Mehr Schutz vor Hackerangriffen gefordert: Datenschutzbeauftragter warnt vor Sicherheitslücken bei Patientendaten

Der Bundesbeauftragte für Datenschutz und Informationsfreiheit, Ulrich Kelber, hat angekündigt, sich künftig noch stärker um den Schutz von Gesundheitsdaten zu kümmern. Mit den 67 neuen Stellen, die seine Behörde im nächsten Jahr erhält, werde er „auf jeden Fall auch unsere beiden Referate verstärken, die sich schwerpunktmäßig mit Gesundheits- und Telematik-Anwendungen beschäftigen“, sagte Kelber im Interview mit dem Tagesspiegel.

Gleichzeitig zeigte sich der SPD-Politiker besorgt über die Sicherheitslücken in Krankenhäusern und anderen Gesundheitseinrichtungen. Ziel müsse es sein, die Zahl solcher Gefährdungen „massiv nach unten zu drücken“. Um sich besser gegen Hackerangriffe und kriminellen Datenmissbrauch zu wappnen, könne man das bestehende Gesetz zum Schutz kritischer Infrastruktur „auf weitere Teile des Gesundheitsbereichs ausweiten“, empfahl Kelber. Wichtig wäre es aus seiner Sicht aber auch, „dass in den Gesundheitseinrichtungen nicht mit abgelaufenen Betriebssystemen oder unsicheren Cloud-Diensten gearbeitet wird“.

"Widerspruchsrecht für Forschungsdaten muss klarer geregelt werden"

Die Gesundheitsdaten der Bürger müssten „unbedingt geschützt bleiben“, drängte der Beauftragte. Entscheidend dafür sei, dass es ausreichende Sicherungsmaßnahmen gebe. So müsse bei der Weitergabe von Patientendaten zu Forschungszwecken das Widerspruchsrecht noch „klarer geregelt werden“ – beispielsweise für Personen mit seltenen Erkrankungen oder in besonders herausgehobener Position. Froh sei er darüber, dass das Parlament die Pseudonymisierung der Daten nun schon vor der Versendung an den Spitzenverband der Krankenkassen verlange. „Und dass die Forscher später nur auf Stichproben oder zusätzlich anonymisierte Daten zugreifen dürfen.“

Für die geplante digitale Patientenakte forderte Kelber erneut Nachbesserungen. „Welche Daten wem preisgegeben werden, darf nur der Patient selber entscheiden können“, verlangte er. Dass man vorerst nur die Wahl habe, einem Arzt entweder sämtliche oder gar keine Daten zur Verfügung zu stellen, könne so nicht bleiben. „Ein abgestuftes Rechtekonzept muss von Anfang an Bestandteil der digitalen Patientenakte werden“, forderte der Datenschutzbeauftragte. „Wir sähen es als hochproblematisch an, wenn das zum Start dieses Projekts noch nicht funktionierte.“

Zugriff auf Patientendaten nur über gesicherte Smartphones

Nach den Plänen von Gesundheitsminister Jens Spahn (CDU) soll die elektronische Patientenakte für alle Krankenversicherten und deren Ärzte ab Anfang 2021 nutzbar sein. Sorgen bereitet dem Datenschutzbeauftragten dabei auch der von der Politik gewollte Zugang über Smartphones. Hier sei "auf jeden Fall mit hohen Sicherheitsanforderungen" zu arbeiten, forderte Kelber.

So sollte der Zugriff aus seiner Sicht "auf Geräte beschränkt sein, die über eine gesicherte Zwei-Faktor-Authentifizierung verfügen". Wenn man zur Identifizierung am Handy zusätzlich auch noch seine Gesundheitskarte per NFC-Schnittstelle auslesen lassen müsse, wäre die Gefahr eines Datenmissbrauchs wesentlich geringer.

Risiko bei Gesundheits-Apps durch sogenannte Tracker

Zudem drängte Kelber darauf, dass bei den Gesundheits-Apps, die demnächst von den Krankenkassen erstattet werden, nicht nur der positive Effekt auf die Gesundheit, sondern auch der Datenschutz abgeprüft wird. Es bestehe ein hohes Risiko, dass persönliche Daten über solche Anwendungen bei Wirtschaft und Werbetreibenden landeten, warnte der Datenschutzbeauftragte. Das gelte "insbesondere, wenn bei der Entwicklung solcher Anwendungen sogenannte Tracker eingebaut wurden, über die sich das Interesse und Leseverhalten bestimmter Nutzer nachvollziehen lässt".