondere bei Hausbesuchen oder im Pooldienst nützlich ist, um der zeitnahen Dokumentationspflicht nachzukommen. Der Grund liegt auch hier in der Ende-zu-Ende-Verschlüsselung: Sie ermöglicht, dass selbst der Fernzugriff auf das PVS im Einklang mit den höchsten Datenschutzanforderungen steht und dem Arzt oder Therapeuten der zeitaufwändige Nachtrag in der Praxis erspart bleibt.