Dateien sicher und einfach versenden

[Peterlustig87]

Hallo zusammen,
ich suche nach einer Möglichkeit Dateien mit sensiblen Daten einfach und sicher an Klienten meiner Praxis zu übermitteln.
Es sind in der Regel PDF Dateien mit geringer Dateigrösse (z.B. eine Rechnung).
Die Standard E-Mail würde sich natürlich anbieten, erscheint mir aber als nicht sicher genug.
Messenger wären eventuell auch eine Lösung, da bin ich jetzt aber erstmal nur auf threema gestossen, der leider auch kostenpflichtig ist.
Möglicherweise wäre auch eine Standard E-Mail mit verschlüsseltem Anhang eine Lösung?
Da kenne ich mich aber nicht aus, wie man das am einfachsten machen könnte.
Freue mich über Ideen und Lösungsvorschläge. Vielen Dank.

 

[madmax2010]

Möglicherweise wäre auch eine Standard E-Mail mit verschlüsseltem Anhang eine Lösung?

PGP

einfacher und skalierbarer:
Nextcloud, selbst betrieben.
Link mit PW schützen und PW auf einem distinkten Weg versenden

 

[Sebbi]

ich suche nach einer Möglichkeit Dateien mit sensiblen Daten einfach und sicher an Klienten meiner Praxis zu übermitteln.

für solche hochsensibel Daten wende dich bitte an ein Systemhaus.
Dafür ist so ein Forum nicht der korrekte Ort, auch wenn es hier das Fachwissen gibt.

 

[zenokortin]

Einfachste Variante: Zip File mit Passwort als Mailanhang.

 

[User007]

Hi...

[...] Dateien mit sensiblen Daten einfach und sicher an Klienten meiner Praxis zu übermitteln.

Jepp, als komprimierte Datei mit Passwort an eine E-Mail angehangen versendet sollte ausreichend "sicher" sein.
Dabei ist ja sicherlich auch nicht nur Dein Ansinnen nach Schutzbedürfnis und im Berufsalltag (relativ) einfacher Handhabung zu beachten, sondern die Klienten sollen dann nach Empfang auch damit umgehen können - mögl. ohne erst 'nen IT-"Studium" absolvieren zu müssen.
​

Btw.:

Dafür ist so ein Forum nicht der korrekte Ort, auch wenn es hier das Fachwissen gibt.

Warum sollte man nicht auch hier (in einem augenscheinlichen Fach-Forum) Nachfrage halten, grad', wenn zu erwarten steht, dass sehr wahrscheinlich einige (bis viele) fachqualifizierte Mitglieder Informationen/Hinweise geben könnten?​

 

[Sebbi]

Warum sollte man nicht auch hier (in einem augenscheinlichen Fach-Forum) Nachfrage halten, grad', wenn zu erwarten steht, dass sehr wahrscheinlich einige (bis viele) fachqualifizierte Mitglieder Informationen/Hinweise geben könnten?

weil "Praxis" auf Daten hindeutet, die auf einer besonders hohen Datenschutzebene stehen. Gerade da hat der Datenschutz meinst besondere Anforderungen, bei denen das Verfahren rechtlich geprüft werden sollte.

Das kann auch ein Fachforum nicht leisten und bevor sich der TE hier sich Tipps holt und diese ohne Prüfung umsetzt und sich damit in die Nesseln setzt, werde ich da lieber auf ein Systemhaus verweisen, wo es für den TE dann auch eine rechtliche Absicherung gibt und die geltenden Standards eingehalten werden können.

 

[zenokortin]

weil "Praxis" auf Daten hindeutet, die auf einer besonders hohen Datenschutzebene stehen.

Kann halt auch ne "Heilpraktiker"-Praxis bedeuten^^

Das kann auch ein Fachforum nicht leisten und bevor sich der TE hier sich Tipps holt und diese ohne Prüfung umsetzt und sich damit in die Nesseln setzt

Muss er am Ende selber wissen.
Aber PW-geschützter Mailanhang ist in der Breite durchaus als hinreichend gesichert anzusehen.

 

[Peterlustig87]

Es handelt sich um sensible Gesundheitsdaten. Ich betreibe eine sehr kleine Privatpraxis im 1-Mann-Betrieb mit einem Laptop. Keiner meiner Kollegen mit ähnlicher Praxisgröße engagieren ein Systemhaus. Ich habe ebenfalls kein Systemhaus.
Es gibt die Richtlinie der KV, an der man sich sicher orientieren kann, auch wenn ich keine KV Praxis betreibe:

https://www.kbv.de/html/it-sicherheit.php

Dort ist von "Verschlüsselung" die Rede (nicht näher Spezifiziert). Ansonsten gilt sicher die DSGVO. Aber ja, ich bin natürlich Laie auf diesem Gebiet und habe daher bisher auch keine Zeit Daten digital versand.

 

[zenokortin]

Es gibt die Richtlinie der KV, an der man sich sicher orientieren kann

Für sowas gibt es Anwälte. Wenn du dich auf rechtlich sicherem Boden bewegen willst, ist das unumgänglich.

edit: hier kannst du dir Denkanstöße für den technischen Aspekt holen. Rechtlich kann (und darf) dich hier niemand beraten!

 

[Peterlustig87]

Ok, mir ist schon klar, dass die optimale Lösung wäre 1. Zum Anwalt zu gehen, 2. IT-Spezialist engagieren, 3. am besten noch Cyberversicherung abschließen und am Ende kann ich die Praxis wieder schließen, weil es nicht rentabel ist.
Wenn es so verwegen ist, zu versuchen eine selbst eine "vernünftige" Lösung zu finden, dann wird halt weiter gedruckt und Post verschickt.

 

[zenokortin]

und am Ende kann ich die Praxis wieder schließen

Du kannst es dir aussuchen: die Kosten eines Anwaltes tragen oder in die Insolvenz geklagt werden.
Sorry, dass ich das so deutlich sagen muss: kannst du die rechtlichen Aspekte nicht erfüllen, schließe deine Praxis!

 

[Peterlustig87]

edit: hier kannst du dir Denkanstöße für den technischen Aspekt holen. Rechtlich kann (und darf) dich hier niemand beraten!

Da ist mir völlig klar, es ging mir auch nur um Denkanstöße für den technischen Aspekt. Mehr wollte ich gar nicht. Dann kann ich immer noch in Ruhe darüber nachdenken, mich mit meinem Umfeld besprechen und mir überlegen, ob ich es für ausreichend praktikabel und sicher halte.

Ergänzung (20. Oktober 2023)

Du kannst es dir aussuchen: die Kosten eines Anwaltes tragen oder in die Insolvenz geklagt werden.
Sorry, dass ich das so deutlich sagen muss: kannst du die rechtlichen Aspekte nicht erfüllen, schließe deine Praxis!

Warum genau soll ich jetzt meine Praxis schließen, weil ich nicht zum Anwalt gehe?

 

[zenokortin]

Warum genau soll ich jetzt meine Praxis schließen, weil ich nicht zum Anwalt gehe?

Noch deutlicher: ja!
Dir scheinen die Risiken nicht bewusst zu sein.

 

[Peterlustig87]

Ok. Falls noch jemand andere Vorschläge hat, als mir zu empfehlen meine Praxis zu schließen, freue ich mich. Der Tipp mit den verschlüsselten Zip Anhang war hilfreich, das werde ich mir näher anschauen und mich dazu eingehender informieren. Danke.

Ergänzung (20. Oktober 2023)

Noch deutlicher: ja!
Dir scheinen die Risiken nicht bewusst zu sein.

Wie kommst du denn darauf? Also ich wollte mich hier ein wenig informieren, genauso wie du es geschrieben hast : "Denkanstöße für den technischen Aspekt." einholen.
Das heißt nicht, dass ich sofort wild und ungeprüft anfange alles 1:1 umzusetzen, was hier genannt wird. Mir ist klar, dass ich mich in einem Forum bewege und hier keine rechtssichere Beratung und Handlungsempfehlung erhalte.

 

[User007]

[...] hier kannst du dir Denkanstöße für den technischen Aspekt holen.

Und natürlich die Fachtermina erfahren, damit man damit auch bei den entsprechenden Fachstellen - sei es nun bspw. ein Systemhaus oder ein RA - dann auch überhaupt in der Lage ist die richtigen Fragen zu stellen.

Im Übrigen entspräche eine komprimierte mittels Kennwort geschützte Datei praktisch gesehen einer "Verschlüsselung" - halt nach anderer (vllt. nicht ganz im konventionellen Sinn gedachter) Methode.

Und nochmal: das Ganze muß bei aller Beachtung von gesetzlichen Bestimmungen/Vorgaben (BDSG/EU-DSGVO) und/oder Richtlinien branchenverbundener Institutionen trotzdem noch praktikabel bleiben - sowohl für den Absender als auch den Empfänger.
Ansonsten verbleiben nämlich so Zustände, wie bspw. mit dem Fax, weil aus unverhältnismäßig zu leistendem (Personal- und Kosten-)Aufwand Dinge eben keine Weiterentwicklung erfahren. 🤷‍♂️​

Btw.:

Rechtlich kann (und darf) dich hier niemand beraten!

Bin ich immer wieder fasziniert drüber - wer sagt bzw. wo steht das?

 

[Sebbi]

Keiner meiner Kollegen mit ähnlicher Praxisgröße engagieren ein Systemhaus.

und wie versenden die dann ihre Daten?

Ich habe ebenfalls kein Systemhaus.

Anfragen kann man dort alle mal für ein Angebot. Und wie @zenokortin sagte, wenn du sich absichern willst, damit nicht irgendwann man der Datenschutz auf die Füße tritt.
Ansonsten bei Kollegen anfragen oder frag doch mal die kbv an, ob die dir freundlicher Weise dafür Informationen und Tips geben können.

Ende kann ich die Praxis wieder schließen, weil es nicht rentabel ist.

nun, wenn dir der Datenschutz auf die Füße tritt, isses definiv dann der Fall

Da ist mir völlig klar, es ging mir auch nur um Denkanstöße für den technischen Aspekt. Mehr wollte ich gar nicht.

Das Problem ist ja hier, das wie du ja siehst, viele schon Vorschläge gemacht haben. Dennoch sind ist vieles davon vom Datenschutz her warscheinlich nicht ausreichend für Patientendaten.

Am ehesten wäre noch das letzte von @madmax2010 zu vertreten mit einigen Modifikationen:

Auf einen Webserver die Daten ablegen einen persönlichen Verzeichnis für den Patienten, am besten über ein entsprechendes Webinferface etc.
Der Webserver versendet dann automatisiert bei der Ablage neuen Daten für den Patienten einen Link per Email mit dem Inhalt "Es sind neue Daten verfügbar" + Link zum Login.
Vorher gibt es für den Patienten einen einmaligen postialischen oder persönlich übergebenen Bief mit den Zugangsdaten Daten zu einen personalisierten Account. Mit dem Link aus der Email gelangen sie auf den Login, können sich einloggen und alle Daten dann einsehen und ggf herunterladen.

 

[Peterlustig87]

und wie versenden die dann ihre Daten?

Wenige machen es wohl einfach über normale Mail (würde ich nicht machen, also bitte auf den Shitstorm verzichten), die meisten lassen es einfach komplett und machen es analog, bzw. faxen. Da es den meisten zu teuer/kompliziert ist digital zu arbeiten, befindet sich ein großer Teil der Gesundheitsbranche IT mäßig wohl noch in der Steinzeit.

 

[Keylan]

Was genau bei der technischen Umsetzung zu beachten ist, ist mir leider auch nicht klar.
Ein durchaus relevanter Punkt ist aber, das deine Patienten aktuell explizit zustimmen müssen, damit du ihnen die Rechnung digital zukommen lassen kannst. Das ist Sinnvoll, weil du hier einen Prozess einhängen kannst der auch gewährleistet das sie den Zugriff technisch sicher gestalten. (persönliches Passwort oder welche eindeutige Kennung auch immer)

Etwas alt aber wohl noch relevant:

https://www.iww.de/pa/abrechnungsor...df-per-e-mail-versenden-lohnt-sich-das-f96228

Dann ändert sich aber wohl in Zukunft einiges. Die digitale Rechnung soll wohl zum Standard werden und stattdessen wird der klassische Postversand Zustimmungspflichtig.

https://www.erfolg-in-heilberufen.de/allgemein/e-rechnungen-deutschland.html

Hier wird auch ein Anbieter empfohlen. Ich habe den nur diesem Artikel entnommen und kann nichts zur Seriosität des Anbieters sagen.

https://lemniscus.de/

 

[zenokortin]

Bin ich immer wieder fasziniert drüber - wer sagt bzw. wo steht das?

§ 6 Unentgeltliche Rechtsdienstleistungen

(2) Wer unentgeltliche Rechtsdienstleistungen außerhalb familiärer, nachbarschaftlicher oder ähnlich enger persönlicher Beziehungen erbringt, muss sicherstellen, dass die Rechtsdienstleistung durch eine Person, der die entgeltliche Erbringung dieser Rechtsdienstleistung erlaubt ist, durch eine Person mit Befähigung zum Richteramt oder unter Anleitung einer solchen Person erfolgt. Anleitung erfordert eine an Umfang und Inhalt der zu erbringenden Rechtsdienstleistungen ausgerichtete Einweisung und Fortbildung sowie eine Mitwirkung bei der Erbringung der Rechtsdienstleistung, soweit dies im Einzelfall erforderlich ist.

 

[BFF]

Zip File mit Passwort als Mailanhang.

Wenige machen es wohl einfach über normale Mail

Oh doch. Es machen nicht wenige.
In Catch-All meiner Maildomaene (Ich bin kein Zahnarzt und die/der hat nur rein zufaellig den gleichen Nachnamen wie ich, nur hab ich die Domain mit dem Nachnamen) landen fast taeglich Berichte, Roentgenaufnahmen plus diverser Berichte im Klartext. Und wenn es da jemandem einfiel das Archiv per Kennwort zu "schuetzen" war das Kennwort meist 0815.

Hilft Dir nicht wirklich, sollte aber zeigen was tatsaechlich passiert.

PGP

Ja ok.
Wer kann das ueberhaupt?