Security by Design im Gesundheitswesen – und wo es sonst noch fehlt…

Für die heutige Überschrift habe ich eine Weile gegrübelt, wie sich die aktuellen Kurzmeldungen am Anfang und das Hauptthema „Datenschutz bei der Kommunikation zwischen Arztpraxis und Patient“ unter einen Hut bringen lassen. Dabei schlummerte das Stichwort „Security by Design“ schon lange im Text. Was es damit auf sich hat, erfahren Sie gleich. Schauen wir uns aber zunächst einige Negativ-Beispiele an, wo (Daten-) Sicherheit eben offenbar nicht von Anfang an mitgedacht wurde.

Denn kürzlich wurden wieder zahlreiche Datenlecks bekannt: In einem Hackerforum boten Kriminelle die Daten von fast allen LinkedIn-Nutzern (700 Millionen) zum Verkauf an. Lidl hat ein neues hauseigenes Bezahlsystem per App eingeführt – leider wird nicht verifiziert, ob das Konto auch wirklich dem App-Inhaber gehört. Und so haben Kriminelle sich direkt mit fremden Konten registriert und Geld von diesen abbuchen lassen.

Bei o2 generiert man offenbar gern Einwilligungen zur Datennutzung, indem man die Kunden einfach gar nicht danach fragt. Der Konzern sagt, für das DSGVO-konforme Einholen seien die Betreiber der Geschäfte verantwortlich, doch die fühlen sich von o2 unter Druck gesetzt: Denn der Telefonkonzern knüpft Prämienzahlungen an Einwilligungsquoten. Ohne diese Einnahmen können die Franchise-Shops aber nicht überleben. Laut Bundesnetzagentur ist die Zahl der „Mobilfunkteilnehmer“ in Deutschland von ohnehin schon hohen knapp 132 Millionen Anfang 2018 auf 152 Millionen Anfang 2021 gestiegen. Das Dilemma im hart umkämpften Markt beschreibt Netzpolitik.org.

Kein Leck, aber dennoch bedeutend: Die niederländische Datenschutzbehörde hat eine Strafe in Höhe von 750.000 Euro gegen TikTok verhängt, weil die AGBs nur auf Englisch zur Verfügung gestellt werden und da bei Kindern – der Hauptzielgruppe – nicht vorausgesetzt werden kann, dass sie sicher genug Englisch verstehen.

Die EU macht nun offenbar ernsthaft Druck auf die großen sozialen Netzwerke: Man will nicht mehr warten, bis die zuständige irische Behörde selbst aktiv wird. Stattdessen hat der Europäische Datenschutzausschuss (EDPB), der alle nationalen Datenschutzbehörden der Mitgliedstaaten beaufsichtigt, Irland am 28. Juli eine einmonatige Frist auferlegt. Bis dahin muss die irische Behörde entscheiden, wie hoch die potenzielle Geldstrafe gegen Facebook/WhatsApp ausfällt. In der Kritik stehen (wieder einmal) der undurchsichtige Datenaustausch zwischen Facebook und WhatsApp; und dass der Messenger-Dienst seine Nutzer wiederholt dazu drängt, den neuen AGB zuzustimmen. Vielleicht hat sich o2 das da abgeschaut…

Die Bremer Polizei verstößt indes systematisch gegen Löschfristen – und bewahrt auch Daten von Zeugen und Unschuldigen seit 2014 quasi unbefristet vorsorglich auf. Dabei sind Löschfristen seit Jahrzehnten zentral im deutschen Datenschutz verankert. Gelöscht wurde nur auf Einzelanfragen hin, teilweise waren sogar Klagen notwendig. Nur durch journalistische Recherche wurde das Thema nun öffentlich – und die Polizei gelobt endlich Besserung.

Apropros Journalisten: Diese wiederum wurden offenbar weltweit Opfer der Spähsoftware „Pegasus“. Die taz fasst das Ganze zusammen, das Thema war ja auch gut in Medien.

Nun will ich langsam zum Hauptthema kommen. Dazu passt schon einmal die aktuelle Meldung, dass kürzlich vielerorts in Apotheken sicherheitshalber keine digitalen Corona-Impfzertifikate mehr ausgestellt wurden. Denn offenbar hätten Hacker über einen Gastzugang beim verwendeten Online-Tool „Mein Apothekenportal“ relativ unkompliziert Apotheken frei erfinden können und so offizielle Impfzertifikate generieren können. Nach einer Woche wurde die Sicherheitslücke behoben. Welche Apotheken nun wieder die digitalen Impfzertifikate anbieten, zeigt das bundesweite Verbraucherportal www.mein-apothekenmanager.de.

Datenschutz und Gesundheit war auch schon vor Corona ein Dauerthema. Und mit der endlich einsetzenden Digitalisierung von Krankenkassen und Arztpraxen, dem digitalen Impfpass, Fitness-Wearables usw. wird es das auch bleiben. Dabei sind, gerade in den Praxen, nicht immer (IT-)Profis am Werk. Aber auch die beliebte Plattform Doctolib, auf der man Impf- und Arzttermine direkt online buchen kann, hatte offenbar über lange Zeit ein Datenleck.

Bis Mitte 2020 sollen viele vereinbarte Termine für jeden frei im Internet zugänglich gewesen sein – teilweise bis zurück ins Jahr 1990! Die anonymen Entdecker des Lecks haben einen Teil der Daten zu Beweiszwecken im November 2019 heruntergeladen, d. h. offenbar waren sie über ein halbes Jahr, wahrscheinlich auch schon weit länger vorher, online einsehbar. Möglich war das durch eine einfache Abfolge verschiedener Browserabfragen. Die zugehörigen Zahlenfolgen in den URLs ließen sich den Entdeckern zufolge einfach erraten. Doctolib hat dabei weder geprüft, ob der Anfragende berechtigt ist, diese Daten abzurufen noch die Daten durch Ende-zu-Ende-Verschlüsselung oder Pseudonymisierung geschützt. Stattdessen standen die persönlichen Daten im Klartext öffentlich im Internet.

Neben dem Termin an sich waren das der Name und die Telefonnummer des Patienten sowie der Name und die Fachrichtung des Mediziners. So werden also z.B. regelmäßige Besuche bei der Psychotherapie oder auch Überweisungen zwischen verschiedenen Fachrichtungen deutlich – und daraus ergibt sich dann schon ein beträchtlicher Teil der Behandlungshistorie und der Krankheitsgeschichte.

Umstritten ist zwischen den Beteiligten das Ausmaß des Leaks: Doctolib selbst spricht von nur 45 Datensätzen, die Entdecker hingegen von rund 150 Millionen! Viele Ärzte berichten auch, dass sie von Doctolib – entgegen deren Aussage – nicht über das Datenleck informiert wurden. Die zuständige Berliner Datenschutzbehörde ermittelt bisher nur in dem Fall der 45 Datensätze, die von Doctolib gemeldet wurden. Der Fall zeigt wieder einmal, wie wichtig es für Onlinedienste ist, die Daten ihrer Kunden abzusichern – und wie häufig diese scheitern. Damit dies nicht geschieht, bedarf es „Security by Design“ – also dass Sicherheit (und Datenschutz) bei der Konzeption einer Webseite von Anfang an mitgedacht und nicht erst nachträglich eingefügt werden.

Der Verein Digitalcourage zeichnete die 2013 gegründete Plattform, die offenbar auch wesentliche ältere Daten von den Praxis-Servern zog und diese obendrein noch an Google und Facebook weitergibt, kürzlich mit dem Negativpreis „Big Brother Award“ aus. Noch mehr über die Akte „Doctolib“ verrät Ihnen diese Reportage von der ZEIT.

Eine weitere delikate Frage u.a. im medizinischen Bereich lautet: Dürfen Arztpraxen Befunde per E-Mail an Patienten schicken? Oder analog: Anwaltskanzleien Gerichtsurteile an Mandanten? Bekanntlich ist das Sicherheitsniveau einer E-Mail ja vergleichbar mit dem einer Postkarte – gemäß Artikel 32 DSGVO handelt es sich eine unsichere Datenverarbeitung. Dürfen die Anforderungen an die technisch-organisatorischen Maßnahmen der DSGVO abgesenkt werden, wenn der Betroffene einwilligt oder dies sogar ausdrücklich wünscht? Sieht es die DSGVO überhaupt vor, dass ein Betroffener in eine unsichere Datenverarbeitung einwilligen kann oder sind die objektiven Zielvorgaben an eine sichere Datenverarbeitung aus Art. 32 DSGVO quasi absolut? Die Hamburger Datenschutzbehörde sagt: grundsätzlich ja.

Basierend auf Artikel 8 der Grundrechtecharta der EU, die über der DSGVO steht, kann man in eine unsichere Datenverarbeitung einwilligen, wenn dies a) wirksam, b) freiwillig, c) vorab informiert und d) konkret eingegrenzt erfolgt. Auch muss die Einwilligung die weiteren Anforderungen (nach Artikel 7 DSGVO) erfüllen, also vorab über den konkreten Vorgang und damit einhergehende Risiken aufklären und jederzeit widerrufbar sein. Dabei muss jederzeit sichergestellt werden, dass die E-Mail-Adresse auch wirklich dem Patienten gehört, diese Daten nur ihm zugehen und dass die Person ohnehin einwilligungsfähig (also nicht zu jung oder zu alt) ist.

Trotzdem stellt dieser Vermerk der Hamburger Datenschutzbehörde keinen Freifahrtschein da. Er mag zunächst nur für Hamburg gelten und stellt sicher kein bundesweit abgestimmtes Positionspapier der Aufsichtsbehörden dar. Andere Aufsichtsbehörden vertreten durchaus auch gegenteilige Auffassungen. Von daher sollte der Versand per E-Mail nur im Einzelfall, z.B. in Ausnahmesituationen, vorkommen. Der Standardversandweg sollte die gute, alte Post oder eine eigene App sein.

Bei Fragen schreiben Sie uns wie immer gern eine Nachricht!