Diskriminierung melden
Suchen:

Wo ist der Datenschutz beim Patientendatenschutzgesetz ?????

Foto: H.S.

23.09.2020 - von Stefan Streit

Aus gegebenem Anlass - der Verabschiedung des Patientendatenschutzgesetzes (PDSG) im Bundesrat - hat Dr. Streit eine Zusammenfassung einiger offenen Fragen bezüglich der Telematikinfrastruktur nebst belastbarer Quellen zusammengestellt. Lesen und staunen! Ein weiteres Stück aus dem Tollhaus der Spahnschen IT-Digitalisierungs-Offensive! Von Rechtssicherheit keine Spur!

- Bis Anfang des Jahres 2020 gab es Sicherheitslücken im Bestellprozess von allen drei Identitäts-Karten (eGK, HBA und SMC-B) sowie beim Konnektor. Ein Team des CCC schaffte es, alle Komponenten des Hochsicherheitsnetzwerks auf die Theke des Käseladens in der Nachbarschaft liefern zu lassen. Dadurch besteht grundsätzlich der Zweifel an einer bundesweiten, einwandfreien Zuordnung digitaler Identitäten der Telematiknutzer im Raum. Die vorher ausgegebenen etwa 120.000 digitalen Identitäten wurden nicht überprüft. Quelle: Link

- Die technische Zertifizierungsstufe des Telematikkonnektors liegt bei
3+, die von einem üblichen Haus-Stromzähler bei 4+, die des digitalen Reisepasses bei 6+. Quelle: c´t Heft 18, 2019, Seite 167-169

- Der Secure Internet Service galt lange als relevante Säule der Sicherheitsarchitektur. Das Bundesamt für Sicherheit in der Informationstechnik, die Landesdatenschutzbeauftragte des Landes NRW und das Ministerium für Arbeit, Gesundheit und Soziales wissen, dass das SIS im Alltag gar nicht verwendet wird. Diese Sicherheitsfunktion gilt laut BSI als optional. Quelle: Duria letter 2/19 Seite 31, Link & Schreiben von BSI vom 1.7.2020

- Die vom T-Systems-Konnektor benutzten Open-Source-Programmanteile enthalten schon lange bekannte Sicherheitslücken. Der CGM Konnektor basiert ebenfalls auf Open-Source-Software. Während T-Systems GNU General Public License regelkonform die verwendeten Softwarekomponente veröffentlicht, tut dies CGM nicht. Hier können also die Sicherheitslücken noch nicht einmal abgeschätzt werden. „Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weiß das: „… muss nach dem Stand der Technik davon ausgegangen werden, dass Leistungserbringer eine Kompromittierung eines ihrer IT-Systeme im LAN nicht sicher verhindern bzw. nicht in jedem Fall frühzeitig erkennen können.“ (Konnektor-Schutzprofil BSI-CC-PP-0047-2015-MA-01, Abschnitt 7.6.2). Trotzdem setzt dasselbe Schutzprofil ein unkompromittiertes Praxis-LAN für die Sicherheit der TI voraus. Hier liegt ein offenkundiger Widerspruch und ein fundamentaler Design-Fehler in der Sicherheitsarchitektur: Eine einzige kompromittierte Praxis stellt die Sicherheit vieler ePAs in Frage. Das angeblich „geschlossene medizinische Netz“, welches ein „Höchstmaß an Schutz“ bieten soll, ist dann eben nicht mehr geschlossen.

- NEU: Wird ein Konnektor oder ein anderer Teil der TI kompromittiert, lassen sich womöglich nicht nur Gesundheitsdaten abgreifen und manipulieren. Angreifer könnten über in der ePA abgelegte Dokumente (darunter PDFs) auch Viren und Trojaner einspielen. Es bestünde dann Gefahr, dass sich Emotet-Angriffe, wie sie jüngst Kliniken in Fürth und Hannover lahmlegten, über die TI auf andere Praxen und Krankenhäuser ausbreiten – und das auf höchstem Sicherheitsniveau.“ Quelle: Link

- Das Sicherheitsverfahren DNSSEC welches die Identität des Konnektors gegenüber der Telematikinfrastruktur absichert, wird von der gematik als optional bezeichnet.
Quelle: Link Trotzdem ist es am 27.5.2020 bei einem geplanten Wechsel dieses Vertrauensankers zu einem Ausfall der Telematikinfrastruktur in ca. 80.000 Praxen gekommen. Quelle: TI-Störung gematik bittet Ärzte um Mithilfe. Ärztezeitung-Online 29.5.2020

- NEU: Der Ausfall der Telematikinfrastruktur dauerte über 3 Monate vom 27.5.bis zum 1.9.2020. Quelle: Link

- NEU: Die Klärung, wer für die Reparaturkosten aufzukommen hat, bleibt bis zuletzt ungeklärt. Quelle: Link

- NEU: Es dauert vom 27.5.2020 bis zum 1.9.2020 bis die gematik in einer Stellungnahme einräumt, die Kosten für die Reparatur der Telematikinfrastruktur zu übernehmen: Quelle: Link Quelle: Link

- NEU: Die 2 Milliarden Euro teure Datenautobahn Telematikinfrastruktur hat seit über 3 Jahren bis heute keine Datenschutzfolgeabschätzung, während jedes Verlängerungskabel für 2 Euro ein CE Zeichen braucht. Quelle: Link

- NEU: Die Krankenkassen sind vom Gesundheitsminister zum 1.1.2021 gesetzlich verpflichtet worden, eine elektronische Patientenakte anzubieten. Aktuell steht kein DSGVO konformes Zugriffsmanagement zur Verfügung. Sollten die unsicheren elektronischen Patientenakten trotzdem angeboten werden, hat der Bundesdatenschutzbeauftragte angekündigt, er würde die Akte nicht verbieten, aber die Krankenkassen zu einer Warnung vor den Gefahren für die Nutzer verpflichten. Vor der Benutzung der elektronischen Patientenakte, in ihrer jetzigen Form, steht dann, wie beim Zigarettenrauchen, eine angeordnete Gefahrenwarnung. Quelle: Link Wie Tabakzigaretten dürfen die unsicheren elektronischen Patientenakten beworben und genutzt werden, obwohl dies mit einem erheblichen Gesundheitsrisiko einhergeht. Durch ein ungewolltes Öffentlich werden von Gesundheitsdaten kann es zu einer Informationellen Erkrankung kommen. Quelle: Link

- NEU: Der renovierte Kryptologe Dominique Schröder nimmt als Einzelsachverständiger zum Entwurf des PDSG - ausdrücklich zur Verarbeitung von Gesundheitsdaten in der Telematikinfrastruktur Stellung: Er sieht „erhebliche Mängel im Bereich des Schutzes der Privatsphäre und der Selbstbestimmung von Patienten“. Er fordert von Anfang an ein „feingranulares Zugriffskonzept für die medizinischen Daten“ der elektronischen Patientenakte. Krankenkassen dürften nicht direkt auf „die Rohdaten“ zugreifen und auf Patientendaten nur „unter strengsten Auflagen“. Für die Nutzung medizinischer Daten im Forschungsdatenzentrum fordert er jedes mal neu, eine „explizite Freigabe (pro Zugriff) der Patienten“ und ein „formales Sicherheitskonzept zum Schutz der medizinischen Daten durch ein unabhängiges Gremium“ welches „jährlich aktualisiert“ wird. Quelle: Link Quelle: Link

- NEU: Des Bundesgesundheitsministerium hat durch seine Gesetzgebungsverfahren in §307 SGBV darauf hingewirkt, dass nicht die gematik als Betreiber, sondern die Ärzte und die IT-Dienstleister eine Datenschutzfolgeabschätzung vornehmen müssen und folglich auch die volle Verantwortung und Haftung für die Telematikinfrastruktur übernehmen müssen. Quelle: Link

- NEU: Nicht nur die Haftung, sondern auch die Finanzierung der Sicherheit der Telematikinfrastruktur bleibt an den Ärzten hängen. Quelle: Link Anders als bei den Krankenhäusern wird der weitere Ausbau der Telematikinfrastruktur nicht gefördert, sondern den Ärzten in selbstständiger Praxis auferlegt. Quelle: Link

- NEU: 14.7.2020: Die Kassenärztlichen Vereinigungen der Länder fordern die Kassenärztliche Bundesvereinigung auf, auf rechtssichere und technisch zeitgemäße Strukturen in der digitalen Kommunikation von Gesundheitsdaten hinzuwirken.
Quelle: Link

- NEU: 24.7.2020 Die Kassenärztliche Bundesvereinigung schreibt in der Folge an den Bundesgesundheitsminister Jens Spahn. Quelle: Link

- NEU: 18.9.2020 Patientendatenschutzgesetz (PDSG), welches die Telematikinfrastruktur betrifft, ist vom Bundesrat auf der grünen Liste der unstrittigen Vorlagen, also ohne weitere Diskussion durchgewunken worden. Quelle: Link Patient Data Protection Act (PDSG)

Quelle: Stefan Streit