Am 6. Februar ist Safer Internet Day. An diesem Tag geht es darum, die Menschen für einen verantwortlichen und bewussten Umgang mit dem Internet und dessen Gefahren zu sensibilisieren. Dazu gibt es allen Anlass, denn die Onlinekriminalität wächst ständig. Sie erreicht auch Gesundheitseinrichtungen. Nach einem Cyberangriff auf die IT-Infrastruktur eines Krankenhauses in Lippstadt, richtet sich der Blick auf ein wichtiges Anliegen: Datenschutz braucht Datensicherheit.
Die Datenschutz-Grundverordnung (DS-GVO) und ihre flankierenden Vorschriften im Datenschutzrecht von Bund und Ländern schützen die Privatsphäre der Menschen im Verhältnis zum Staat, zur Wirtschaft und am Arbeitsplatz.
Auch im Gesundheitsbereich müssen Patienten und Ärzte sich mit dem Datenschutz befassen, wenn es um Heilbehandlungen und deren Abrechnung geht. Aber der beste Datenschutz nutzt nichts, wenn die technischen Schutzmechanismen zum Schutz der persönlichen Daten versagen.
Kein Datenschutz ohne Datensicherheit
"Kein Datenschutz ohne Datensicherheit" lautet eine schlichte Wahrheit, die sich der DS-GVO entnehmen lässt. Hier sind sogenannte technisch-organisatorische Maßnahmen zum Datenschutz vorgeschrieben. Dazu zählen Räume, in denen Gesundheitsakten vor fremden Blicken geschützt sind, ebenso wie die Gewährleistung von Diskretion am Empfang.
Gesundheitsdaten werden digital verarbeitet
Allerdings gehören Gesundheitsinformationen in Aktenordnern häufig schon heute der Vergangenheit an. In der datengestützten Medizin greift man auf Datenspeicher in Praxen und Krankenhäusern und zunehmend auf Daten in der Cloud zurück. Telemedizin, elektronischer Arbeitsunfähigkeitsbescheinigung, E-Rezept und der nun auf den Weg gebrachten elektronischen Patientenakte gehört die Zukunft.
Weitere News gibt's in unserem WhatsApp-Kanal. Klicken Sie auf "Abonnieren", um keine Updates zu verpassen.
Gefahren der Digitalisierung
Die Schutzmechanismen digital gespeicherter und genutzter Daten müssen mit den Mitteln der Digitalisierung ins Werk gesetzt werden. Wenn sie versagen, kann das katastrophale Folgen haben. Wird etwa die Insulinzufuhr im Krankenhaus digital gesteuert, dann können Kriminelle sie auf eine tödliche Dosis erhöhen, nachdem sie das Gerät gehackt, sprich sich über das Internet die Kontrolle darüber verschafft haben. Wird die Insulinzufuhr per Fernzugriff erhöht, dann kann das böse enden.
Lesen Sie auch
- Google Cache wird eingestellt
- Bitkom-Studie deckt auf: AGB werden selten gelesen
Krankenhausgesellschaft und BSI sind besorgt
Fällt die Technik im Krankenhaus aus, liegt das Gesundheitssystem an dieser Stelle lahm.
Die Deutsche Krankenhausgesellschaft schlägt Alarm. Cyberangriffe stellen eine immer größere Bedrohung für Kliniken mit ihrer komplexen Infrastruktur dar. Um sich abzusichern, benötigen Gesundheitseinrichtungen qualifiziertes Personal und Geld. Es ist beunruhigend, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Bedrohungslage im Cyberraum insgesamt, aber auch im Gesundheitsbereich für besorgniserregend hält. Mehr Digitalisierung bedeutet mehr Angriffsfläche und eine erhöhte Gefahr für einen sensiblen und besonders schutzbedürftigen Sektor.
Experten warnen: Nicht auf Erpresser eingehen
Wer in die Computersysteme von Krankenhäusern eindringt, der kann sie erpressen. Es dürfte schon heute ein "Geschäftsmodell" von Kriminellen sein, Unternehmen, die sie gehackt haben, gegen Zahlung eines "Schutzgeldes" anzubieten, sie zu verschonen. Darauf einzugehen ist deshalb überaus problematisch, weil man sich so in die dauerhafte Abhängigkeit von Kriminellen begibt. Steve Ritter, Mitglied im Vorstand der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. und im Hauptberuf Referatsleiter "IT-Sicherheit und Recht" beim Bundesamt für Sicherheit in der Informationstechnik (BSI) weist auf einen weiteren Punkt hin.
Wer sich gegenüber Erpressern freikauft, anstatt sie anzuzeigen, um die eigene Haut zu retten, verhält sich möglicherweise nicht nur moralisch falsch, weil er das kriminelle System stützt und schützt. Er macht sich möglicherweise sogar selbst wegen der Unterstützung der Verbrecher strafbar. Unabhängig davon rät die Zentrale und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC-NRW) zur Umsicht. "Wer IT-Infrastrukturen betreibt, muss sich von vornherein auf die Cyber-Sicherheitsvorfälle vorbereiten. Backups, Notfallpläne, ein guter vertrauensvoller Kontakt zu den Behörden, helfen in und aus der Krise", so Markus Hartmann, der Leiter der Behörde.
EuGH: Sicherheitsverstoß kann zu Schadensersatz führen
Für Verantwortliche der Klinken und anderenorts bringen die primären Schwierigkeiten, die Datensicherheit in den Griff zu bekommen, noch ein weiteres Problem mit sich. Der Europäische Gerichtshof macht mit dem Datenschutz durch Datensicherheit ernst. Er hat Ende 2023 klargestellt, dass Verstöße gegen die Anforderungen der Datensicherheit Schadensersatzansprüche nach der DSGVO auslösen können.
Eine Behörde in Bulgarien war 2019 gehackt worden, sodass personenbezogene Daten von vielen Menschen im Internet öffentlich gemacht wurden. Allein dass deshalb ein Datenmissbrauch zu befürchten ist, reicht für die Begründung eines möglichen Anspruchs aus. Da betroffene Behörden oder Unternehmen in der Regel Schwierigkeiten haben darzulegen, dass ihre Sicherheitsvorkehrungen einwandfrei waren, können sie einem Schuldvorwurf nur schwer etwas Belastbares entgegensetzen.
Verwendete Quellen:
- deutschlandfunk.de: "Kliniken warnen vor Cyberangriffen"
- gdd.de: "Verhaltensregel 'Trusted Data Processor'"
- bsi.bund.de: "Website des Bundesamtes für Sicherheit und Informationstechnik"
- dataagenda.de: "Folge 51: Kein Datenschutz ohne Datensicherheit – Aktuelle Spielregeln für ein 'Dreamteam'"
- sta-koeln.nrw.de: "Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen"
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.