Gesundheitsdaten gehören zu den sensibelsten Daten der Bürger, nicht umsonst gilt die Schweigepflicht in diesem Bereich. Beruhigenderweise wird bei der Übertragung und Sicherung ebendieser Daten ein hoher Schutzstandard versprochen – allerdings leider nicht wirklich gehalten.
Im Juni das zivilgesellschaftliche Kollektiv "Zerforschung", das IT-Sicherheitslücken aufdeckt, in zwei Digitalen Gesundheitsanwendungen für Depressions- und Brustkrebs-Patienten kritische Sicherheitslücken entdeckt, wodurch die IT-Expertin Lilith Wittmann auf Patientendaten zugreifen konnte. Früher hatte das ehrenamtliche Kollektiv eklatante Sicherheitslücken bei Corona-Testzentren festgestellt und publik gemacht.
Aktuell zeigt Zerforschung gravierende Mängel bei Softwarelösungen für Arztpraxen, zum Umgang mit digitalisierten Patientenakten und beispielsweise Laborbefunden oder zur Buchung von Terminen.
Die Experten von Zerforschung sind offenbar selbst überrascht, dass hier so viele, nämlich "mehr als eine Million Datensätze (…) – und zwar sensibelste Patienten-Daten inklusive Behandlungsverlauf" verloren gehen. Bei der Software "inSuite", die in vielen Arztpraxen zum Einsatz kommt, zeigten sich mehrere gravierende Mängel.
Während die Herstellerfirma Doc Cirrus absoluten Schutz der Patientendaten verspricht, bei dem unbefugte Zugriffe ausgeschlossen seien, und sogar eine Reihe von Zertifikaten auf der Webseite vorweisen, so von der Kassenärztlichen Bundesvereinigung und der DQS-Zertifizierungsstelle, konnten die IT-Experten sich nicht nur Zugriff auf E-Mail-Konten der bei "inSuite" registrierten Arztpraxen verschaffen und mit den E-Mail-Zugangsdaten im Namen der Praxis Mails versenden, sondern auch persönliche Patientendaten einsehen, samt Diagnosen, Laborbefunden oder Attesten.
Laut dem Berliner Datenschutzbeauftragten wurde dieser informiert, dass "mehr als 60.000 Patienten von mehr als 270 Praxen betroffen" seien, insgesamt mehr als eine Million Datensätze. Das Unternehmen gab an, dass zu keinem Zeitpunkt sensible Daten abgeflossen seien und wahrscheinlich nur die IT-Experten Zugriff hatten. Patienten hat die Firma aber wohl nicht informiert.
Die Kassenärztliche Bundesvereinigung (KBV) derweil sieht ebenfalls keinerlei Verantwortung bei sich und teilte auf Anfrage laut Tagesschau mit: "Die IT-Sicherheit der einzelnen Praxisverwaltungssysteme liegt in den Händen der jeweiligen Anbieter."
Wie der Sprecher des Bundesdatenschutzbeauftragten Christof Stein erklärt, haben Softwarehersteller auch gar keine Verpflichtung, die Software – selbst wenn sensible Daten betroffen sind – in irgendeiner Art und Weise datenschutzkonform auszugestalten.
Die ehrenamtlichen IT-Experten fordern mehr Schutz der Daten, auch von den Softwarefirmen. Denn es handelt sich um "sehr sensible Daten", die "zu Recht in der DSGVO besonders geschützt sind".
"Hierfür vermissen wir bei Doc Cirrus – aber auch bei anderen Herstellern von Gesundheitssoftware – das nötige Bewusstsein."
Mehr zum Thema - Britische Patientendaten und COVID-19: Klage gegen Abkommen mit Spionagetechnikunternehmen Palantir