Schlagwort: Patientendaten

Leichter Zugriff auf Millionen von Patientendaten

18. Februar 2020

Wie bereits berichtet, war erst vor ein paar Tagen ein Datenleck beim Deutschen Roten Kreuz bekannt geworden. Dieses hatte Hackern den Zugriff auf ca. 100.000 Gesundheitsdaten ermöglicht.

Zusätzlich hat das C‘t Computermagazin herausgefunden, dass Millionen von Patientendaten nicht ausreichend gesichert sind und eine erhöhte Gefahr für Hackerangriffe besteht. Grund dafür ist erneut die Verwendung von zu schwachen Passwörtern.

Die von den Medizinern beauftragten IT-Dienstleiter raten den Praxen zu einfachen Passwörtern (wie z.B. „praxis123“), um den Mitarbeitern die Arbeit mit der Software zu erleichtern. Diese Kennwörter sind jedoch aufgrund der fehlenden Komplexität für Hacker leicht zu knacken. Nach Berechnungen des NDR sind dadurch ca. 8,5 Millionen Patienten-Datensätze akut bedroht.

Laut Ronald Eikenberg von der Computerzeitschrift C’t wird bereits eine Patientenakte auf dem Schwarzmarkt mit bis zu 2000 € gehandelt. Nach dem Erwerb der Patientendaten werden die Personen mitunter mit der Veröffentlichung der Krankheitsinformationen erpresst. Oft ermöglichen die Informationen auch einen Rückschluss auf weitere, weniger sensible Zugangsdaten. In vielen Fällen erfahren die Patienten erst Jahre später von dem Datendiebstahl.

Ärzte und Therapeuten kennen sich selten mit dem Thema Datensicherheit aus und müssen sich „blind“ auf die beauftragten IT-Dienstleister verlassen. Eine Hilfestellung dazu, welches EDV- Unternehmen einen geeigneten Schutz für die sensiblen Daten bietet, gibt es nicht. Daher fordert die Vereinigung der niedersächsischen Kassenärzte, dass der Gesetzgeber ein Gütesiegel oder Zertifikat einführt, dass vertrauenswürdige EDV- Unternehmen auszeichnet.

Sensible Patientendaten beim Deutschen Roten Kreuz gehackt

13. Februar 2020

Laut Berichten der Süddeutschen Zeitung, des BR und des RBB hat ein 18-jähriger Hacker problemlos auf zehntausende Patientenakten von Kreisverbänden des Deutschen Roten Kreuzes zugreifen können. Betroffen waren dabei nicht nur Stammdaten, sondern auch sensible Patienten- und Krankeninformationen.

Der Hacker hatte die Webseite eines Kreisverbandes in Brandenburg bereits im November letzten Jahres gehackt und einen der Verbände über die Sicherheitslücken informiert. Um aufzuzeigen wie einfach er dabei vorgehen konnte, fertigte er ein drei minütiges Beweisvideo an. Darauf greift er auf das DRK-Fahrdienst-System in Frankfurt (Oder) zu. Neben der Einsicht der Patientendaten wäre es für den Hacker an dieser Stelle leicht gewesen Fahrten zu löschen.

Das DRK sperrte daraufhin die betroffene Seite. Eine Meldung bei den zuständigen Behörden blieb jedoch aus. Der Hacker griff darauf Mitte Januar erneut auf die Daten zu und informierte Journalisten über die Sicherheitslücken.

Laut DRK-Generalsekretariat und der Landesverband Brandenburg sind die Vorfälle regional begrenzt. Außerdem bestehe keine einheitliche IT-Struktur. Die Vorfälle werden aber zum Anlass genommen alle Webseiten der Landesverbände und der Schwesternschaften der DRK auf ihre Datensicherheit zu überprüfen.

Die Betreiber der Seite hatten zu schwache Passwörter genutzt. Zudem handelte es sich um eine für diesen Typ von Datenbaken bereits bekannte Sicherheitslücke.

Geldbuße gegen Krankenhaus in Rheinland-Pfalz

12. Dezember 2019

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) verhängte gegen ein Krankenhaus ein Bußgeld in Höhe von 105.000 Euro. Grund dafür sind mehrere Verstöße gegen die Datenschutz-Grundverordnung im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme des Patienten.

Dies führte zu falschen Rechnungsstellungen und offenbarte strukturelle technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement.

Der Landesbeauftragte, Prof. Dr. Kugelmann, betont: „Vorrangiges Ziel der Abhilfe- und Sanktionsmaßnahmen ist es, bestehende Defizite abzustellen und den Datenschutz zu verbessern. Geldbußen sind hierbei ein Instrument unter mehreren. Neben ihrer Sanktionswirkung enthalten sie immer auch ein präventives Element, indem deutlich wird, dass Missständen konsequent nachgegangen wird. Mir kommt es darauf an, dass mit Blick auf die besondere Sensibilität der Daten beim Gesundheitsdatenschutz substanzielle Fortschritte erzielt werden. Daher hoffe ich, dass die Geldbuße auch als Signal gewertet wird, dass die Datenschutzaufsichtsbehörden auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag legen.“

Vermehrte Datenpannen mit sensiblen Daten

3. Dezember 2019

Bei einer Abfrage des NDR bei den Datenschutzbehörden der Länder stellte sich heraus, dass sensible Daten von Patientinnen und Patienten in großer Zahl an falsche Adressen verschickt werden. Es wurden 850 Datenpannen durch Fehlversendungen von Patiententendaten gemeldet, wobei sechs Bundesländer keine Angaben machten.

Die Pannen kommen laut dem Bericht des NDR in allen Gesundheitsbereichen vor, sei es Kliniken oder Abrechnungsstellen. Ursächlich ist in der Regel menschliches Versagen durch falsche Adressierung, Kuvertierung, Verwechslung von Patienten und Ärzten oder Tippfehler.

Eine besonders auffällige Häufung der Datenpannen zeigte sich in einem Krankenhaus in Hamburg. So hatte die Asklepios Klinik Altona seit 2013 insgesamt elf Briefe mit vertraulichen Patientendaten fälschlich an eine Hamburger Psychotherapeutin verschickt, die mit den Patienten nichts zu tun hatte. Es drohen hohe Bußgelder für solche Datenpannen.

Neues Implantateregister-Errichtungsgesetz schränkt Recht auf informationelle Selbstbestimmung ein

28. Oktober 2019

Das Gesetz soll die Sicherheit und Qualität von Implantationen verbessern. Abstriche werden beim Datenschutz gemacht. Das Gesetz enthält eine Beschränkung der Rechte der betroffenen Patientinnen und Patienten.

Der Deutsche Bundestag hat am 26. September 2019 in 2./3. Lesung das „Gesetz zur Errichtung eines Implantateregisters Deutschland und zu weiteren Änderungen des Fünften Buches Sozialgesetzbuch“ (Implantateregister-Errichtungsgesetz, EIRD) beschlossen. Es soll am 1. Januar 2020 in Kraft treten

Damit die Aussagefähigkeit des Registers gewährleistet werden könne, ist die Meldung an das Register für Gesundheitseinrichtungen, gesetzliche und private Krankenversicherungen und Patienten verpflichtend. Dadurch ist das Recht auf Widerspruch gegen die Datenverarbeitung, welches dem Patienten eigentlich nach Art. 21 DSGVO zusteht, ausgeschlossen. Ebenso verhält es sich mit dem Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, dieses wird ebenfalls durch den § 26 EIRD ausgeschlossen. Und das, obwohl es sich bei den Patientendaten um besonders sensible Daten im Sinne des Art. 9 DSGVO handelt, welche besonders schutzwürdig sind.

Die Registerstelle für die zentrale Datensammlung wird beim Deutschen Institut für Medizinische Dokumentation und Information (DIMDI) errichtet. 

Hochsensible medizinische Daten frei verfügbar im Netz

17. September 2019

Patienten aus Deutschland und den USA betroffen.

Datensätze von weltweit mehreren Millionen Patienten sind im Netz für jedermann frei zugänglich. Auf dieses Datenleck stießen Reporter vom Bayrischen Rundfunk und von ProPublica, einer amerikanischen Plattform für investigativen Journalismus, während einer gemeinsamen Recherche.

Teil der betroffenen Datensätze sind auch Bilder aus medizinischen Untersuchungen, welche unter anderem Brustkrebsscreenings, Wirbelsäulenbilder und Röntgenaufnahmen eines Brustkorbs zeigen. Der Großteil der Datensätze weist einen Personenbezug auf: Geburtsdatum, Vor- und Nachname, Termin der Untersuchung und Informationen über den behandelnden Arzt oder die Behandlung selbst. Diese sensiblen und damit besonders schützenswerten Daten lagen auf ungeschützten Servern.

Betroffen sind in Deutschland rund 13.000 Datensätze, wovon der größte Teil von Patienten aus dem Raum Ingolstadt (Bayern) und aus Kempen (Nordrhein-Westfalen) stammt. Doch auch weltweit sind nach Auswertungen von ProPublica Patientendaten betroffen. In den USA sei das Ausmaß besonders hoch.

Der Bundesbeauftragte für Datenschutz, Ulrich Kelber, zeigte gegenüber dem BR auf, welche Konsequenzen ein solches Datenleck haben kann: „Sie möchten nicht, dass ein Arbeitgeber, ein Versicherungskonzern, eine Bank diese Daten kennt und ihnen keinen Vertrag oder keinen Kredit gibt.“

Laut Informationen des Bayrischen Rundfunks wurde der Fall Ingolstadt bei dem Bayerischen Landesamt für Datenschutzaufsicht, der zuständigen Behörde, angezeigt. Welche aufsichtsbehördlichen Maßnahmen die Behörde treffen wird, bleibt abzuwarten.

Zugriff auf Patientendaten zukünftig über das Smartphone

16. Juli 2018

Die Mitglieder der gesetzlichen Krankenversicherungen sollen zukünftig über ihr Smartphone oder Tablet auf ihre Patientendaten zugreifen können.

Der Gesundheitsminister Jens Spahn beabsichtigt bereits ab 2021 diese neue Zugriffsmöglichkeit einzuführen.

Laut FAZ will der Gesundheitsminister noch im Juli die erforderlichen Vorgaben gegenüber den betroffenen gesetzlichen Krankenversicherungen tätigen.

Das Ziel der neuen Zugriffsmöglichkeit soll darin bestehen für die Versicherten die Nutzungsfreundlichkeit zu erhöhen und eine weitere Zugriffsoption zu schaffen.

Mit Einführung der neuen Option soll speziell die Digitalisierung vorangetrieben werden.

Die Zugriffsmöglichkeit auf Patientendaten über das Smartphone oder Tablet bedeutet jedoch laut dem Gesundheitsminister nicht die letzte Erweiterung in diesem Bereich. Daneben sollen im Rahmen der elektronischen Patientenakte auch die bisherigen Zugänge und Authentifizierungsverfahren erweitert werden. Im Gespräch ist ein vergleichbarer Zugang wie beim Online-Banking über die Verwendung von TAN und PIN.

 

Gestattung innovativer Datennutzungen in der Gesundheitswirtschaft

26. Juni 2018

Zur Gewährleistung des Aktionsplans eHealth haben acht Industrieverbände ein Zielbild-eHealth erarbeitet.

Durch das Zielbild wollen die beteiligten Industrieverbände eine Grundlage für die Umsetzung des Aktionsplans-eHealth schaffen. Nach dem Zielbild sollen insbesondere innovative Datennutzungen gestattet werden. Dafür werden in dem Zielbild Reformansätze für den Datenschutz medizinischer Daten formuliert. Im Mittelpunkt der Reformansätze des eHealth-Zielbildes steht der Gedanke, dass die Zweckbindung für die medizinische Forschung nicht mehr gelten soll. Stattdessen sollen die Daten durch eine leistungs- und flächendeckende Netz und Kommunikationsinfrastruktur in einem offenen und gesicherten Datenraum zur Verfügung stehen, um so den Nutzen für den Patienten zu steigern. Ebenso soll die Reform das Sicherheitsniveau erhöhen. Laut dem Zielbild soll gerade der angestrebte digitale Prozess eine Steigerung der Sicherheit gegenüber analogen Dokumentationsprozessen bewirken.

Die Verbände begründen diese Reform zudem mit der wirtschaftlichen Bedeutung der Gesundheitswirtschaft mit einem Umsatz von 76,7 Milliarden Euro und über sieben Millionen Erwerbstätigen. Angesichts dieser Bedeutung solle die Gesundheitswirtschaft laut dem Zielbild durch diese Reform erhalten und gestärkt werden. Die datenschutzrechtliche Zweckbindung dürfe die Entwicklung und Anwendung von Big-Data Anwendungen und innovativem Daten-Hosting nicht beeinträchtigen. Laut dem Zielbild erfordere gerade die Entwicklung in der medizinischen Forschung auch eine Verwendung von Daten über den ursprünglichen Zweck hinaus, da in diesem Bereich oftmals zukünftige Verwendungen nicht bei Erhebung der Daten absehbar seien.

Die Verbände wollen dafür eine neue Form der Einwilligung einführen in Form von elektronischen Einwilligungsmodellen. Ungeachtet der neuen Einwilligungsmodelle soll eine patientenorientierte Versorgung weiterhin das Leitbild bleiben.

Zusätzlich sollen die Bürger durch eine bundesweite Aufklärungskampagne von den Änderungen in Kenntnis gesetzt werden, um so eine Aufklärung über die Vernetzung im Bereich der Forschung zu ermöglichen.

Datenschutzmängel in Berliner Krankenhäusern

7. April 2017

Die Datenschutzbeauftragte Maja Smoltczyk moniert den Umgang der Berliner Gesundheitsbehörden mit Gesundheitsdaten, insbesondere im Zusammenhang mit Patientendaten in Berliner Krankenhäusern. In ihrem aktuellen Tätigkeitsbereich kritisiert die Berliner Datenschutzbeauftragten die fehlende Ausstattung der Gesundheitsbehörden unter anderem mit moderner Technik und den erforderlichen Ressourcen. Vor diesem Hintergrund lassen sich Datenpannen, wie das unbeabsichtigte Offenlegen von Patientendaten gegenüber unbeteiligten Dritten durch die Gesundheitsbehörden, nicht verhindern.

Erhebliche Kritik äußerte die Datenschutzbeauftragte auch hinsichtlich einer mangelnden Erfassung dezentraler Prozesse innerhalb von Tochtergesellschaften der Krankenhäuser oder einer lückenhaften Umsetzung der IT Sicherheitsvorgaben bei Wartungen von Krankenhaus-ITs.

In diesem Zusammenhang wird der aktuelle Entwurf des neuen Bundesdatenschutzgesetzes, nach dem die Datenschutzaufsichtbehörden keine Kontrollen mehr vor Ort im Arbeitsbereich von Berufsgeheimnisträgern ausüben dürfen, keinesfalls zu einem besseren Schutzniveau der Berliner Gesundheitsdaten führen. Denn ob die Krankenhäuser die ihnen datenschutzrechtlich vorgegebenen Maßnahmenergreifungen auch tatsächlich umsetzen, könnten die Aufsichtsbehörden demnach überhaupt nicht mehr nachkontrollieren.

Neues E-Health-Gesetz begegnet datenschutzrechtlichen Bedenken

9. Dezember 2015

Am vergangenen Freitag wurde das „Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen“, das sogenannte E-Health-Gesetz, verabschiedet. Es regelt die digitale Nutzung und den Austausch von Patientendaten. Ärzte sollen danach zukünftig bei einem Notfall in der Lage sein, von der Gesundheitskarte des Patienten Informationen über seine Vorerkrankungen, Allergien und die ihm verschriebenen Medikamente abzurufen.

Nach den Plänen von Bundesgesundheitsminister Gröhe soll Mitte des Jahres 2016 mit der Online-Anbindung von Krankenhäusern und Arztpraxen an die telematische Infrastruktur begonnen werden. Problematisch ist jedoch, dass bis dahin die notwendigen Tests, die unter anderem Aufschluss über die Datensicherheit der Kommunikationsvorgänge zwischen Praxen und Krankenhäusern einerseits und den gesetzlichen Krankenversicherungen anderseits geben sollen, voraussichtlich nicht abgeschlossen sein werden. Vor allem werden Erkenntnisse darüber erwartet, ob die Sicherheit der Stammdaten gewährleistet ist und die Daten-Überprüfung bzw. Aktualisierung tatsächlich in wenigen Sekunden erfolgen kann. So bewertete auch die gesundheitspolitische Sprecherin der Grünen-Fraktion, Maria Klein-Schmeink, die Regelungen zum Datenschutz im E-Health-Gesetz als unzureichend, wie ihre Fraktion auch in ihrem Antrag vor dem Bundestag klarstellte. Es bleibt daher abzuwarten, ob der Zeitplan des Bundesgesundheitsministers tatsächlich eingehalten werden kann und welcher Änderungen die Telematikinfrastruktur noch bedarf.

1 2 3