Chaos Computer Club fordert mehr Sicherheit für Patientendaten
Der Chaos Computer Club (CCC) kritisiert, dass mit dem neuen Entwurf für das Gesetz zum Schutz elektronischer Patientendaten im sogenannten Telematik-Netzwerk schon zuvor aufgezeigte Mängel nun gesetzlich festgeschrieben werden sollen. Dabei habe die Bundesregierung zuvor zugesagt, die Mängel zu beseitigen.
Das Telematik-Netzwerk soll Arztpraxen, Krankenhäuser, Apotheken und Krankenkassen elektronisch als Gesundheitsnetzwerk miteinander verbinden. Mit der für den 1. Januar 2021 geplanten Einführung der elektronischen Patientenaktie sollen Gesundheitsdaten über das Netzwerk übermittelt werden. Patienten können ihre Daten für den Zugriff freigeben oder auch sperren.
In seiner Stellungnahme kritisiert der CCC unter anderem, dass die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) geforderten Sicherheitsstandards abgeschwächt werden. So wird in dem Gesetzentwurf darauf verzichtet, eine sichere Identifikation bei der Ausgabe der elektronischen Gesundheitskarte vorzuschreiben.
Der CCC hatte bereits im Dezember 2019 gezeigt, wie einfach sich eine elektronische Gesundheitskarte mit Daten von Dritten bestellen ließ. Dafür hatte es gereicht, der Krankenkasse eine vermeintlich neue Adresse per E-Mail mitzuteilen. Wer im Besitz der elektronischen Gesundheitskarte ist, wird auf sämtliche Daten einer Patientenakte zugreifen können.
DSGVO soll für Krankenkassen gelten
Die Krankenkassen, die die elektronischen Gesundheitskarten herausgeben, will der Gesetzentwurf zudem von den Sanktionsmöglichkeiten der Datenschutzgrundverordnung (DSGVO) ausnehmen. Dabei kämen die Krankenkassen ihrer datenschutzrechtlichen Verpflichtung “regelmäßig nicht nach”, wie sich bei der unzulässigen Ausstellung der elektronischen Gesundheitskarte an die CCC-Tester gezeigt habe. Denn dadurch können Unbefugte auf die Patientendaten zugreifen.
“Die im Gesetzentwurf vorgesehenen und im Verhältnis zum Ausgabevolumen der gesetzlichen Krankenkassen von mehr als 25 Milliarden Euro völlig unzureichenden Bußgeldvorschriften setzen keinen dringend notwendigen Anreiz zur Schließung dieser datenschutzrechtlichen Lücken”, heißt es in der Stellungnahme des CCC.
Der CCC warnt außerdem vor einer vorgesehenen Öffnungsklausel. Zwar sieht der Gesetzentwurf vor, dass Krankenkassen die Daten aus der elektronischen Patientenakte nicht verarbeiten dürfen, da diese einen besonderen Schutz genießen. Doch über die Einwilligung von Versicherten könnten Krankenkassen an Informationen gelangen, “die zurecht der ärztlichen Schweigepflicht unterliegen”. Dies sei ein großes Risiko. Der CCC fordert daher, den Gesetzentwurf so abzuändern, dass Krankenkassen nicht an Daten gelangen können, die ihnen nicht zustehen.
Schwachstellen weiterhin nicht beseitigt
“Die Schwachstellen wurden zunächst theoretisch angemahnt. Dann haben wir sie praktisch demonstriert. Eine Behebung wurde medienwirksam angekündigt. Und doch werden sie weiter ignoriert. Dieser Umgang ist einfach fahrlässig”, sagte Martin Tschirsich vom CCC, der als Sachverständiger vor dem Gesundheitsausschuss zu dem neuen Gesetzentwurf Stellung nahm.
Der CCC hatte im Dezember 2019 auch demonstriert, dass Unbefugte leicht Arzt- und Praxisausweise mit Daten Dritter bestellen können. In einem Test zusammen mit dem NDR und Spiegel wurde ein Arztausweis sogar an einen Käseladen geliefert. Die nötigen PIN-Briefe kamen ebenfalls an. Die für die elektronische Gesundheitskarte verantwortliche Gesellschaft Gematik hatte damals zugestimmt, dass ein sicheres Identifizierungsverfahren bei der Kartenherausgabe die Voraussetzung für die sichere Nutzung des Gesundheitsdatennetzwerk sei. Die Sicherheitslücken seien “nicht hinnehmbar”, so Gematik damals.
Schon damals hatte der CCC gefordert, die elektronische Gesundheitskarte als Identitätsnachweis einzuführen. Wie beim Personalausweis müsste man zur Beantragung dann persönlich erscheinen und seine Identität nachweisen. Außerdem hatte der CCC eine unabhängige Stelle gefordert, die die Sicherheit von Telematik regelt und auch überprüft. (js)