Was bedeutet dies für IT- und Datenschutzverantwortliche, für Revisoren und Auditoren in medizinischen Einrichtungen wie Krankenhäusern, Arztpraxen, Apotheken und Laboren?

• 1. Der Upload nicht-anonymisierter IT-Diagnose-Daten ist durch die darin erfassten personenbezogenen Gesundheitsdaten ein ernstzunehmender DSGVO-Verstoß. Dieses Datenschutzproblem wird durch die Verschlüsselung der Daten nicht behoben. Denn die Daten werden vom Support der Software- und Geräte-Hersteller entschlüsselt, gespeichert und verarbeitet. Diese Übertragung, Speicherung und Verarbeitung der personenbezogenen Daten, erfolgt ohne „Zweck“ und „Notwendigkeit“. Denn diese sensiblen Daten, zum Beispiel von Patienten, werden für die eigentliche Zielsetzung des Uploads definitiv nicht benötigt. Dieser besteht ausschließlich in der Lösung des jeweiligen software-technischen Problems. Es verletzt den Datenschutz, wenn zu schützende, sensible Daten zweckfremd und trotzdem bewusst an Dritte weitergeleitet werden. Hieraus ergeben sich für die Verantwortlichen zweierlei Risiken: mögliche DSGVO-Bußen und Schadensersatzforderungen. Letztere wurden jüngst mit dem EuGH-Urteil vom 4.5.2023 nochmals präzisiert. Juristische Akteure könnten dies u.a. mit der gefürchteten Beweislastumkehr strategisch verbinden, denn der Upload von IT-Diagnose-Daten ist ein bewusst vollzogener Schritt der täglichen Arbeitsroutine. Für einen durchschnittlich großen IT-Betrieb sind bis zu 150 Support- Tickets pro Jahr mit hochgeladenen IT-Diagnose-Daten durchaus eine gängige Praxis.

• 2. IT-Diagnose-Daten sind außerdem ein gefährliches IT-Sicherheits-Risiko! Denn sicherheitskritische Informationen über die eigenen IT-Systeme verlassen mit dem Upload nicht anonymisierter IT-Diagnose-Dateien das Haus (z.B. Keys, Passwörter, etc.). Diese können aus den Dateien gezielt extrahiert und z.B. für einen geplanten Angriff genutzt werden, etwa für eine Ransomware-Attacke. Dumps und Logs gehören zu den Top 25 Sicherheitsrisiken gemäß CWE von MITRE. Z.B. klassifiziert CWE-528 bereits „herumliegende Dump-Dateien“ als Risiko, das sich realisiert, wenn Hacker bei einem Angriff, dank eines zu wenig restriktiven Schutzes, auf diese zugreifen können. Für sogenannte kritische Infrastrukturen (KRITIS) und für Verfechter der ZeroTrust-Idee ist der Upload nicht-anonymisierter IT-Diagnose-Daten sowohl ein Datenschutz- als auch ein IT-Sicherheits-Risiko.

• 3. Führungskräfte könnten im Kontext von Datenschutz-Bußen und -Haftungsfragen durchaus nervös werden. Cyber-Insurance- und D&O-Versicherungspolicen könnten den Upload nicht-anonymisierter IT-Diagnose-Daten als vorsätzliche Obliegenheitsverletzung oder Gefährdungserhöhung ansehen. Das Resultat könnte eine Infragestellung des Versicherungsschutzes sein. Die DSGVO kennt die unternehmens- bzw. institutions-bezogene Buße mit Referenz zum Jahresumsatz, ergänzt um den möglichen Anspruch auf Schadensersatz. In der Schweiz gilt ab dem 1.9.2023 das revidierte Datenschutzgesetz (revDSG), das bei Verstößen sogar persönliche Bußen bis zu 250.000 Franken für die Verantwortlichen vorsieht. Vor diesem Hintergrund bekommt das Risiko einer unterlassenen Anonymisierung von IT-Diagnose-Daten einen ganz neuen Stellenwert.

Insgesamt wird deutlich, dass ein unsachgemäßer, nicht rechtskonformer Umgang mit IT-Diagnose-Daten im Gesundheitswesen definitiv zum Risiko wird. Mit zunehmender Digitalisierung wird die Wichtigkeit eines datenschutzgerechten Umgangs mit IT-Diagnose-Daten weiter steigen. Vergleicht man diese Gefahren mit dem verhältnismäßig geringen Aufwand einer automatisierten Anonymisierung, so müssten die für den IT-Betrieb Verantwortlichen diese Schieflage sofort beseitigen lassen.

(ID:49693502)