Cyber-News

Cyber news Kategorien

Datenschutzblog Oktober 2023

Zwei gängige Begriffe, auf die Sie immer wieder im Gesundheitswesen im Zusammenhang mit dem Datenschutz stoßen werden, sind Gesundheits– sowie medizinische Daten.

Im folgenden Artikel werden wir Sie etwas näher an die Begrifflichkeiten und die damit zusammenhängenden Problematiken heranführen.

Medizinische Daten / stock.adobe.com © ipopba #499513288

Medizinische Daten unterliegen im Gesundheitswesen grundsätzlich dem Datenschutz. Gesundheitsdaten werden nicht nur als personenbezogene Daten, sondern gem. Art. 9 Abs. 1 DSGVO sogar als besondere Daten eingestuft.
Zu den besonderen Daten gehören Angaben über die Rasse, Ethnie, politische Ansicht, religiöse oder philosophische Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.
Neben der Verarbeitung von Gesundheitsdaten betrifft dies auch die “Verarbeitung von genetischen und biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person”.

Grundsätzlich ist die Erfassung von Daten aus dieser Kategorie untersagt.
Gem. Art.2 DSGVO gibt es allerdings zahlreiche Fälle, die eine Verarbeitung der Daten unter bestimmten Voraussetzungen erlauben.
Die Ausnahmefälle sowie die aufgeführten Voraussetzungen sind sehr streng vorgegeben.

Für die Datenerhebung muss daher eine ausdrückliche Einwilligung der betroffenen Person oder eine gesetzliche Erlaubnis eingeholt werden.

(https://www.dr-datenschutz.de/besondere-kategorien-personenbezogener-daten-nach-der-dsgvo/, 2017)

Praxissoftware „inSuite“ weist Sicherheitslücke auf 

Die Digitalisierung ist nicht mehr hinwegzudenken, insbesondere in Arztpraxen.

Patientendaten / stock.adobe.com © Robert Kneschke #403394167

Ein Ort, an dem eine Vielzahl von sensiblen Daten von Patienten gesammelt und ausgewertet werden. 

Ärzte können somit ortsunabhängig auf die entsprechende Patientenakte zugreifen und die Behandlungsdokumentation bearbeiten.

Dieser Vorteil kam vielen Ärzten gerade in der anhaltenden COVID-19 Pandemie zugute. Trotz all der Annehmlichkeiten, die die Digitalisierung im Alltag mit sich bringt, bringt sie auch neue Gefahren mit sich.

So versuchen Hacker, IT-Systeme regelmäßig anzugreifen, um unrechtmäßig den Zugriff auf Patientendaten zu erhalten.

Dagegen können sich Praxen und Kliniken zwar durch hohe Sicherheitsvorkehrungen mittels entsprechender Software schützen, allerdings gelingt es Angreifern, auch Sicherheitslücken zu missbrauchen. Das jüngste Beispiel der Praxissoftware „In Suite“ zeigt, welche Auswirkungen Sicherheitslücken in einer Software verursachen können. 

Im vorliegenden Fall haben IT-Experten des Hacker-Kollektivs  „zerforschung“ bei der Praxissoftware „In Suite“ des Softwareherstellers „Doc Cirrus“ mehrere Sicherheitslücken aufgedeckt. 

So konnten sich die Hacker ohne nennenswerten Aufwand sich Zugang zu den E-Mail-Konten von Arztpraxen, die bei „In Suite“ hinterlegt worden waren, verschaffen. 

Dieser Zugang ermöglichte es den Hackern im Anschluss weiter auf den E-Mail-Verkehr sowie die entsprechenden Kommunikationsinhalte aus den Mails zuzugreifen. 

Aufgrund der Tatsache, dass hier die Gesprächsinhalte zwischen Arzt und Patient betroffen sind, ist dieser Umstand als besonders problematisch zu bewerten.

Dementsprechend gelang es den Hackern, auf besonders sensible personenbezogene Daten zuzugreifen. 

Hier waren zum Beispiel Laborbefunde, Diagnosen sowie Atteste einsehbar. 

Laut dem Berliner Datenschutzbeauftragten Volker Brozio sind von diesem Vorfall ca. 60.000 Patienten betroffen, von mehr als 270 Arztpraxen. 

Die Datenschutzpanne wird von dem Datenschutzbeauftragten als erhebliche Sicherheitslücke eingestuft. 

Softwarehersteller haben grundsätzlich keine Pflicht, Ihre Softwareprodukte auf Datensicherheit überprüfen zu lassen. 

Laut dem Bundesdatenschutzbeauftragten haben die Softwarehersteller auch keine Verpflichtung, Ihre vertriebenen Produkte datenschutzkonform auszugestalten

Letztlich sei der Verwender hier also die Arztpraxen dafür verantwortlich, dass datenschutzrechtliche Vorgaben bei der Verarbeitung durch eine entsprechende Software eingehalten werden. 

Somit können Praxisinhaber in Haftung genommen werden, sofern die verwendete Praxissoftware Sicherheitslücken aufweist, die Sie von einem Dritten bezogen haben.

Anwender von Software, die besonders sensible personenbezogene Daten verarbeiten, insbesondere Praxisinhaber, sollten sich daher regelmäßig absichern über entsprechende Vorkehrungen. 

Verschwiegenheitspflicht und die Zusammenarbeit mit Dienstleistern

Eine weitere datenschutzrechtliche Herausforderung besteht in der Zusammenarbeit mit externen Dienstleistern.
Neben medizinischen Dienstleistungen sind es zunehmend auch die digitalen Dienstleistungen wie z.B. die Speicherung von sensiblen Gesundheitsdaten auf Servern von Drittanbietern.

Vertrauliche Daten / stock.adobe.com © nmann77 #104215673

Der Datenschutzbeauftragte muss daher über die Identität der betroffenen Personen und die Umstände, die Rückschlüsse auf die betroffenen Personen zulassen, eine Verschwiegenheitspflicht einhalten.
Diese Geheimhaltungspflichten und –rechte haben den Zweck, die betroffenen Personen zu schützen.
Daher sollten Sie sich ohne Angst vor negativen Konsequenzen an den Datenschutzbeauftragten wenden können.
Um den Zugang zum Datenschutzbeauftragten zu ermöglichen, müssen Unternehmen die Kontaktdaten des Datenschutzbeauftragten zur Verfügung stellen.

 (https://efarbeitsrecht.net/dsgvo-der-datenschutzbeauftragte-und-seine-stellung-im-unternehmen/#:~:text=Der%20Datenschutzbeauftragte%20ist%20zur%20Verschwiegenheit, 2018)

Meldepflichten und Auskunft geben

Für bestimmte Krankheitsbilder gibt es Meldepflichten, denen das Gesundheitspersonal anonymisiert und pseudonymisiert nachkommen muss.
Aber was ist mit der Auskunft der Daten, die den Behörden oder den Angehörigen der betroffenen Person übermittelt werden?

Meldepflicht / stock.adobe.com © MQ-Illustrations #322583908

Diese Adressaten müssen hier zwingend unterschieden werden, und die Berechtigung der Weitergabe muss im Einzelnen geprüft werden, denn die Beschränkungen sind in der Regel individuell.
Aufgrund der Tatsache, dass die Auskunftserteilung an Angehörige NICHT erlaubt ist, kommt es regelmäßig zu Konflikten zwischen Unternehmen und Auskunftssteller.
Nur mit Zustimmung des Patienten darf er seinen Angehörigen Auskunft erteilen.

(https://www.datenschutzexperte.de/blog/datenschutz-im-alltag/datenschutz-im-gesundheitswesen/, 2022)

Fazit

  • Die Sicherheit sowie die Zuverlässigkeit von Authentifizierungen von Beschäftigten, die aus dem Homeoffice auf Dokumente bzw. auf sensible personenbezogene Daten zugreifen. 
  • Zugriffsberechtigte Geräte sollten durch vertrauenswürdige Administratoren verwaltet werden
  • Datenschutz- und Informationssicherheitsaspekte sollten auch in Bezug auf die verwendete Software betrachtet werden
  • Schließlich sollten sich Verantwortliche unverzüglich um die Behebung von entdeckten Schwachstellen mit den Herstellern kümmern 

von Niroshann A. George und Emre Akduman

Wir freuen uns auf Ihre Fragen und Anforderungen!

Cyber-Security-Coaching, Audits, Schulungen und Veranstaltungen:
Das erste Beratungsgespräch bieten wir Ihnen kostenlos an!