Laborwerte und Befunde abrufbar – Wieder mangelnder Schutz von Gesundheitsdaten
Gesundheitsdaten gehören zu den sensibelsten Daten der Bürger, nicht umsonst gilt die Schweigepflicht in diesem Bereich. Beruhigenderweise wird bei der Übertragung und Sicherung ebendieser Daten ein hoher Schutzstandard versprochen – allerdings leider nicht wirklich gehalten.
Im Juni das zivilgesellschaftliche Kollektiv "Zerforschung", das IT-Sicherheitslücken aufdeckt, in zwei Digitalen Gesundheitsanwendungen für Depressions- und Brustkrebs-Patienten kritische Sicherheitslücken entdeckt, wodurch die IT-Expertin Lilith Wittmann auf Patientendaten zugreifen konnte. Früher hatte das ehrenamtliche Kollektiv eklatante Sicherheitslücken bei Corona-Testzentren festgestellt und publik gemacht.
Aktuell zeigt Zerforschung gravierende Mängel bei Softwarelösungen für Arztpraxen, zum Umgang mit digitalisierten Patientenakten und beispielsweise Laborbefunden oder zur Buchung von Terminen.
Die Experten von Zerforschung sind offenbar selbst überrascht, dass hier so viele, nämlich "mehr als eine Million Datensätze (…) – und zwar sensibelste Patienten-Daten inklusive Behandlungsverlauf" verloren gehen. Bei der Software "inSuite", die in vielen Arztpraxen zum Einsatz kommt, zeigten sich mehrere gravierende Mängel.
Während die Herstellerfirma Doc Cirrus absoluten Schutz der Patientendaten verspricht, bei dem unbefugte Zugriffe ausgeschlossen seien, und sogar eine Reihe von Zertifikaten auf der Webseite vorweisen, so von der Kassenärztlichen Bundesvereinigung und der DQS-Zertifizierungsstelle, konnten die IT-Experten sich nicht nur Zugriff auf E-Mail-Konten der bei "inSuite" registrierten Arztpraxen verschaffen und mit den E-Mail-Zugangsdaten im Namen der Praxis Mails versenden, sondern auch persönliche Patientendaten einsehen, samt Diagnosen, Laborbefunden oder Attesten.
Diagnosen, Laborbefunde, Blutwerte & Atteste von 1,75 Millionen Patient*innen waren online einsehbar. Und das obwohl Praxissoftwareanbieter DocCirrus die Patientinnendaten doch dezentral in "Datensafes" in den Praxen speichert. Was dabei genau schief ging: https://t.co/Wy6PY9eiR9
— zerforschung (@zerforschung) August 11, 2022
Laut dem Berliner Datenschutzbeauftragten wurde dieser informiert, dass "mehr als 60.000 Patienten von mehr als 270 Praxen betroffen" seien, insgesamt mehr als eine Million Datensätze. Das Unternehmen gab an, dass zu keinem Zeitpunkt sensible Daten abgeflossen seien und wahrscheinlich nur die IT-Experten Zugriff hatten. Patienten hat die Firma aber wohl nicht informiert.
Die Kassenärztliche Bundesvereinigung (KBV) derweil sieht ebenfalls keinerlei Verantwortung bei sich und teilte auf Anfrage laut Tagesschau mit: "Die IT-Sicherheit der einzelnen Praxisverwaltungssysteme liegt in den Händen der jeweiligen Anbieter."
Wie der Sprecher des Bundesdatenschutzbeauftragten Christof Stein erklärt, haben Softwarehersteller auch gar keine Verpflichtung, die Software – selbst wenn sensible Daten betroffen sind – in irgendeiner Art und Weise datenschutzkonform auszugestalten.
Die ehrenamtlichen IT-Experten fordern mehr Schutz der Daten, auch von den Softwarefirmen. Denn es handelt sich um "sehr sensible Daten", die "zu Recht in der DSGVO besonders geschützt sind".
"Hierfür vermissen wir bei Doc Cirrus – aber auch bei anderen Herstellern von Gesundheitssoftware – das nötige Bewusstsein."
Mehr zum Thema - Britische Patientendaten und COVID-19: Klage gegen Abkommen mit Spionagetechnikunternehmen Palantir
Durch die Sperrung von RT zielt die EU darauf ab, eine kritische, nicht prowestliche Informationsquelle zum Schweigen zu bringen. Und dies nicht nur hinsichtlich des Ukraine-Kriegs. Der Zugang zu unserer Website wurde erschwert, mehrere Soziale Medien haben unsere Accounts blockiert. Es liegt nun an uns allen, ob in Deutschland und der EU auch weiterhin ein Journalismus jenseits der Mainstream-Narrative betrieben werden kann. Wenn Euch unsere Artikel gefallen, teilt sie gern überall, wo Ihr aktiv seid. Das ist möglich, denn die EU hat weder unsere Arbeit noch das Lesen und Teilen unserer Artikel verboten. Anmerkung: Allerdings hat Österreich mit der Änderung des "Audiovisuellen Mediendienst-Gesetzes" am 13. April diesbezüglich eine Änderung eingeführt, die möglicherweise auch Privatpersonen betrifft. Deswegen bitten wir Euch bis zur Klärung des Sachverhalts, in Österreich unsere Beiträge vorerst nicht in den Sozialen Medien zu teilen.