In Arztpraxen werden heutzutage große Mengen sensibler Gesundheitsdaten von Patient*innen in digitaler Form verarbeitet. Dies hat viele Vorteile, da die erforderlichen Gesundheitsdaten zeitnah zur Verfügung stehen und Ärzt*innen die Behandlungsdokumentation auch aus dem Homeoffice erledigen können. Der letztgenannte Aspekt hat in der Pandemie zusätzlich an Bedeutung gewonnen.
Jedoch sind die Daten in digitalisierter Form auch Gefahren ausgesetzt. So versuchen Angreifer*innen immer wieder, von außen in die IT-Systeme einzudringen, um Daten zu erlangen und so ihre Opfer zu erpressen. Hiergegen sind robuste Sicherheitsvorkehrungen notwendig, die das Eindringen von Angreifer*innen verhindern.
Dass diese Sicherheitsvorkehrungen nicht immer im ausreichenden Maße getroffen werden, zeigt ein jüngst bekanntgewordener Sicherheitsvorfall bei der Praxissoftware „inSuite“ (siehe Bericht der Tagesschau vom 11.08.2022).
Demnach haben Softwareexpert*innen der zivilgesellschaftlichen Gruppe „zerforschung“ beim Softwarehersteller Doc Cirrus mehrere gravierende Probleme entdeckt. So konnten die Aktivist*innen nach eigenen Anhaben in kürzester Zeit Zugang zu E-Mail-Konten der bei „inSuite“ registrierten Arztpraxen erlangen. Dadurch sei auch von Unbefugten sämtliche E-Mail-Kommunikation zwischen den Arztpraxen und den Patient*innen einsehbar gewesen. Zudem konnten aufgrund anderer Lücken die persönlichen Daten von registrierten Patient*innen abgegriffen werden. Ebenfalls für Dritte zugänglich waren auch hoch sensible Dokumente wie bspw. Laborbefunde, Diagnosen oder Atteste.
Der Berliner Datenschutzbeauftragte, Volker Brozio (kommissarischer Dienststellenleiter), bestätigte auf Anfrage von NDR und WDR, dass er Hinweise zu einer Sicherheitslücke von Gesundheitsdaten bekommen habe, von der „mehr als 60.000 Patient:innen von mehr als 270 Praxen betroffen“ seien. Insgesamt gehe es dabei um mehr als eine Million Datensätze, in denen nach seiner Aussage u. a. auch Diagnosen, Blutwerte und Laborergebnisse enthalten sind. Daher schätzt der Berliner Datenschutzbeauftragte die Sicherheitslücken als erheblich ein.
In einer Pressemitteilung vom 11.07.2022 hat der Hersteller Sicherheitsprobleme eingeräumt und die betroffenen Dienste zunächst deaktiviert und überprüft. Demnach habe die Analyse von Doc Cirrus ergeben, dass durch Programmierfehler Schwachstellen im Bereich der Arzt-Patient-Kommunikation vorlagen, die unbefugte Dritte mit IT-Know-how und Fachkenntnissen in die Lage versetzt hätten, unbefugt auf Einrichtungs- und Patientendaten einiger der Kunden zuzugreifen. Allerdings habe die Analyse von Logs und Zugriffsmustern keinen Grund zur Annahme geboten, „dass abseits des Responsible-Disclosure-Verfahrens Praxis- oder Patienteninformationen von Dritten eingesehen oder abgegriffen wurden“.
Keine Pflicht zur datenschutzkonformen Softwaregestaltung für Hersteller
Grundsätzlich gibt es keine Pflicht für Softwarehersteller, ihre Produkte auf Datensicherheit überprüfen zu lassen. Dies bestätigte laut o. g. Bericht der Tagesschau auch der Sprecher des Bundesdatenschutzbeauftragten, Christof Stein: „Tatsächlich hat ein Softwarehersteller keine Verpflichtung, seine Software in irgendeiner Art und Weise datenschutzkonform auszugestalten.“ Das gelte auch für Software, die sensible Daten verarbeite. Verantwortlich sei seinen Angaben zufolge letztlich die Arztpraxis. Sie müsse überprüfen, dass die jeweils eingesetzte Software datenschutzkonform sei.
Sicherheitslücken im Gesundheitswesen – kein Einzelfall
Über Sicherheitslücken in IT-Systemen von Gesundheitseinrichtungen hat die Berliner Datenschutzaufsichtsbehörde bereits in ihrem Tätigkeitsbericht für das Jahr 2021 berichtet (TB 2021, vgl. Punkt 6.7). So wurden die IT-Systeme in einem Krankenhaus hinsichtlich vier grundlegender Vorkehrungen überprüft:
- Der Zuverlässigkeit der Authentifizierung von Beschäftigten bei ihrem Zugriff auf die Kliniksysteme aus dem Homeoffice heraus.
- Des Einsatzes von zentral administrierten Dienstgeräten für diesen Zugriff.
- Der Aufteilung der Informationstechnik in voneinander sicherheitstechnisch getrennte Bereiche je nach Schutzbedarf und Zwecken der Datenverarbeitung.
- Der unverzüglichen Behebung von entdeckten Schwachstellen in IT-Systemen.
Dabei habe die Prüfung in allen vier Bereichen wesentliche Defizite ergeben. Im Ergebnis hätten Angreifer*innen mit wohlbekannten und relativ einfachen Angriffsmethoden weitreichenden Zugriff auf die IT-Systeme der Klinik und damit auch Einblick in nahezu alle Akten aktuell behandelter und ehemaliger Patient*innen erlangen können.
Die Digitalisierung im Gesundheitsbereich bietet nicht nur Chancen für ein leichteres und effizienteres Arbeiten, sondern eben auch neue Gefahren für die Daten von Patient*innen, so der Berliner Datenschutzbeauftragte: „Die Verantwortlichen müssen daher der Gewährleistung der Sicherheit ausreichend Aufmerksamkeit und Ressourcen widmen.“ (TB 2021, S. 98). Dieser Forderung kann nur zugestimmt werden, angesichts der jüngst entdeckten Sicherheitslücken.
20. August 2022 @ 10:05
Es geht doch schon in der Praxis los, hier kennt niemand das Wort „Datenschutz“. Allein was am Empfangstresen in die Welt posaunt wird, ist erschreckend. Meinem letzten Rezept lag (sicherlich versehentlich) die Überweisung einer anderen Patientin zur Mitbehandlung eines Facharztes bei. Hmm…
Andererseits werden Arztpraxen nicht DEN Datenschutz leisten können, der lt. DSGVO gefordert wird, ich halte das für nicht umsetzbar.
Aber es geht im Kleinen:
Letztens war ich in einer Arztpraxis und wurde am Tresen (dort nur immer ein Patient gleichzeitig!) nach meiner Gesundheitskarte gefragt. Nachdem sie eingelesen worden war, fragte mich die Assistenz, ob ich mit einer Nummer oder meinem Namen aufgerufen werden möchte. Bis ich im Arztgespräch war ist mein Name nicht einmal gefallen. Und auch kein anderes persönliches Datum. Auch so geht es, mit geringem Aufwand Vertrauen in die Thematik aufzubauen.
18. August 2022 @ 19:35
Da der Softwarevertrag der Ärzte mit den Software-Herstelleren ein Mietvertrag nach BGB ist, kann der Arzt eine Mietminderung geltend machen, wenn die Praxissoftware nicht DSGVO konform arbeitet. Leider nutzt das kein Arzt. Die KBV könnte aber auch in seinen 3 jährigen Zulassungsprüfungen die Hersteller auf DSGVO Konformität prüfen, macht sie leider und unverständlicher Weise nicht, sondern prüft nur Abrechnungsregeln.
18. August 2022 @ 18:33
„Die Verantwortlichen müssen daher der Gewährleistung der Sicherheit ausreichend Aufmerksamkeit und Ressourcen widmen.“
Ja, genau! Großartiger Vor-Schlag. Ein Schlag ins Gesicht, um genau zu sein. Wie realitätsfremd dieser Vor-Schlag ist, wird deutlich, wenn wir ihn statt auf Mediziner beispielsweise auf die Achterbahn anwenden: Als Kunde der Achterbahn soll ICH „der Gewährleistung der Sicherheit …“? Tolle Wurst. Das dürfte ja wohl etwas außerhalb meines Einfluss- und Verantwortungsbereichs liegen. Dasselbe gilt für Praxis-SW. Wir brauchen auch im Cyber-Bereich, zumal bei Closed-Source, eine Sachmängelhaftung!