English

Calendar

Geplantes Patientendaten-Schutz-Gesetz schützt Patientendaten nicht

2020-05-26 13:51:17, linus

Mit dem geplanten Patientendaten-Schutz-Gesetz sollten auch Schwachstellen beseitigt werden, auf die der Chaos Computer Club (CCC) im Dezember zum 36C3 öffentlich hinwies. Leider misslingt dem Bundesgesundheitministerium auch dieser erneute Anlauf. Der CCC wurde als Sachverständiger in der Anhörung zum Gesetzentwurf geladen und veröffentlicht heute seine schriftliche Stellungnahme.

Auf dem 36C3 präsentierten Sicherheitsforscher des CCC, wie sich Unbefugte gültige Heilberufsausweise, Praxisausweise, Konnektor- und Gesundheitskarten auf die Identitäten Dritter verschaffen können. Damit gelang anschließend der Zugriff auf Anwendungen der Telematik-Infrastruktur und Gesundheitsdaten von Versicherten.

Ein Investigativteam des NDR ließ sich sogar einen Arztausweis an die Käsetheke liefern und bestätigte so den Befund des CCC eindrücklich.

Doch statt die Mängel wie vom CCC gefordert abzustellen, werden diese nunmehr gesetzlich festgeschrieben. Mit den neuen Regelungen soll die Verpflichtung zur sicheren Identifikation des Versicherten bei Kartenbeantragung vollständig entfallen. Die Ausgabe der Gesundheitskarte wird nur noch auf niedrigem Sicherheitsniveau vorgeschrieben.

Krankenkassen als Herausgeber der Gesundheitskarte, dem Zugangsschlüssel zur kommenden elektronischen Patientenakte und damit Deutschlands größtem Gesundheitsdatenschatz, sollen mit dem Gesetzentwurf zudem von den Sanktionen der Datenschutzgrundverordnung (DSGVO) ausgenommen bleiben. Dabei kommen sie ihren datenschutzrechtlichen Verpflichtungen regelmäßig nicht nach, wie die spätestens seit 2014 wiederholt ausgenutzten Mängel bei der Beantragung und Ausgabe der Gesundheitskarte zeigen. Die im Gesetzentwurf vorgesehenen und im Verhältnis zum Ausgabevolumen der Krankenkassen von mehr als 25 Mrd. Euro völlig unzureichenden Bußgeldvorschriften entstammen dem zahnlosen alten Bundesdatenschutzgesetz (BDSG) und setzen keinen dringend notwendigen Anreiz zur Behebung dieser langjährigen Versäumnisse.

„Die Schwachstellen wurden zunächst theoretisch angemahnt. Dann haben wir sie praktisch demonstriert. Eine Behebung wurde medienwirksam angekündigt. Und doch werden sie weiter ignoriert. Dieser Umgang ist einfach fahrlässig“, sagte Martin Tschirsich, der als Sachverständiger des CCC dem Gesundheitsausschuss am 27. Mai Auskunft geben wird. Seine Initiativ-Bewerbung als Sachverständiger hatte er schon auf der Bühne des 36C3 mit der Demonstration der Schwachstellen eingereicht.

Der CCC veröffentlicht schon heute die schriftliche Stellungnahme zur Sachverständigenanhörung im Gesundheitsausschuss des Deutschen Bundestags am 27. Mai.

Links: