Der IT-Betrieb als Quelle für Datenschutz-Pannen

Gesundheitswesen Der IT-Betrieb als Quelle für Datenschutz-Pannen

18.09.2023 Von Dr. Stephen Fedtke Lesedauer: 6 min

In Europa gilt die DSGVO nun seit mehreren Jahren. Personen-, wie insbesondere Sozial- und Patienten-Daten, unterliegen besonders hohen Schutzanforderungen, eine Verletzung ist gravierend in Bezug auf DSGVO-Bußen und -Haftung. Im IT-Alltag gibt es allerdings ein ganz besonderes IT-betriebliches Praxis-Thema, das gerne unbeachtet bleibt, aber ein Handeln der IT-Verantwortlichen dringlich macht: IT-Diagnose-Daten. Der teils laxe Umgang mit diesen hochsensiblen Daten ist unbemerkt ein hohes Datenschutz- und Sicherheitsrisiko.

Bürger, Patienten und Kunden vertrauen darauf, dass auch die IT der Sozialkassen, Krankenkassen, Versicherungen, Krankenhäuser, Banken, Behörden, etc. so betrieben wird, dass ihre sehr persönlichen und sensiblen Daten sicher sind und in keine falschen Hände gelangen.
(Bild: momius – stock.adobe.com)

Eigentlich ist der Datenschutz im Gesundheitswesen hochpriorisiert. Umso erstaunlicher ist es, dass es in manchen Bereichen an Aufmerksamkeit für die hochsensiblen Patienten- und Krankheitsdaten mangelt. Und dies ausgerechnet in den IT-Abteilungen selbst. So kann man in den regelmäßig anfallenden IT-Diagnose-Daten der Computer und Medizingeräte Massen an personenbezogenen Gesundheitsdaten finden. Das Risiko: Sie werden zur Fehleranalyse an die Software-Hersteller geschickt und von diesen verarbeitet.

Gesundheitsdaten gelten gemäß DSGVO Art. 9 als „besondere Kategorie personenbezogener Daten“. Daraus ergeben sich Anforderungen an Schutz und Haftung, auch im Hinblick auf mögliche Obliegenheitsverletzungen oder Gefährdungserhöhungen im Kontext von Cyber- und D&O-Versicherungen. Dieses Problem ist zum Glück jetzt lösbar: Innovative Anonymisierungs-Methoden und -Werkzeuge für IT-Diagnose-Dateien helfen, das Upload-Risiko zu minimieren und die sensiblen Gesundheitsdaten zu schützen. Die IT-Verantwortlichen, Datenschutzbeauftragten, IT-Auditoren und IT-Revisoren medizinischer Einrichtungen können also bald aufatmen.

Was sind IT-Diagnose-Daten?

Bildlich gesprochen handelt es sich um Diagnose-Daten über den „Patienten Computer“. Wenn Server, Clients oder Applikationen fehlerbedingt abstürzen, halten sie alle Speicherinhalte dieses Vorgangs in sog. Dumps fest. Logs hingegen, also Protokolldaten, werden fortlaufend erzeugt. Der Netzwerkverkehr wird bei Bedarf durch Traces mitgeschnitten. Auch alle computergestützten Medizingeräte, wie CT, MRT, digitale Röntgengeräte etc. erzeugen im Problemfall IT-Diagnose-Daten. Diese entstehen regelmäßig im medizinischen Umfeld auf lokalen Servern des internen IT-Betriebs, auf Systemen der IT-Dienstleister und Cloud-Anbieter, aber auch auf den Medical Devices. Es passiert in Arztpraxen, Laboren, Apotheken und Krankenhäuser gleichermaßen. Der Unterschied liegt ausschließlich im aufkommenden Datenvolumen.

Welches Risikopotential entsteht durch IT-Diagnose-Daten? IT-Diagnose-Dateien erwecken den Eindruck rein technischer Daten. Nicht offensichtlich und oft komplett unbekannt ist aber, dass sie sehr hohe Volumen personenbezogener und sicherheitskritischer Daten enthalten. Im Fall von Dumps sind dies z.B. Daten, die im Moment des Absturzes zufälligerweise im Giga-Byte großen Speicher waren und miterfasst wurden. Bei IT-Systemen medizinischer Einrichtungen handelt es sich vorwiegend um die besonders schützenswerten Gesundheitsdaten.

Was passiert genau? Die IT-Diagnose-Daten werden vom IT-Betrieb zwecks Analyse zu den Support- und Entwicklungszentren der Hersteller per Upload transferiert, mit ihren tausenden von internen und externen Mitarbeitern weltweit. Die sensiblen Daten sind leider auch Teil der Fracht. Zielländer sind Europa, USA, Indien, China und der Rest der Welt. Diese Dumps, Logs und Traces werden für die Datenübertragung zwar verschlüsselt, jedoch in den Software-Laboren wieder entschlüsselt, gespeichert und verarbeitet. Folglich haben die vielen internen und externen Supporter, Spezialisten und Entwickler der Hersteller Zugang zu den hochgeladenen IT-Diagnose-Daten, inklusive der sensiblen Gesundheitsdaten. Diese stehen jedoch unter strengem Daten- und Sicherheitsschutz. Nach Art. 9 DSGVO gelten Gesundheitsdaten aufgrund ihres sensiblen Inhalts als besonders schützenswert und unterliegen zusätzlich dem Arztgeheimnis. Umso schlimmer, dass sie für die IT-Spezialisten der Hersteller offen einsehbar sind und man nicht weiß, ob und von wem sie für welche Zwecke ausgewertet werden.

Eine generelle Aussage: Je sensibler die Daten, desto mehr Garantien zum Schutz sind erforderlich. Oder salopp formuliert: Bei höherem Schutzbedarf muss noch eine Schippe an technischen und organisatorischen Maßnahmen draufgelegt werden. Achtung: Natürlich geht es nicht um die Zahl der Maßnahmen, sondern um die Verlässlichkeit der Risikobeherrschung in ihrer Gesamtschau.

Marit Hansen, Datenschutzbeauftragte des Landes Schleswig-Holstein und Vorsitzende der Datenschutzkonferenz, in: eHealth und Datenschutz: „Erschreckend, wie wenig IT-Sicherheit mitgedacht wird“, Marit Hansen im Interview mit heise online, 18.05.2023

Outsourcing, IT-Dienstleistung und Cloud-Nutzung verlagern das Problem nur und führen zur Einbindung weiterer Parteien und insgesamt komplexeren Verantwortlichkeiten. Denn die IT-Diagnose-Daten entstehen hier auf externen Systemen, deren Betrieb und Problem-Management nicht mehr intern kontrolliert werden. Es sind die Administratoren der Dienstleister, die mit dem Upload der IT-Diagnose-Dateien sozusagen über die persönlichen Daten der Patienten entscheiden.

Im Übrigen, auch der Remote-Zugriff, also die umgekehrte Zugriffsrichtung, unterliegt dem strengen Datenschutz. Ein generell freier Zugriff der Hersteller auf die eigenen IT-Systeme oder Medizingeräte sollte regulatorisch und technisch via Konfiguration unterbunden werden.

Eine rechtlich und sicherheitstechnisch wirksame Lösung bietet die Anonymisierung sämtlicher IT-Diagnose-Daten vor dem Upload. Sie befreit die Dokumente von datenschutz- und sicherheitssensiblen Inhalten, bei vollem Erhalt der technischen Aussagekraft. Erst danach werden die Dateien zum Support des Software-Herstellers hochgeladen – risikokonform und revisionsgerecht. Durch die Begleitdokumente wird der Gesamtprozess transparent und nachweisbar. Die Anonymisierung sollte lokal und automatisiert erfolgen.

Wenn Anonymisierung oder Pseudonymisierung gesetzlich vorgeschrieben sind, dann muss der Verantwortliche – also zum Beispiel ein Krankenhaus oder ein Datenbank-Betreiber – dafür sorgen, dass geeignete Verfahren auf geeignete Weise zum Einsatz kommen. Es gibt inzwischen gute Lösungen, doch diese werden oft nicht oder nicht richtig umgesetzt.

Auf der nächsten Seite: Die Folgen für die IT-Verantwortlichen

Was bedeutet dies für IT- und Datenschutzverantwortliche, für Revisoren und Auditoren in medizinischen Einrichtungen wie Krankenhäusern, Arztpraxen, Apotheken und Laboren?

1. Der Upload nicht-anonymisierter IT-Diagnose-Daten ist durch die darin erfassten personenbezogenen Gesundheitsdaten ein ernstzunehmender DSGVO-Verstoß. Dieses Datenschutzproblem wird durch die Verschlüsselung der Daten nicht behoben. Denn die Daten werden vom Support der Software- und Geräte-Hersteller entschlüsselt, gespeichert und verarbeitet. Diese Übertragung, Speicherung und Verarbeitung der personenbezogenen Daten, erfolgt ohne „Zweck“ und „Notwendigkeit“. Denn diese sensiblen Daten, zum Beispiel von Patienten, werden für die eigentliche Zielsetzung des Uploads definitiv nicht benötigt. Dieser besteht ausschließlich in der Lösung des jeweiligen software-technischen Problems. Es verletzt den Datenschutz, wenn zu schützende, sensible Daten zweckfremd und trotzdem bewusst an Dritte weitergeleitet werden. Hieraus ergeben sich für die Verantwortlichen zweierlei Risiken: mögliche DSGVO-Bußen und Schadensersatzforderungen. Letztere wurden jüngst mit dem EuGH-Urteil vom 4.5.2023 nochmals präzisiert. Juristische Akteure könnten dies u.a. mit der gefürchteten Beweislastumkehr strategisch verbinden, denn der Upload von IT-Diagnose-Daten ist ein bewusst vollzogener Schritt der täglichen Arbeitsroutine. Für einen durchschnittlich großen IT-Betrieb sind bis zu 150 Support- Tickets pro Jahr mit hochgeladenen IT-Diagnose-Daten durchaus eine gängige Praxis.

2. IT-Diagnose-Daten sind außerdem ein gefährliches IT-Sicherheits-Risiko! Denn sicherheitskritische Informationen über die eigenen IT-Systeme verlassen mit dem Upload nicht anonymisierter IT-Diagnose-Dateien das Haus (z.B. Keys, Passwörter, etc.). Diese können aus den Dateien gezielt extrahiert und z.B. für einen geplanten Angriff genutzt werden, etwa für eine Ransomware-Attacke. Dumps und Logs gehören zu den Top 25 Sicherheitsrisiken gemäß CWE von MITRE. Z.B. klassifiziert CWE-528 bereits „herumliegende Dump-Dateien“ als Risiko, das sich realisiert, wenn Hacker bei einem Angriff, dank eines zu wenig restriktiven Schutzes, auf diese zugreifen können. Für sogenannte kritische Infrastrukturen (KRITIS) und für Verfechter der ZeroTrust-Idee ist der Upload nicht-anonymisierter IT-Diagnose-Daten sowohl ein Datenschutz- als auch ein IT-Sicherheits-Risiko.

3. Führungskräfte könnten im Kontext von Datenschutz-Bußen und -Haftungsfragen durchaus nervös werden. Cyber-Insurance- und D&O-Versicherungspolicen könnten den Upload nicht-anonymisierter IT-Diagnose-Daten als vorsätzliche Obliegenheitsverletzung oder Gefährdungserhöhung ansehen. Das Resultat könnte eine Infragestellung des Versicherungsschutzes sein. Die DSGVO kennt die unternehmens- bzw. institutions-bezogene Buße mit Referenz zum Jahresumsatz, ergänzt um den möglichen Anspruch auf Schadensersatz. In der Schweiz gilt ab dem 1.9.2023 das revidierte Datenschutzgesetz (revDSG), das bei Verstößen sogar persönliche Bußen bis zu 250.000 Franken für die Verantwortlichen vorsieht. Vor diesem Hintergrund bekommt das Risiko einer unterlassenen Anonymisierung von IT-Diagnose-Daten einen ganz neuen Stellenwert.

Insgesamt wird deutlich, dass ein unsachgemäßer, nicht rechtskonformer Umgang mit IT-Diagnose-Daten im Gesundheitswesen definitiv zum Risiko wird. Mit zunehmender Digitalisierung wird die Wichtigkeit eines datenschutzgerechten Umgangs mit IT-Diagnose-Daten weiter steigen. Vergleicht man diese Gefahren mit dem verhältnismäßig geringen Aufwand einer automatisierten Anonymisierung, so müssten die für den IT-Betrieb Verantwortlichen diese Schieflage sofort beseitigen lassen.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung im Gesundheitswesen

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Der Autor

Dr. Stephen Fedtke ist CTO von enterprise-it-security.com und unter anderem Co-Autor des Buches „IT-Sicherheit und Datenschutz im Gesundheitswesen – Leitfaden für Ärzte, Apotheker, Informatiker und Geschäftsführer in Klinik und Praxis“.

(ID:49693502)