Datenschutz Vernetzung von Allem mit Allem – ob das NIS-2 konform klappt?

Daten sind im Gesundheitsweisen in Massen vorhanden, vor allem sensible. Für ihren Schutz gibt es zahlreiche gesetzliche Vorgaben. Doch können diese umgesetzt und gleichzeitig die Pläne des Bundesgesundheitsministeriums verwirklicht werden? Gerade die elektronische Patientenakte setzt schließlich eine Vernetzung aller Beteiligten und ihrer Systeme voraus.

Die ProSec GmbH wurde von einem Apotheken-Verbund beauftragt, die Widerstandsfähigkeit der Mitglieder gegen Phishing-Mails zu prüfen. Das Resultat sei „alarmierend“ gewesen: „Von den beiden eingeweihten Auftraggebern fiel eine Person auf das Phishing herein, bei den übrigen Angestellten waren es drei Viertel“. Am Ende konnte sich ProSec „alle Patientendaten mit Rezeptanforderungen und Medikamentierungsvorschlägen der gesamten Region zugänglich machen.“ Die März Internetwork Services AG will beobachtet haben, dass Krankenhauspersonal „weniger sensibilisiert für Phishing und Social Engineering“ sei. Die AOK und die Barmer Krankenversicherung sollen einem Loch in einer Datenübertragungssoftware zum Opfer gefallen sein. Die Regelkonformität scheint im Gesundheitswesen nicht so wichtig zu sein. Die Folge: Mehr als drei Viertel der Gesundheitsorganisationen in Deutschland sind laut einer Studie von Soti von Cyberangriffen, Datenlecks oder Datenschutzvorfällen betroffen.

Jeder Verantwortliche sei eine „Orientierungshilfe zum Einsatz kryptografischer Verfahren des Arbeitskreises Technik der Konferenz der Datenschutzbeauftragten des Bundes und der Länder“ ans Herz gelegt: „Wenn also der unbefugte Zugriff auf schutzwürdige Daten nicht mit hinreichender Sicherheit ausgeschlossen werden kann, dann müssen Maßnahmen ergriffen werden, die sicherstellen, dass trotz der Zugriffsmöglichkeiten Unbefugter ein Missbrauch der Daten ausgeschlossen werden kann. Dies kann zum Teil mit einer Speicherverschlüsselung erreicht werden.“ Das gilt auch für mobile Datenspeicher, denn auch die werden samt Patientendaten gestohlen.

Als „schutzwürdig“ deklarieren die Behörden auch Daten über

• die Gesundheit,

• das Sexualleben,

• Dienst- und Arbeitsverhältnisse sowie

• steuerliche und soziale Verhältnisse.

Rechtsanwalt Stephan Hansen-Oest erläutert, mit dem Urteil vom 15. Dezember 1983 habe das Bundesverfassungsgericht „inhaltlich ein neues Grundrecht geschaffen: das Grundrecht auf Datenschutz“.

Das ergibt für Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht an der Hochschule Bremen, „ein Recht aller Bürgerinnen und Bürger auf die Verschlüsselung ihrer Daten!“ Also auch fürs Personal.

Bei Gesundheitsdaten handelt es sich noch dazu um „besondere Kategorien personenbezogener Daten“, die gemäß Artikel 9 DSGVO nach „geeigneten Garantien“ verlangen.

Solche Garantien hätten bestehen können in

• einer Datenverschlüsselung.

• Einer Schulung der Mitarbeiter über feindliche künstliche Intelligenz: Die soll nämlich Betrugsmails massenhaft und personalisiert erzeugen können. Wer derart geschult ist, klickt nicht mehr auf Alles, was ihr vor die Maus kommt. Und sorgt für ein Passwort, das auch den Angriffen leistungsfähiger Passwortknacker widersteht.

• Einer Multifaktor-Authentifizierung (MFA): Die soll „unverzichtbar im Gesundheitswesen“ sein. Und hätte einer Klinik ein Bußgeld über 440.000 Euro ersparen können.

• Einem Berechtigungsmanagement (IAM): Da eine Klinik auf diese nach Artikel 29 DSGVO vorgeschriebene Maßnahme verzichtet hat, wurde ein Bußgeld in Höhe von 400.000 Euro verhängt. Billiger ist es, zu definieren, wer Daten anlegen, ansehen, verändern, weiterleiten oder löschen darf. Und ob dieser Mensch diese Befugnis nur an Werktagen oder auch nach Feierabend, am Wochenende, bei Urlaub, Krankheit oder auf Dienstreise erhält.

• Der Befähigung und Verpflichtung der Systemadministratoren, Lücken zeitnah zu stopfen: Solche Löcher sollen sich nämlich durch „Automatisierte, zielspezifische Malware“ ausnutzen lassen. Das heißt: Die Angreiferinnen finden automatisiert Schwachstellen und nutzen diese genauso automatisiert aus; der Sicherheitsexperte Brett Gallant macht keine Hoffnung auf Besserung: Die Kombination von Maschinellem Lernen und Automatisierung könne „die Geschwindigkeit und das Ausmaß von Cyber-Angriffen erheblich steigern, wodurch es schwieriger wird, sie zu erkennen und abzuwehren.“

Artikel 5 DSGVO verlangt von der Verantwortlichen den Nachweis, dass sie den Angreifern den Zugriff zumindest erschwert hat. Demnach sollen Daten „in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet“. Das dabei nachzuweisende Schutzniveau heißt Artikel 32 DSGVO zufolge „Stand der Technik“ (SdT) – das Justizministerium definiert den Begriff so:

„Stand der Technik ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen, der nach herrschender Auffassung führender Fachleute das Erreichen des gesetzlich vorgegebenen Zieles gesichert erscheinen lässt. Verfahren, Einrichtungen und Betriebsweisen [...] müssen sich in der Praxis bewährt haben oder sollten – wenn dies noch nicht der Fall ist – möglichst im Betrieb mit Erfolg erprobt worden sein.“

Sollte es sich bei der Verantwortlichen um einen Arzt, Apotheker oder andere Berufsgeheimnisträger handeln, sollte diesen bewusst sein, dass ihr nach § 203 Strafgesetzbuch bis zu ein Jahr Gefängnis droht, wenn sie „unbefugt ein fremdes Geheimnis [...] offenbart“.

Für den Schutz von Patientendaten wäre es gut gewesen, wenn wir den Beschäftigten im Gesundheitswesen die Zusammenhänge von Digitalisierung, Risiken und Rechtsfolgen erklärt hätten. Stattdessen haben wir beste Voraussetzungen für menschliche Zombies geschaffen. Soweit zum Schutz personenbezogener Daten.

Auf der nächsten Seite: ePA und NIS2

(ID:49692624)