Elektronische Patientenakte: CCC fordert besseren Schutz von Patientendaten

Die Zugangssysteme zur elektronischen Patientenakte sind nach Ansicht des CCC unsicher. Das könnte nun gesetzlich festgeschrieben werden.

Artikel veröffentlicht am ,
Der Streit um die elektronische Patientenakte erreicht den Bundestag.
Der Streit um die elektronische Patientenakte erreicht den Bundestag. (Bild: gematik/Screenshot: Golem.de)

Der Chaos Computer Club (CCC) warnt vor Sicherheitsproblemen bei der geplanten elektronischen Patientenakte. Obwohl mehrere Experten auf dem CCC-Kongress im vergangenen Dezember auf schlecht geschützte Zugänge zum Telematik-Netzwerk des Gesundheitswesens hingewiesen hätten, sehe der Entwurf der Bundesregierung zum Patientendaten-Schutzgesetz (PDF) keine höheren Anforderungen vor, kritisierte der Hackerclub anlässlich einer Anhörung im Bundestag.

Stellenmarkt
  1. IT-Systemspezialist (m/w/d)
    BARMER, Wuppertal
  2. Head of IT/IT-Leiter (m/w/d)
    Sanner GmbH, Bensheim
Detailsuche

"Die Schwachstellen wurden zunächst theoretisch angemahnt. Dann haben wir sie praktisch demonstriert. Eine Behebung wurde medienwirksam angekündigt. Und doch werden sie weiter ignoriert. Dieser Umgang ist einfach fahrlässig", sagte Martin Tschirsich vom CCC. Weil die Identitäten von Ärzten oder Patienten bei der Beantragung von Zugangskarten bislang nicht ausreichend überprüft werden, konnten sich Sicherheitsforscher des CCC über die Identitäten Dritter Zugang zum sogenannten Telematik-Netzwerk des Gesundheitswesens verschaffen.

Sicherheitsniveau wird gesenkt

Hintergrund ist die für Anfang 2021 geplante Einführung der elektronischen Patientenakte. Diese soll sämtliche elektronischen Daten eines Patienten lebenslang online speichern und damit den Austausch dieser Daten zwischen Ärzten, Krankenhäusern und anderen Gesundheitseinrichtungen und -diensten erleichtern. Dabei soll der Patient die alleinige Kontrolle über die Daten besitzen und entscheiden, wer darauf zugreifen darf.

Als problematisch sieht der CCC jedoch weiterhin an, dass ein bislang vom Bundesamt für Sicherheit in der Informationstechnik (BSI) gefordertes hohes Sicherheitsniveau abgeschwächt werden soll. So entfalle die Verpflichtung zur sicheren Identifikation des Versicherten bei der Herausgabe der elektronischen Gesundheitskarte (eGK). Ebenfalls werde die Ausgabe der Authentisierungsmittel nicht mehr auf hohem Vertrauensniveau vorgeschrieben, heißt es in der zehnseitigen Stellungnahme (PDF).

Höhere Bußgelder für Krankenkassen

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

In der Anhörung des Gesundheitsausschusses bekräftigte Tschirsich die Kritik. Bevor über technische Lösungen diskutiert werde, müssten zunächst die organisatorischen Probleme bei der Herausgabe der Zugangsmittel gelöst werden. So sei die Zustellung von eGK und Authentisierungsmitteln per Post in Haushaltsbriefkästen nicht zuverlässig genug. Dies sollte nicht in Paragraf 336 des Fünften Sozialgesetzbuches (SGB V) geregelt werden, sondern Teil eines Sicherheitskonzeptes sein, das regelmäßig den aktuellen Sicherheitsanforderungen angepasst werde.

Darüber hinaus fordert der CCC in seiner Stellungnahme, die Krankenkassen nicht von hohen Bußgeldern bei Datenschutzverstößen auszunehmen. Damit schließt sich der Hackerclub einem Vorschlag des Bundesdatenschutzbeauftragten an. "Die im Gesetzentwurf vorgesehenen und im Verhältnis zum Ausgabevolumen der gesetzlichen Krankenkassen von mehr als 25 Milliarden Euro völlig unzureichenden Bußgeldvorschriften setzen keinen dringend notwendigen Anreiz zur Schließung dieser datenschutzrechtlichen Lücken", heißt es zur Begründung. Denn die Krankenkassen kämen ihren datenschutzrechtlichen Verpflichtungen als Herausgeber der eGK regelmäßig nicht nach.

Strittig bei der Digitalisierung des Gesundheitswesens ist weiterhin der Zugriff von Krankenkassen auf die Daten der Versicherten. In diesem Zusammenhang warnt der CCC vor einer Öffnungsklausel in Paragraf 284 SGB V, die Krankenkassen die Erhebung und Speicherung von Sozialdaten für "die administrative Zurverfügungstellung der elektronischen Patientenakte sowie für das Angebot zusätzlicher Anwendungen" erlaubt. Damit könnten die Kassen "leicht über entsprechende Einwilligungen der Versicherten an solche Informationen gelangen, die zurecht der ärztlichen Schweigepflicht unterliegen", heißt es. Dies sei "als großes Risiko aus Sicht der Versicherten einzustufen".

Problematisch aus Sicht von Thilo Weichert vom Netzwerk Datenschutzexpertise ist zudem die Weitergabe von Patientendaten für Zwecke der Forschung und Qualitätssicherung. Denn beim sogenannten Forschungsdatenzentrum entscheide ein einzelner Sachbearbeiter, ob die pseudonymisierten Daten herausgegeben würden. Dann sei aber nicht mehr kontrollierbar, wie diese Daten verwendet würden. Die Datenschutzbehörden könnten nur auf Beschwerden hin tätig werden. "Beschwerden wird es aber keine geben, weil die Betroffenen keine Ahnung haben, was mit ihren Daten passiert", sagte Weichert. Dieses Problem sei aber schon im Digitale-Versorgung-Gesetz (DVG) angelegt, das Ende 2019 vom Bundestag beschlossen wurde.

Die Stellungnahmen sämtlicher Sachverständigen finden sich hier.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Clubhouse  
3,8 Milliarden Telefonnummern werden im Darknet verkauft

Die Telefonnummern und Kontakte aller Clubhouse-Konten werden wohl im Darknet angeboten. Nummern werden nach ihrer Wichtigkeit eingestuft.

Clubhouse: 3,8 Milliarden Telefonnummern werden im Darknet verkauft
Artikel
  1. iPhone 12: Youtuber findet Akkukapazität von Apples Magsafe-Pack heraus
    iPhone 12
    Youtuber findet Akkukapazität von Apples Magsafe-Pack heraus

    Ein Youtuber nimmt das Apple Magsafe-Akkupack auseinander. Im Video gibt er einen Einblick in die Technik und die Akkuladung des Produktes.

  2. Teilautonomes Fahren: Magna übernimmt Fahrerassistenz-Spezialisten Veoneer
    Teilautonomes Fahren
    Magna übernimmt Fahrerassistenz-Spezialisten Veoneer

    Für insgesamt 3,8 Milliarden US-Dollar will Magna International sein Geschäftsfeld autonome Fahrfunktionen ausbauen und übernimmt Veoneer.

  3. Elon Musk: Tesla Model S bekommt ausschließlich Knight-Rider-Lenkrad
    Elon Musk
    Tesla Model S bekommt ausschließlich Knight-Rider-Lenkrad

    Elon Musk hat klargestellt, dass es für das Model S und das Model X kein normales Lenkrad mehr geben wird. Das D-förmige Lenkrad ist Pflicht.

trecar 29. Mai 2020

Wenn man sich schon auf den §336 SGB V bezieht, sollte man den vielleicht auch mal...



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • 30% auf Amazon Warehouse • LG 55NANO867NA 573,10€ • Fractal Design Meshify C Mini 69,90€ • Amazon: PC-Spiele von EA im Angebot (u. a. FIFA 21 19,99€) • Viewsonic VG2719-2K (WQHD, 99% sRGB) 217,99€ • Alternate (u. a. Fractal Design Define S2 106,89€) • Roccat Horde Aimo 49€ [Werbung]
    •  /