EU Datenschutz Grundverordnung 2018

KW 7: Verschlüsselung ist nicht Alles – aber ohne Verschlüsselung ist alles Nichts!

Autor:

Joachim Jakobs

Unternehmen müssen sich vor Diebstahl von „intelligenten“ Geräten schützen – und Risiken vorbeugen, um peinliche Meldungen zu vermeiden.

Die Nürnberger Versicherung schlägt Alarm: „Einbrecher wählen oft Gewerbebetriebe. Fenster aufgehebelt, Betriebseinrichtung beschädigt, Bargeld, Waren, Computer und Notebooks gestohlen: Gewerbeobjekte sind immer häufiger das Ziel von Einbrechern.“ Auch das Gesundheitswesen bleibt nicht verschont: 2014 soll eine Krankenschwester in den USA einen Laptop und ein Handy mit den Daten von 2700 Patienten gestohlen haben. Im September 2015 verlangte das HIPAA-Journal: „Die jüngsten Fälle von Diebstählen mobiler Geräte unterstreichen die Notwendigkeit der Datenverschlüsselung im Gesundheitswesen“. Die Wahrscheinlichkeit eines Datendiebstahls soll nach Erkenntnis von Symantec im Gesundheitswesen doppelt so hoch sein „wie in jeder anderen Branch“.

Die Entwicklung scheint hierzulande angekommen zu sein: „Einbruchdiebstahl in Krankenhau“ meldete die Polizeidirektion Neustadt/Weinstraße im vergangenen August. Es sollen „medizinische Geräte im Wert von etwa 400.000 Euro“ im Pfälzischen Bad Dürkheim abhanden gekommen sein. Diese hätten sich in einem „für die Allgemeinheit nicht zugänglichen Bereich“ befunden. Es bestünde „die Möglichkeit, dass Patienten in nicht dringlichen Fällen an umliegende Krankenhäuser verwiesen werden müssen“. Was für ein Glück, dass sich nach Aussage von Pressesprecherin Susanne Liebold auf den gestohlenen Endoskopen keine personenbezogenen Daten befunden haben! Das könnte sich ändern: Am Koreanischen Institute for Basic Science (IBS) wurde vor zwei Jahren ein „intelligentes“ Endoskop vorgestellt , das den Darmkrebs nicht nur erkennen, sondern auch noch chemotherapeutisch oder gar per Laser entfernen können soll. Die Wissenschaftler erhoffen sich davon eine personalisierte und präzise Behandlung für die Patienten. „Personalisiert“ ist das Stichwort: Daten werden gewonnen und anhand dieser Daten wird der Patient dann im selben Arbeitsgang behandelt. Wo werden die Daten gespeichert? Auf dem Gerät? Oder auf einem externen Speicher?

„Dringlich“ – ein sehr relativer Begriff! Wäre ich Darmkrebspatient und mir wäre da was entfernt worden, empfände ich meine Nachuntersuchung vermutlich als ziemlich dringlich und würde entsprechend doof aus der Wäsche gucken, wenn mir eröffnet würde, dass die Kontrolluntersuchung ausfallen müsse, weil die Endoskope mitsamt meinen Daten geklaut wurden. Ich könnte zwar zu einer anderen Klinik gehen, aber die Vergleichsbilder wären wohl weg.

Das Gesundheitswesen digitalisiert sich – dieser Prozess ist so wichtig, dass dafür ein Modell geschaffen wurde, um den Digitalisierungsgrad eines Krankenhauses messen zu können: Dieses wichtige Instrument heißt „Electronic Medical Report Adoption Model (EMRAM)“ und wurde von der „Healthcare Information and Management Systems Society“ entwickelt.


C-IAM GmbH:

Beratung für DSGVO 0228 534-592-35


Da herrscht reger Wettbewerb um den ersten Platz: Der Fortschrittsbalken der Medius Klinik Nürtingen scheint seinen Wettbewerbern voraus zu sein: „Als erste Einrichtung in Deutschland“ habe sie „das Zertifikat bekommen, das dem Haus das Erreichen der Stufe 6 bescheinigt –und damit die höchste IT-Durchdringung aller Kliniken in Deutschland, die sich der Begutachtung durch die HIMSS stellen.“ schrieb „kma online“ vor einem Jahr. Was für eine Frechheit! Das Universitätsklinikum Hamburg Eppendorf beansprucht ! diesen Thron mit der Stufe 7! Europaweit! – und das bereits seit 2015!

Die Patientenakten aus Papier sind in elektronische Speicher von Patienten-Handys, medizinischen Geräten und den Patientendatenmanagementsystemen verschwunden. Nicht nur in den Datenspeichern , sondern auch unterwegs müssen die Daten nach DSGVO verschlüsselt sein. Und zwar nicht irgendwie, sondern nach dem Stand der Technik –und zwar nachweisbar! Allein in der Radiologie gibt es eine Fülle von Datenträgern: Festplatten, Disketten, optische Speichermedien, USB-Speicher und SSD-Karten.

Bislang scheint es jedoch vor allem darum zu gehen, möglichst viel computerimplementierte Intelligenz unters Volk zu bringen: Bis 2025 soll der Markt für schlaue medizinische Geräte auf 24,46 Milliarden Dollar wachsen . Die Adressaten machen begierig Gebrauch von diesen Möglichkeiten: Jochen Werner, Ärztlicher Direktor und Vorstandvorsitzender des Universitätsklinikums Essen sieht die Zukunft im „intelligenten Krankenhaus“, „in dem die Handlungen, Befunde und Maßnahmen des medizinischen Personals ebenso in eine elektronische Krankenakte einfließen, wie die über medizinische Geräte generierten Daten.“ Hinzu komme ein digital unterstütztes Call Center und die Anbindung eines sektorenübergreifenden Telemedizinnetzes. Das Smart Hospital Essen werde „zudem einen App Store, ein Robot-Center, eine Abteilung für 3-D-Druck und ein Data Warehouse umfassen. Eine ganz besondere Rolle wird kognitiven Computersystemen zukommen, mit verbreiteter Anwendung von Künstlicher Intelligenz zunächst zur Erleichterung repetitiver Vorgänge und ebenso im Kontext von Musteranalysen diagnostischer Fächer“.

Eine Herausforderung für 6.250 Mitarbeiterinnen, um jährlich 50.000 Patienten in 1.300 Betten stationär und weitere 195.000 ambulant zu versorgen . Es wimmelt also nur so vor Daten, die in Speichern aller Art ruhen oder per Kommunikationstechnik hin- und hergeschaufelt werden! Die Pressestelle des Klinikums konnte jedoch bis Redaktionsschluss nicht die Frage beantworten, ob denn das Klinikum bereits eine Datenschutzfolgeabschätzung (DSFA) für jede einzelne dieser Anwendungen aus der Zukunft unternommen hat. Schlimmer noch: Nicht einmal die DSGVO als solche schien dort ein Begriff zu sein!

Die DSFA wäre nämlich nach Art. 35 DSGVO notwendig – nicht nur, weil es sich nach Artikel 9 um „besondere Kategorien personenbezogener Daten handelt, sondern auch, weil mit deren Verarbeitung Risiken oder gar hohe Risiken (Erwägungsgrund 76 ) verbunden sein dürften. Weitere Informationen zur DSFA gibt’s in dieser Ausgabe von Chefsache: Datensicherheit!

„Nach einer Risikobewertung“ heißt es in § 64 BDSG (neu) seien „Maßnahmen zu ergreifen, die Folgendes bezwecken:

  1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle),
  2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle),
  3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle),
  4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle),
  5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle),
  6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),
  7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle),
  8. Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle),
  9. Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit),
  10. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),
  11. Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),
  12. Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
  13. Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
  14. Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit).“


Mit anderen Worten: Sie müssen nachweisen können, dass die von Ihnen gesammelten personenbezogenen Daten nur zu dem Zweck –und zwar ausschließlich von den Berechtigten! – verarbeitet werden, den Sie in Ihrem Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DSGVO definiert haben. Diese berechtigte Verarbeitung muss aber jederzeit stattfinden können.

Die Sicherheit medizinischer Großgeräte in für die Allgemeinheit nicht zugänglichen Bereichen können Fenster, Türen , Tresore , Schließzylinder , Schließ- und Alarmanlagen sicherstellen.

Darüberhinaus beschäftigt sich die VdS Schadenverhütung mit Methoden zur Prüfung von „Sicherungen gegen Wegnahme leicht transportabler Gegenstände“.

Die Spanne reicht von „Klasse 1 – Wegnahmesicherheit gegen Blitzzugriff“ bis zur „Klasse 4 – Hohe Wegnahmesicherheit“. Nehmen wir mal an, Sie kämen in Ihrer Risikoanalyse zu dem Ergebnis, dass Ihre schlauen Endoskope nach Klasse 4 zu schützen sind – dann wäre für die VdS die Konsequenz, dass die Gegenstände „durch eine allseitige Umfassung (z.B. Umschrank aus Stahlblech) gegen Zugriff und Abtransport gesichert“ werden.

Weiter schreibt die VdS: „Hinsichtlich der potenziellen Täter wird eine hohe kriminelle Energie (Risiko- und Einsatzbereitschaft so wie die Verwendung hochwertiger Werkzeuge (z.B. Bolzenschneider, Schlagwerkzeug) bei längerer Einwirkdauer oder Intensität angenommen.“

Für Notebooks etwa gibt es allerlei Angebote, um sich vor Dieben zu schützen. Ob die jedoch dem Stand der Technik entsprechen, sei dahingestellt. Eine praktikable Lösung für Geräte, die in kleinste Körperöffnungen passen, scheint das aber nicht zu sein. Endoskope müssen wohl zusammen mit den Großgeräten eingesperrt werden.

90 Prozent der Verbraucher erwarten , dass die Sicherheit zu den Leistungsmerkmalen der schlauen Produkte gehört. Womöglich gilt das umso mehr für Produkte in der Medizin. Was jedoch die Verbreitung „eingebauter Sicherheit“ angeht, scheint das Bayerische Landesamt für Datenaufsicht wenig zuversichtlich sein: Risiken könnten nach Ansicht der Behörde „bei den meisten Vorfällen“ nicht ausgeschlossen werden.

Wenn es schiefgeht und (hohe) Risiken für die Betroffenen zu befürchten sind, sind die Aufsichtsbehörde und die Betroffenen „unverzüglich“ zu informieren. Artikel 34 DSGVO verlangt : „Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen und Empfehlungen.“

Jetzt die Inhalte von Artikel 33 (3) DSGVO: Die Meldung an die Aufsichtsbehörde „enthält zumindest folgende Informationen:
  1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  4. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.


Diese Meldung könnte nach Ansicht der Aufsichtsbehörde in Bayern „im Alltag eines Unternehmens als große Herausforderung herausstellen“. Die Nachricht an die Aufsichtsbehörde ist sogar mit einer Zeitbeschränkung versehen: 72 Stunden! Klappt das in dieser Frist nicht, „so ist ihr eine Begründung für die Verzögerung beizufügen“, so die Drohung des Gesetzgebers. Die Rechtsanwältin Marlene Schreiber weiß jedoch einen Weg, um die peinlichen Eingeständnisse zu vermeiden: Durch eine Verschlüsselung der Daten könnten die Risiken vermieden werden. Ohne Risiko keine Pflichtmitteilung, so die Botschaft.

Dabei hilft der Gesetzgeber kräftig, die Risiken zu vermeiden: Die Verschlüsselung personenbezogener Daten ist in Artikel 32 (1)a ohnehin verpflichtend vorgesehen. Im Absatz 4 dieses Artikels geht’s dann um die aus §64 (3) Nr. 4 BDSG (neu) bereits bekannte Benutzerkontrolle.

Bis 2020 soll es 50 Milliarden vernetzte Geräte geben . Die Betreiber der professionell eingesetzten Geräte haften dabei nach Ansicht der Bundesdatenschutzbeauftragten für die Hersteller mit: Sie ist der Ansicht , dass sich die Rechenschaftspflicht der Unternehmen nicht nur auf das eigene Handeln, sondern auch auf „Nutzeroberflächen und Betriebssysteme“ und „natürlich auch“ auf „Hardwarekonfigurationen“ bezieht.

Die Hersteller würden jedoch keine Daten verarbeiten und somit „grundsätzlich nicht unter den Anwendungsbereich der DSGVO fallen“. Daher seien „in der Regel die Nutzer der Hardware verantwortlich, diesen Nachweis zu führen“. Dazu seien diese „jedoch wiederum häufig faktisch nicht in der Lage“. Die Behörde rät den Nutzern, die Lieferanten „im Rahmen ihrer zivilrechtlichen Vertragsgestaltung“ in die Pflicht zu nehmen, „um Ihrer gesetzlichen Nachweispflicht genügen zu können“.

Auf einer Internetseite mit dem Titel „Cybersecurity at Siemens Healthineers“ heißt es dazu: „Rollenbasiertes Benutzermanagement ermöglicht es Ihnen, die Rechte für jeden Nutzer Ihren Bedürfnissen anzupassen. Zusammen mit der Verschlüsselung der Daten und der Aktionshistorie für die Änderungskontrolle vermindert sich das Risiko unauthorisierter Datenzugriffe und Datenverlust oder -diebstahl und liefert forensische Informationen.“

Das hätte ich gern genauer gewusst:
  1. Was tut die Siemens Healthcare GmbH zur physikalischen Sicherung ihrer Geräte?
  2. Bietet das Unternehmen ihren Kunden die Möglichkeit, ihre kompletten Datenbanken, die Datensätze der einzelnen Patienten oder gar die einzelnen Datenfelder (wie „Name“, „Wohnort“, „Geburtsdatum“) dieser Datensätze in Abhängigkeit vom ihrer jeweiligen Risikoanalyse zu verschlüsseln?
  3. Welchen Verschlüsselungsalgorithmus verwendet der Anbieter?
  4. Gibt es –ähnlich wie in Notebooks einen Agenten im BIOS mit Geolokalisierungs-Funktion, der Alarm schlägt, wenn er am „falschen“ Ort betrieben wird?
  5. Wie differenziert ist das Berechtigungsmanagement ?
Diese Fragen biegt Künzel aber ab: „Detaillierte Erläuterungen zu Schutzmaßnahmen sind aus Gründen der Datensicherheit leider nicht möglich“. Wieso weitere Informationen zum Diebstahlschutz oder zum Verschlüsselungsstandard die Datensicherheit untergraben sollen, erschließt sich mir nicht. Vielmehr wird der Verdacht genährt, dass hinter den schönen Worten nur wenig Substanz steckt.

Denken Sie also bei der Entwicklung Ihres Datenschutzmanagementsystems daran, die Lieferanten Ihrer Geräte zivilrechtlich in die Pflicht zu nehmen. Verschlüsseln Sie die Daten und pflegen ein Benutzermanagement. So müssen Sie beim Diebstahl von Geräten mit deren Verlust klarkommen, müssen sich aber keine Gedanken über die Sicherheit der Daten und Ihrer Patienten machen! – Und keine Angst wegen möglicher Geldbußen oder Schadenersatzforderungen haben.