Schlagwort-Archive: Datenschutz

Der Corona-Virus als neuer Vorwand für Massenüberwachung von Handy- und Bewegungsdaten?

Sollen Kontaktpersonen von Infizierten über Handydaten ermittelt werden?unter dieser Überschrift meldet der Berliner Tagesspiegel am 05.03.2020: Um die rasche Verbreitung des Coronavirus einzudämmen, wird nach Informationen von Tagesspiegel-Checkpoint in Wissenschaftskreisen und internationalen Tech-Unternehmen eine außergewöhnliche Maßnahme diskutiert: Anstatt zu versuchen, die Kontaktpersonen von Infizierten durch zeitintensive und am Ende trotzdem ungenaue persönliche Abfragen herauszubekommen, könnte ein Abgleich von Bewegungsdaten etwa eines Handys die Ausbreitung drastisch verlangsamen… Solche Ortsdaten werden zum Beispiel von Apple und Google minutenweise sehr genau für mehrere Wochen gespeichert; auch die Telekom verfügt über Möglichkeiten, Kontaktpersonen per Datenabgleich zu ermitteln. Diese könnten dann direkt kontaktiert werden, um die Infektionskette zu unterbrechen… Die Corona-Krise wird unter Wissenschaftlern als gefährlicher Ausnahmefall angesehen, bei dem es entscheidend darauf ankommt, die Verbreitung zu verlangsamen. Nur so könne man genügend Zeit für alle anfallenden Behandlungen gewinnen…“

Zuzustimmen ist zwei Kommentaren zu diesem Tagesspiegel-Beitrag. Sie lauten:

  • Da bleibt mir nur ‚Wehret den Anfängen!!!‘. Wenn die Katze einmal aus dem Sack ist, wird sie nie wieder eingefangen. So Nobel das auch klingen mag, das würde der Überwachung  a la China Tür und Tor öffnen.“
  • Der Zugriff auf die detaillierten Bewegungsdaten aller(!) Bürger als Virenschutzmaßnahme? Ernsthaft? Willkommen, Überwachungsstaat! Wenn’s der Sicherheit dient…“

Bleiben noch die Fragen:

  • Wann wird der erste “Sicherheits”- und/oder Gesundheitspolitiker auf diese Gedankenspiele abfahren und sie aufgreifen?
  • Und wer wird es sein? Horst Seehofer (CSU)? Jens Spahn (CDU)? Karl Lauterbach (SPD)? Florian Post (SPD)? 

Der Entwurf von Bundesgesundheitsminister Spahn zum Patientendaten-Schutzgesetz (PDSG) hält nicht, was sein Name verspricht – Stellungnahme des Landesdatenschutzbeauftragten aus Baden-Württemberg

Am 30.01.2020 legte Bundesgesundheitsminister Jens Spahn (CDU) den Referentenentwurf eines Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur vor: das sogenannte „Patientendaten-Schutzgesetz“ (PDSG). Der neuerliche Gesetzentwurf ist aus Sicht von Spahn notwendig geworden, weil die ursprünglich im Entwurf des Bundesgesundheitsministeriums (BMG) zum Digitalen Versorgungsgesetz (DGV) vorgesehenen Neuregelungen zur Wiederbelebung des Projektes einer elektronischen Patientenakte (ePA) wegen datenschutzrechtlicher Mängel auf breiten Widerstand gestoßen waren. Spahn hatte deswegen beschlossen, die entsprechenden Regelungen aus dem DVG auszugliedern und – überarbeitet – in ein eigenes Datenschutzgesetz zu überführen. Dabei sollen nunmehr gleich weitere Maßnahmen zur Förderung der Digitalisierung im Gesundheitswesen auf den Weg gebracht werden.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat den Gesetzentwurf aus dem Hause Spahn wie folgt bewertet:vom 27.02.2020: Der nunmehr vorgelegte Entwurf wird der Bezeichnung als ‚Patientendaten-Schutzgesetz‘ nicht gerecht und bleibt grundlegend überarbeitungsbedürftig:

Der Entwurf von Bundesgesundheitsminister Spahn zum Patientendaten-Schutzgesetz (PDSG) hält nicht, was sein Name verspricht – Stellungnahme des Landesdatenschutzbeauftragten aus Baden-Württemberg weiterlesen

Auskunftsanspruch von Patient*innen in der Heilbehandlung – eine Stellungnahme des Datenschutzbeauftragten aus Rheinland-Pfalz

In seinem Newsletter vom 21.02.2020 nimmt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) zu diesem Thema wie folgt Stellung:

Nach Wirksamwerden der Datenschutz-Grundverordnung im Mai 2018 wurde verstärkt die Frage aufgeworfen, ob sich der datenschutzrechtliche Auskunftsanspruch nach Art. 15 DS-GVO im Rahmen der Heilbehandlung auch auf die Bereitstellung einer vollständigen Kopie der Behandlungsdokumentation erstreckt. Die Angelegenheit hat für die Praxen hinsichtlich der dabei anfallenden Kosten eine praktische Relevanz: denn anders als nach § 630g Abs. 2 Satz BGB und den jeweiligen Berufsordnungen vorgesehen wäre eine auf Art. 15 Abs. 3 Satz 1 DS-GVO gestützte Kopie zumindest in der ersten Ausfertigung für die Betroffenen unentgeltlich. Im Ergebnis ist dies nach Ansicht des LfDI Rheinland-Pfalz aufgrund der besonderen Umstände im Bereich der Heilbehandlung der Fall, wenn dies dem Auskunftsbegehren des Patienten entspricht. Unerheblich ist, ob sich die Patienten dabei ausdrücklich auf ihr Auskunftsrecht nach Art. 15 DS-GVO berufen oder nicht. Auskunftsanspruch von Patient*innen in der Heilbehandlung – eine Stellungnahme des Datenschutzbeauftragten aus Rheinland-Pfalz weiterlesen

Arvato Systems und die Sicherheit der Telematik-Infrastruktur im Gesundheitswesen im Spiegel eines Twitter-Dialogs

Es ist noch keine zwei Monate her, als der Chaos Computer Club während seines 36. Kongresses (36C3) Ende Dezember 2019 in Leipzig verkündete: Hackern des Chaos Computer Club ist es gelungen, sich Zugangsberechtigungen für das sogenannte Telematik-Netzwerk zu verschaffen… CCC-Sicherheitsforschern ist es gelungen, sich gültige Heilberufsausweise, Praxisausweise, Konnektorkarten und Gesundheitskarten auf die Identitäten Dritter zu verschaffen. Mit diesen Identitäten konnten sie anschließend auf Anwendungen der Telematik-Infrastruktur und Gesundheitsdaten von Versicherten zugreifen. Die Hacker stellten grobe Mängel in den Zugangsprozessen fest, und demonstrieren mit Beispielangriffen, wie sich Kriminelle Identitäten erschleichen können…“ Dokumentiert und präsentiert wurde dies vom CCC-Sicherheitsexprten Martin Tschirsich zusammen mit dem Arzt Christian Brodowski und dem Experten für Identitätsmanagement André Zilch beim 36C3.

Vor diesem Hintergrund erscheint es mindestens rätselhaft, wie ein auf dem Gebiet der Telematik-Infrastruktur führendes (und mehr als nur gut verdienendes) Unternehmen wie die zum Bertelsmann-Konzern gehörende Arvato Systems GmbH mit der Sicherheit der Kommunikationswege zu Ihren Kund*innen umgeht. Aber lesen Sie selbst, was am 20.02.2020 dazu auf Twitter von einem Arzt dokumentiert wurde: Arvato Systems und die Sicherheit der Telematik-Infrastruktur im Gesundheitswesen im Spiegel eines Twitter-Dialogs weiterlesen

Kassenzahnärztliche Vereinigung Bayern fordert „Jens Spahn sollte jetzt die Notbremse ziehen“ – Aufschub für die elektronische Patientenakte

Angesichts neuer Sicherheitslücken in deutschen Arztpraxen fordert die Kassenzahnärztliche Vereinigung Bayerns (KZVB), die elektronische Patientenakte (ePA) nicht wie geplant zum 01.01.2021 einzuführen. In einer Pressemitteilung vom 13.02.2020 erklärt die KZVB: „…Mithilfe einer speziellen, aber offen im Netz verfügbaren Suchmaschine können Sicherheitslücken von ans Internet angebundenen Praxisrechnern ohne großen Aufwand entdeckt werden. Für Profis seien die Passwörter der Praxen leicht zu knacken. Der Handel mit Patientendaten sei längst zu einem lukrativen Markt geworden. Bis zu 2000 Euro würden für eine Patientenakte angeboten. ‚Dieses Beispiel zeigt, dass die IT-Infrastruktur in vielen deutschen Arzt- und Zahnarztpraxen noch nicht ausreichend gegen Hackerangriffe geschützt ist. Das wird auch am 1. Januar 2021 nicht der Fall sein. Es ist deshalb nicht zu verantworten, die Daten von über 70 Millionen gesetzlich versicherten Patienten ab diesem Zeitpunkt zentral zu speichern. Etwas Besseres kann der Hacker-Branche gar nicht passieren‘, so Dr. Manfred Kinner, der innerhalb des Vorstands der KZVB für den Bereich Telematik zuständig ist… ‚Die TI ist im Moment so löchrig wie ein Schweizer Käse. Die Praxen brauchen mehr Zeit, um ihre IT an den Stand der Technik anzupassen. Hier muss der Grundsatz ‚Sicherheit vor Schnelligkeit‘ gelten. Die ePA hat im zahnärztlichen Bereich zudem kaum Vorteile und birgt viele Risiken in sich. Der ehrgeizige Bundesgesundheitsminister Jens Spahn sollte endlich einsehen, dass sein Prestigeprojekt technisch unausgereift ist und die Notbremse ziehen‘, so Kinner.“

Offener Brief von Psychotherapeut*innen an Berufsverbände, Kassenärztliche Vereinigungen und Kammern der Psychotherapeut*innen: „Wir fordern klare Worte und Taten für den Datenschutz!“

Eine überregionale und verbandsübergreifende Arbeitsgruppe von Psychotherapeut*innen hat sich in einem Offenen Brief an Berufsverbände von Psychotherapeut*innen, Kassenärztliche Vereinigungen und Kammern der Psychotherapeut*innen und von diesen „klare Worte und Taten für den Datenschutz“ gefordert.

Die Verfasser*innen erklären: Nach einer erschreckenden, nicht enden wollenden Pannenserie im Zusammenhang mit der sog. ‚Telematik-Infrastruktur des Gesundheitswesens‘ (TI) fordern wir alle Vertreter*innen der Psychotherapeut*innen in Kammern, KVen und Berufsverbänden sowie die Politik energisch auf, sich vehement für den Datenschutz in der TI und für Eindeutigkeit in der Gesetzgebung einzusetzen… Der aktuelle Entwurf des PDSG (das sogenannte Patienten-Datenschutz-Gesetz) der wie zuvor das DVG (das Digitale-Versorgung-Gesetz)  in Windeseile durch den Bundestag gebracht werden soll, wirft zusätzlich viele neue Fragen auf, bevor die bestehenden beantwortet sind. Auch uns geht es darum, die EDV-Rahmenbedingungen unserer Arbeit sinnvoll weiterzuentwickeln. Doch das benötigt unsere Expertise und keine gesetzgeberischen Temporekorde! … Wir wollen und müssen als Psychotherapeut*innen die gesetzliche Schweigepflicht respektieren, doch die neuen Gesetze zur vernetzten Digitalisierung im Gesundheitswesen machen uns dies fast unmöglich und stehen dazu im Konflikt.Von unseren Kammern, den Berufsverbänden und den KVen fordern wir, sich endlich entschieden gegen eine Politik aufzustellen, die die wertvollen Gesundheitsdaten der Bürger*innen gratis an zentrale Server liefern möchte, auf denen der Schutz vor den Begehrlichkeiten der TI-Lobbyisten und auch der staatlichen Kontrolle nicht mehr gewährleistet ist.“

Daran anschließend machen die Verfasser*innen des Offenen Briefs in 16 Punkten deutlich, welche Erwartungen sie in diesem Zusammenhang an ihre berufsständischen Vertreter*innen und Verbände haben.

Am Ende ihres Offenen Briefs stellen die Verfasser*innen fest: Digitalisierung muss dem Menschen dienen, nicht umgekehrt! Die eingesetzte Technik muss so sicher wie resilient gegen technische Störungen, Ausfälle und böswillige Angriffe sein. Bisher erfüllt die TI diese grundlegenden Anforderungen nicht. Fordern Sie das bitte gemeinsam mit uns ein!“

Die Arbeitsgruppe TI-Datenschutz (vertreten durch Hildegard Huschka, Christine Laufersweiler-Plass, Gabriele Späh und Günter Steigerwald) ruft die Psychotherapeut*innen in Deutschland dazu auf, den Offenen Brief zu unterstützen und zu unterzeichnen.

Sie erreichen die Arbeitsgruppe TI-Datenschutz per Mail unter ag.datenschutz [at] gmail.com.

Datenleck beim Deutschen Roten Kreuz (DRK) in Brandenburg – mehr als 30.000 Patient*innen betroffen

Daten zu mehr als hunderttausend Einsatzfahrten des DRK in Brandenburg sind offenbar jahrelang leicht zugänglich gewesen, darunter auch sensible Gesundheitsinformationen von Patienten.

In zwei Pressemitteilungen des DRK Landesverbands Brandenburg vom 04.02.2020 und vom 05.02.2020 wird das große Ausmaß dieses Datenlecks deutlich: Von der Sicherheitslücke betroffen waren die Webseiten des DRK-Kreisverbands Märkisch-Oder-Havel-Spree, des Kreisverbands Niederbarnim und des Kreisverbands Uckermark-West/Oberbarnim sowie ein vom DRK-Landesverband Brandenburg betriebenes Erste-Hilfe-Portal. Nach unserer derzeitigen Kenntnis war es Angreifern potenziell möglich, über die Webseite des Kreisverbands Märkisch-Oder-Havel-Spree 111.262 Einsatzdaten von Krankentransporten einzusehen. Über das Erste-Hilfe-Portal des Landesverbands waren zudem personenbezogene Daten von Kursteilnehmern einsehbar. Entgegen vorheriger Annahmen war es zudem unter Umständen möglich, weiterführende Daten aus der Datenbank des DRK-Kreisverbands Märkisch-Oder-Havel-Spree einzusehen, die auch Informationen zu Zielorten des Krankentransports sowie mittelbar zu eventuellen Infektionen und Behandlungen (etwa Dialyse oder Chemotherapie) der beförderten Personen enthielten.“ Datenleck beim Deutschen Roten Kreuz (DRK) in Brandenburg – mehr als 30.000 Patient*innen betroffen weiterlesen

Anfrage im Bundestag nach „Schwachstellen… der Telematikinfrastruktur im Gesundheitswesen“

Beim 36. CCC-Kongress im Dezember 2019 wurden Schwachstellen und Sicherheitslücken beim Ausgabeprozess für verschiedene in der Telematikinfrastruktur (TI) genutzte Komponenten und Smartcards demonstriert. Es wurde deutlich, dass es für Unbefugte problemlos möglich war, einzelne Smartcards und Komponenten der TI durch die jeweiligen beteiligten Serviceprovider zu beziehen. Es gelang den CCC-Mitgliedern, sich u. a. unautorisiert einen elektronischen Heilberufeausweis und einen Praxis-Ausweis (SMC-B) zu bestellen. Auch ein Konnektor wurde den CCC-Mitgliedern unautorisiert ausgehändigt. Zusätzlich waren bei einem beauftragten Serviceprovider die Kartenanträge von 168 Ärztinnen und Ärzten zeitweise online zugänglich.Außerdem war es den Mitgliedern des CCC gelungen, unautorisiert eine elektronische Gesundheitskarte der AOK Hessen zu bestellen.

Bereits 2015 deckten Recherchen des ZDF Schwachstellen bei der Ausgabe der elektronischen Gesundheitskarte auf, nachlesbar in der Deutschen Apothekerzeitung vom 25.06.2015.

Vor diesem Hintergrund hat die Fraktion BÜNDNIS 90/DIE GRÜNEN am 30.01.2020 eine kleine Anfrage (Bundestags-Drucksache 19/16949) mit insgesamt 21 Fragen an die Bundesregierung gestellt. Die erste und die letzte dieser Fragen lauten: Anfrage im Bundestag nach „Schwachstellen… der Telematikinfrastruktur im Gesundheitswesen“ weiterlesen

Weiteres Bündnis für Patientendatenschutz im Gesundheitswesen gebildet

Am 25.01.2020 trafen sich in Kassel Vertreter*innen von mehr als 20 Verbänden und Initiativen, die sich – tw. schon seit einigen Jahren – mit den Risiken und Nebenwirkungen der elektronischen Gesundheitskarte, der Telematik-Infrastruktur (TI )  und der elektronischen Patientenakte auseinandersetzen.

In einer Pressemitteilung des Bündnisses werden folgende Ziele benannt:

  • Schutz der Patientenrechte bezüglich Privatsphäre und Datenschutz in Einklang mit der EU-Menschenrechtskonvention,
  • Verteidigung des Grundrechts auf informationelle Selbstbestimmung,
  • Erhalt der Freiwilligkeit statt Zwang,
  • Verteidigung des jahrhundertealten ethischen Prinzips des Berufsgeheimnisses.“

Weiteres Bündnis für Patientendatenschutz im Gesundheitswesen gebildet weiterlesen

18.000 Patienten-Datensätze aus Berliner Klinik gestohlen

Aus dem Auguste-Viktoria-Klinikum in Berlin-Schöneberg „ist bei einem Einbruch am 19./20. November 2019 aus einem verschlossenen Dienstraum der Klinik für Urologie… eine externe Festplatte gestohlen worden.“ Diese sei nach Mitteilung des Vivantes-Krankenhaus-Konzerns vom am 27.01.2020 mit einem Passwort gegen unberechtigten Zugriff geschützt…“ Auf der gestohlenen Festplatte befanden sich „Sicherungskopien… die rund 18.000 Datensätze von Patientinnen und Patienten betreffen… Bei den Daten handelt es sich meist um Identitätsdaten (Name, Adresse, Geburtsdatum), zum Teil auch um Informationen zu Diagnose und/oder Krankheitsbild.“

Ob das Passwort „123456“ lautete oder doch etwas schwieriger zu knacken ist, teilte Vivantes nicht mit.

Ein weiteres Beispiel dafür, dass große Datenkonglomerate unterschiedlichsten Bedrohungen (hier: Diebstahl durch externe und/oder Binnen-Täter*innen) ausgesetzt sind.