Gesundheitswesen Der IT-Betrieb als Quelle für Datenschutz-Pannen

In Europa gilt die DSGVO nun seit mehreren Jahren. Personen-, wie insbesondere Sozial- und Patienten-Daten, unterliegen besonders hohen Schutzanforderungen, eine Verletzung ist gravierend in Bezug auf DSGVO-Bußen und -Haftung. Im IT-Alltag gibt es allerdings ein ganz besonderes IT-betriebliches Praxis-Thema, das gerne unbeachtet bleibt, aber ein Handeln der IT-Verantwortlichen dringlich macht: IT-Diagnose-Daten. Der teils laxe Umgang mit diesen hochsensiblen Daten ist unbemerkt ein hohes Datenschutz- und Sicherheitsrisiko.

Eigentlich ist der Datenschutz im Gesundheitswesen hochpriorisiert. Umso erstaunlicher ist es, dass es in manchen Bereichen an Aufmerksamkeit für die hochsensiblen Patienten- und Krankheitsdaten mangelt. Und dies ausgerechnet in den IT-Abteilungen selbst. So kann man in den regelmäßig anfallenden IT-Diagnose-Daten der Computer und Medizingeräte Massen an personenbezogenen Gesundheitsdaten finden. Das Risiko: Sie werden zur Fehleranalyse an die Software-Hersteller geschickt und von diesen verarbeitet.

Gesundheitsdaten gelten gemäß DSGVO Art. 9 als „besondere Kategorie personenbezogener Daten“. Daraus ergeben sich Anforderungen an Schutz und Haftung, auch im Hinblick auf mögliche Obliegenheitsverletzungen oder Gefährdungserhöhungen im Kontext von Cyber- und D&O-Versicherungen. Dieses Problem ist zum Glück jetzt lösbar: Innovative Anonymisierungs-Methoden und -Werkzeuge für IT-Diagnose-Dateien helfen, das Upload-Risiko zu minimieren und die sensiblen Gesundheitsdaten zu schützen. Die IT-Verantwortlichen, Datenschutzbeauftragten, IT-Auditoren und IT-Revisoren medizinischer Einrichtungen können also bald aufatmen.

Was sind IT-Diagnose-Daten?

Bildlich gesprochen handelt es sich um Diagnose-Daten über den „Patienten Computer“. Wenn Server, Clients oder Applikationen fehlerbedingt abstürzen, halten sie alle Speicherinhalte dieses Vorgangs in sog. Dumps fest. Logs hingegen, also Protokolldaten, werden fortlaufend erzeugt. Der Netzwerkverkehr wird bei Bedarf durch Traces mitgeschnitten. Auch alle computergestützten Medizingeräte, wie CT, MRT, digitale Röntgengeräte etc. erzeugen im Problemfall IT-Diagnose-Daten. Diese entstehen regelmäßig im medizinischen Umfeld auf lokalen Servern des internen IT-Betriebs, auf Systemen der IT-Dienstleister und Cloud-Anbieter, aber auch auf den Medical Devices. Es passiert in Arztpraxen, Laboren, Apotheken und Krankenhäuser gleichermaßen. Der Unterschied liegt ausschließlich im aufkommenden Datenvolumen.

Welches Risikopotential entsteht durch IT-Diagnose-Daten? IT-Diagnose-Dateien erwecken den Eindruck rein technischer Daten. Nicht offensichtlich und oft komplett unbekannt ist aber, dass sie sehr hohe Volumen personenbezogener und sicherheitskritischer Daten enthalten. Im Fall von Dumps sind dies z.B. Daten, die im Moment des Absturzes zufälligerweise im Giga-Byte großen Speicher waren und miterfasst wurden. Bei IT-Systemen medizinischer Einrichtungen handelt es sich vorwiegend um die besonders schützenswerten Gesundheitsdaten.

Was passiert genau? Die IT-Diagnose-Daten werden vom IT-Betrieb zwecks Analyse zu den Support- und Entwicklungszentren der Hersteller per Upload transferiert, mit ihren tausenden von internen und externen Mitarbeitern weltweit. Die sensiblen Daten sind leider auch Teil der Fracht. Zielländer sind Europa, USA, Indien, China und der Rest der Welt. Diese Dumps, Logs und Traces werden für die Datenübertragung zwar verschlüsselt, jedoch in den Software-Laboren wieder entschlüsselt, gespeichert und verarbeitet. Folglich haben die vielen internen und externen Supporter, Spezialisten und Entwickler der Hersteller Zugang zu den hochgeladenen IT-Diagnose-Daten, inklusive der sensiblen Gesundheitsdaten. Diese stehen jedoch unter strengem Daten- und Sicherheitsschutz. Nach Art. 9 DSGVO gelten Gesundheitsdaten aufgrund ihres sensiblen Inhalts als besonders schützenswert und unterliegen zusätzlich dem Arztgeheimnis. Umso schlimmer, dass sie für die IT-Spezialisten der Hersteller offen einsehbar sind und man nicht weiß, ob und von wem sie für welche Zwecke ausgewertet werden.

Outsourcing, IT-Dienstleistung und Cloud-Nutzung verlagern das Problem nur und führen zur Einbindung weiterer Parteien und insgesamt komplexeren Verantwortlichkeiten. Denn die IT-Diagnose-Daten entstehen hier auf externen Systemen, deren Betrieb und Problem-Management nicht mehr intern kontrolliert werden. Es sind die Administratoren der Dienstleister, die mit dem Upload der IT-Diagnose-Dateien sozusagen über die persönlichen Daten der Patienten entscheiden.

Im Übrigen, auch der Remote-Zugriff, also die umgekehrte Zugriffsrichtung, unterliegt dem strengen Datenschutz. Ein generell freier Zugriff der Hersteller auf die eigenen IT-Systeme oder Medizingeräte sollte regulatorisch und technisch via Konfiguration unterbunden werden.

Eine rechtlich und sicherheitstechnisch wirksame Lösung bietet die Anonymisierung sämtlicher IT-Diagnose-Daten vor dem Upload. Sie befreit die Dokumente von datenschutz- und sicherheitssensiblen Inhalten, bei vollem Erhalt der technischen Aussagekraft. Erst danach werden die Dateien zum Support des Software-Herstellers hochgeladen – risikokonform und revisionsgerecht. Durch die Begleitdokumente wird der Gesamtprozess transparent und nachweisbar. Die Anonymisierung sollte lokal und automatisiert erfolgen.

Auf der nächsten Seite: Die Folgen für die IT-Verantwortlichen

(ID:49693502)