Dossier

"Meine Krankenakte gehört mir!"“… Nun also doch per Handy. Bundesgesundheitsminister Jens Spahn (CDU) sprach sich am Wochenende nach lang anhaltender Kritik dafür aus, die Gesundheitsdaten Millionen Versicherter nicht länger über die elektronische Gesundheitskarte (eGK) zu übermitteln. In Zukunft solle ermöglicht werden, dafür stattdessen Mobiltelefone zu nutzen, erklärte Spahn. (…) Doch darüber, ob die sensiblen Gesundheitsdaten in Form von Apps besser geschützt sind, bestehen Zweifel. Harsche Kritik kommt von der Bundesbeauftragten für Datenschutz, Andrea Voßhoff. Für gesetzliche Krankenkassen gebe es enge Schranken für das Sammeln solcher Gesundheitsdaten. „In einer nach deutschen Datenschutzstandards derart unsicheren Umgebung, mit der Apps verbunden sind, sollten sich Krankenkassen […] ihrer Verantwortung gegenüber den Versicherten bewusst sein“, schreibt sie in ihrem 25. Tätigkeitsbericht. Die Kassen versichern derweil unisono, vorsichtig mit den Gesundheitsdaten umzugehen. (…) Spahn brachte auch das im Koalitionsvertrag stehende „Bürgerportal“ ins Spiel. Über dieses sollen BürgerInnen in Zukunft mit diversen Behörden kommunizieren. Der Minister schlägt vor, auch Gesundheitsdaten auf diesem Weg auszutauschen. Unklar ist, ob die Nutzung eines solchen Portals verpflichtend sein soll und wie die Daten geschützt werden. Bis zur Sommerpause will Spahn konkrete Pläne vorstellen.” – aus dem Beitrag „Zieht die Regierung die Notbremse?“ von Sebastian Kränzle vom 13. Mai 2018 bei taz online externer Link, worin die Reaktion auf Kritik und Pannen Thema ist. Siehe dazu:

  • Warnung vor Spahn-Plan – Experte: Cloud macht Patientendaten zu leichten Beute New
    “Die elektronische Patientenakte kommt und mit ihr die Gesundheitscloud. Und beide haben laut Experten erhebliche Sicherheitsmängel. (…) “Die entscheidende Frage bei der elektronischen Patientenakte ist doch, wer Befunde und Medikationspläne mitlesen oder sogar Gesundheitsdaten verändern kann”, gibt der Computerwissenschaftler Professor Hartmut Pohl von der Gesellschaft für Informatik zu bedenken. Der Sicherheitsexperte Martin Tschirsich hat eine alarmierende Antwort auf diese Frage: “Wenn das so umgesetzt wird, wie es sich abzeichnet, werden unsere medizinischen Daten überhaupt nicht sicher sein”. Tschirsich kritisiert nicht nur die im gemeinsamen Grundkonzept von Ärzten, Kassen und Ministerium vorgesehene zentrale Speicherung der Patientendaten. (…) “Viel dramatischer ist die geforderte Verfügbarkeit von Patientendaten auf Smartphones und Tablets”, urteilt Martin Tschirsich. Das sieht die Gesellschaft für Informatik genauso. “Smartphones und Tablets laufen mit Betriebssystemen, die erfahrungsgemäß von Angreifern ausnutzbare Sicherheitslücken enthalten”, warnt Sicherheitsforscher Hartmut Pohl. Für sensible Daten wie medizinische Diagnosen, Medikamentenverordnungen oder Röntgenbilder sind Mobilgeräte nach dem Urteil zahlreicher Sicherheitsexperten schlicht verboten. Doch Bundesgesundheitsminister Jens Spahn will genau das…” Beitrag von Peter Welchering vom 5. Januar 2019 bei ZDF heute externer Link
  • All Your Gesundheitsakten Are Belong To Us. “So sicher wie beim Online-Banking”: Die elektronische Patientenakte kommt – für alle. 
    Plötzlich geht alles ganz schnell: Online-Behandlungen und elektronische Gesundheitsakten sind dieses Jahr für Millionen Krankenversicherte Wirklichkeit geworden. Zu einem hohen Preis: Bereits einfache Angriffe lassen das Sicherheitskonzept der Apps und Plattformen zusammenbrechen. Warum das so ist, welche kritischen Fehler Vivy & Co. gemacht haben und wie das möglicherweise verhindert werden kann, das soll dieser Vortrag zeigen – denn in spätestens drei Jahren sollen auch die Gesundheitsdaten aller übrigen Versicherten zentral gespeichert und online abrufbar sein. (…) Nach Jahren des Wartens geht dabei alles ganz schnell. “Diese Maßnahmen dulden keinen Aufschub”, sagt Spahn. Und macht uns alle damit zu Beta-Testern in Sachen Gesundheit. Mit fatalen Folgen: Unsere streng vertraulichen Gesundheitsdaten liegen für alle sichtbar im Netz. In diesem Vortrag zeige ich an fünf konkreten Beispielen, welche fahrlässigen Entscheidungen die Online-Plattformen und Apps der Anbieter aus dem Bereich Gesundheitsakte und Telemedizin so angreifbar machen und demonstriere, wie einfach der massenhafte Zugriff auf unsere vertraulichen Gesundheitsdaten gelang. Zur Debatte steht, was angesichts dieser neuen alten Erkenntnisse zu tun ist – und was wir besser bleiben lassen.Zusammenfassung und Audio des Vortrags von Martin Tschirsich am 27.12.2018 beim 35. Chaos Communication Congress externer Link Audio Datei
  • Datenschutzrechtliche Beurteilung des Einsatzes von mobilen Applikationen (“Apps”) in Bereich der gesetzlichen Krankenversicherungen durch das Bundesversicherungsamt 
    Das Bundesversicherungsamt (BVA) führt die Rechtsaufsicht über die bundesunmittelbaren Träger der gesetzlichen Kranken-, Renten- und Unfallversicherung sowie der sozialen Pflegeversicherung. Es hat bereits am 20.01.2017 alle bundesunmittelbaren Sozialversicherungsträger (dazu zählen auch bundesweit tätige Krankenkassen) per E-Mail seine  datenschutzrechtliche Beurteilung des Einsatzes von mobilen Applikationen (“Apps”) zukommen lassen. Da diese Bewertung dem Großteil der ca. 70 Mio. Menschen in Deutschland, die in einer gesetzlichen Krankenkasse versichert sind, bislang nicht bekannt sein dürfte, die Erhebung, Speicherung und Verarbeitung von Gesundheits-, Bewegungs- und anderen Daten durch diese Apps aber eine hohe datenschutzrechtliche Relevanz hat, hat sich die Redaktion dieser Homepage entschieden, diese Stellungnahme hier externer Link kommentarlos zu veröffentlichen, um sie einer Bewertung durch eine kritische Öffentlichkeit  zugänglich zu machen.” Beitrag vom 21. November 2018 bei patientenrechte-datenschutz.de externer Link
  • Prestigeprojekt mit Macken: Forscher fanden schwere Sicherheitslücken in Gesundheits-App Vivy 
    100.000 Versicherte haben eine neue Gesundheits-App heruntergeladen, um mit ihren Ärzten digital und sicher Dokumente auszutauschen. IT-Sicherheitsforscher sahen sich das Prestigeprojekt einiger Krankenkassen und der Allianz-Versicherung genauer an. Sie fanden eine große Anzahl an Lücken und Lecks, die teils auch Laien ausnutzen könnten. Auch die Verschlüsselung konnten sie umgehen. (…) Martin Tschirsich sagte netzpolitik.org, dass „der Austausch von Gesundheitsdaten anhand der Metadaten in großem Maßstab nachvollzogen werden“ konnte. Die Kommunikationspartner ließen sich identifizieren. Metadaten sind nicht trivial: Allein die Aussage darüber, wer zu welchem Zeitpunkt welchen Arzt besucht, und welchen Titel ausgetauschte Dokumente tragen, kann Schlüsse zulassen. Für das massenhafte Auslesen der Metadaten brauchten die Sicherheitsexperten keine Spezialsoftware. Die Brute-Force-Methode gehört zum Standardwerk auch laienhafter Angreifer. Technisch versierte Angreifer hätten mehr als nur Metadaten abgreifen können…” Artikel von Leon Kaiser vom 30.10.2018 bei Netzpolitik externer Link, siehe dazu auch:

    • Gesundheits-App Vivy: Macher versuchen, Berichterstattung zu korrigieren 
      “Unsere Berichterstattung über Sicherheitslücken bei der App Vivy hat bei den Verantwortlichen zu einer harschen Reaktion geführt: Der Redaktion von netzpolitik.org werden Falschaussagen vorgeworfen. Bei einer Prüfung stellte sich allerdings heraus, dass nicht alle Angaben von Vivy der Wahrheit entsprechen. (…) Die Anmerkungen von Vivy haben wir geprüft und bei entstehenden Fragen den Forschern der Firma modzero, die die Sicherheitslücken gefunden hatten, vorgehalten. Dabei zeigt sich, dass sich die App-Hersteller gegenüber ihren eigenen schriftlichen Aussagen in Widersprüche verstricken und es mit der Wahrheit nicht allzu genau nehmen. Für ein Unternehmen, das eigentlich froh sein kann, wenn Sicherheitsforscher eine beträchtliche Anzahl gefundener Sicherheitslücken in einem von tausenden Menschen genutzten Produkt mit sehr sensiblen Daten melden, ist ein solches Verhalten irritierend. (…) Im Grunde ist der traurige Fall der Vivy-App ein Musterbeispiel dafür, wie Verantwortliche für Sicherheitslücken nicht mit IT-Vorfällen umgehen sollten. Wenn sich Profis daran machen, Sicherheitsprobleme in einem Produkt den Betroffenen zu melden, dann hätten die App-Macher in erster Linie die Verantwortung – schon gegenüber ihren Kunden – die Probleme abzustellen. Und gleichzeitig ernsthaft zu reflektieren, was man am eigenen Handeln strukturell ändern könnte, um künftig solche IT-Sicherheitsprobleme zu vermeiden. Die Fehler lieber bei den anderen zu suchen und zusätzlich den Berichterstattern unwahre Tatsachenbehauptungen vorzuwerfen, sollte vielleicht nicht die erste Prioritität sein, wenn man selbst für diese Fehler verantwortlich ist.” Stellungnahme von Leon Kaiser vom 31. Oktober 2018 bei Netzpolitik externer Link
  • “Das ist #Spahnsinn” – Datenschützer kritisieren die Pläne von Gesundheitsminister Spahn zur elektronischen Übertragung von Krankheitsdaten 
    Seit wenigen Tagen liegt ein Referentenentwurf des Terminservice- und Versorgungsgesetzes (TSVG) vor. Datenschützer und Patienten sind alarmiert: “Bundesgesundheitsminister Spahn will eine auf zentralen Servern liegende ‚elektronische Patientenakte‘ mit Zugriff sowohl über die Gesundheitskarte und ihre Telematikinfrastruktur, als auch über das Internet.” erklärt Dr. Silke Lüder vom Bündnis “Stoppt die E-Card”. “Das bedeutet eine gigantische Sammlung sensibler Daten auf einem zentralen Server – für Datendiebe ein extrem attraktives Ziel mit hohem finanziellen Wert. Patienten, deren Daten dort gespeichert werden, werden quasi enteignet”, ergänzt Dr. Elke Steven, Geschäftsführerin von “Digitale Gesellschaft”. Außerdem bergen beide Zugriffswege Risiken (…) Der nun zusätzlich vorgesehene Zugang per Smartphone oder Tablet über das Internet bedeutet offene Schnittstellen in der Telematikinfrastruktur, welche aus Sicherheitsgründen als geschlossenes Netz geplant war. Damit vervielfältigt sich die Gefahr unbefugter Zugriffe auf die elektronischen Patientenakten. (…) die Patienten sollen ihre Zustimmung auch pauschal auf anderen Wegen oder nur gegenüber der Krankenkasse erklären können. Dies macht es schwer nachvollziehbar, ob tatsächlich eine Einwilligung vorliegt oder ob sie eventuell sogar widerrufen wurde. Außerdem soll eine “elektronische Arbeitsunfähigkeitsbescheinigung” (eAU) eingeführt werden. Das bedeutet, dass alle Angaben, die bisher vom Versicherten auf Papier an die Krankenkasse geschickt wurden, künftig unter Angabe der Diagnose über eine Telematikinfrastruktur geleitet werden sollen. Der Versicherte hat so keine Möglichkeit, sich gegen diese elektronische Übertragung sensibler Daten zu entscheiden…” Gemeinsame Pressemitteilung vom 20.8.2018 bei Patientenrechte und Datenschutz e.V. externer Link von mehreren unterstützenden Organisationen, zu denen auch LabourNet Germany gehört
  • Das ist #Spahnsinn! Datenschützer kritisieren Pläne zur elektronischen Patientenakte 
    Gesetzlich Krankenversicherte sollen ihre Patientenakte auch auf dem Handy einsehen können. Den rechtlichen Rahmen dazu will der Bundesgesundheitsminister Jens Spahn in Kürze vorlegen. Der Frankfurter Allgemeinen Zeitung  sagte er vor wenigen Tagen externer Link: „Versicherte sollen auch per Tablet und Smartphone auf ihre elektronische Patientenakte zugreifen können“. Das sei nicht das Ende der elektronischen Gesundheitskarte, aber eine zusätzliche, patientenfreundliche Option. Dr. Bernhard Scheffold, Physiker und Software-Entwickler, einer der Vorsitzenden des Vereins Patientenrechte und Datenschutz e. V., erklärt dazu: “Gesundheits- und Behandlungsdaten auch noch online zugänglich zu machen und damit für das Internet zu öffnen, wäre ein inakzeptables Sicherheitsrisiko, weil damit eine Vielzahl von Angriffs- und Zugriffsmöglichkeiten für Hacker, Geheimdienste und andere an diesen Daten interessierten Organisationen geschaffen würden.” (…) Der Verein Patientenrechte und Datenschutz e. V. bewertet den neuen Vorstoß von Minister Spahn als #Spahnsinn. Er soll davon ablenken, dass es seit mehr als 10 Jahren nicht gelungen ist, mit der elektronischen Gesundheitskarte und der Telematik-Infrastruktur im Gesundheitswesen Strukturen zu schaffen, die den Versicherten nutzen, zugleich aber auch ihre sensiblen Daten umfassend vor Zugriffen interessierter Dritter zu schützen. Die von Spahn angedachte Smartphone-Version der elektronischen Patientenakte wird lediglich die Kosten für Versicherte und ihre Krankenkassen deutlich in die Höhe treiben…” Pressemitteilung vom 23. Juli 2018 von und bei Patientenrechte und Datenschutz e. V. externer Link
  • Marburger Bund pocht auf Datenschutz bei elektronischer Patientenakte
    Daten über die eigenen Blutwerte, Krankheiten und Medikamente auf Handy oder Tablet? Ärzte sind ein bisschen skeptisch. Angesichts von Plänen für eine elektronische Patientenakte auch auf Handys und Tablets pochen Ärzte auf Einhaltung des Datenschutzes. Eine Weitergabe von Patientendaten an Krankenkassen, Arbeitgeber und andere Dritte müsse ausgeschlossen sein, forderte der Ärzteverband Marburger Bund in einem vorliegenden Positionspapier externer Link …” Meldung vom 23.07.2018 bei heise news externer Link