[datensicherheit.de, 04.11.2025] Kaspersky meldet, dass ein aktuelles eigenes Security-Audit aufzeigt, wie Angreifer durch die Ausnutzung einer „Zero Day“-Schwachstelle in einer Anwendung eines Auftragnehmers die vollständige Kontrolle über das Telematiksystem eines Fahrzeugs hätten erlangen können – „inklusive potenzieller Manipulation sicherheitsrelevanter Funktionen wie Gangwechsel oder Motorabschaltung“. Diese Untersuchung offenbart demnach schwerwiegende Schwachstellen sowohl in der Infrastruktur des Herstellers als auch im vernetzten Fahrzeug selbst und verdeutlicht den dringenden Handlungsbedarf der Automobilindustrie, Cybersicherheits-Maßnahmen zu stärken und Drittsysteme besser abzusichern. Die Ergebnisse dieses Audits seien auf dem diesjährigen „Security Analyst Summit“ (SAS) vorgestellt worden.

Kontrolle über das Telematik-System des Fahrzeuges

Durch die Ausnutzung einer „Zero Day“-Schwachstelle in einer öffentlich zugänglichen Anwendung eines Auftragnehmers sei es Kaspersky-Experten gelungen, die Kontrolle über das Telematik-System des Fahrzeuges zu erlangen.

• Damit hätten Angreifer beispielsweise während der Fahrt Gangwechsel erzwingen oder den Motor abstellen können, was die Sicherheit von Fahrern und Beifahrern gefährden würde.

Das Audit verdeutliche gravierende Cybersicherheitsrisiken in der Automobilindustrie und unterstreicht die dringende Notwendigkeit, Schutzmaßnahmen deutlich zu verstärken.

Telematik ermöglicht Erfassung, Übertragung, Analyse und Nutzung zahlreicher Daten

„Das Security-Audit wurde remote durchgeführt und umfasste sowohl die öffentlich zugänglichen Dienste des Herstellers als auch die Infrastruktur des Auftragnehmers.“ Dabei hätten die Kaspersky-Experten mehrere ungeschützte Web-Dienste identifiziert. „Über eine bislang unbekannte SQL-Injection-Schwachstelle in der Wiki-Anwendung – einer webbasierten Plattform zur gemeinsamen Erstellung und Verwaltung von Inhalten – gelang es ihnen, eine Liste von Nutzerkonten des Auftragnehmers inklusive Passwort-Hashes zu extrahieren.“

• Aufgrund schwacher Passwortrichtlinien hätten einige dieser Passwörter erraten werden können. „Dadurch erhielten die Experten Zugriff auf das Issue-Tracking-System des Auftragnehmers, ein Tool zur Verwaltung und Nachverfolgung von Aufgaben, Fehlern und Projekten.“ Dieses System habe sensible Konfigurationsdaten der Telematik-Infrastruktur des Herstellers enthalten – „darunter eine Datei mit gehashten Passwörtern von Nutzern eines Fahrzeugtelematik-Servers“.

In modernen Fahrzeugen ermögliche Telematik die Erfassung, Übertragung, Analyse und Nutzung zahlreicher Daten – etwa zu Geschwindigkeit oder Geolokalisierung – und bilde somit eine zentrale Schnittstelle für vernetzte Fahrzeugsysteme.

Schwachstellen: Modifizierte Firmware könnte auf Telematik-Steuergerät (TCU) hochladen werden

Auf der Seite des vernetzten Fahrzeugs hätten die Kaspersky-Experten eine falsch konfigurierte Firewall entdeckt, „die interne Server ungeschützt ließ“. Mithilfe eines zuvor erlangten Servicekonto-Passworts hätten sie Zugriff auf das Dateisystem des Servers erhalten und dort die Zugangsdaten eines weiteren Auftragnehmers gefunden. Dadurch sei es ihnen gelungen, die volle Kontrolle über die Telematik-Infrastruktur zu übernehmen.

• „Im Zuge des Audits stießen sie zudem auf einen Firmware-Update-Befehl, mit dem sich modifizierte Firmware auf das Telematik-Steuergerät (TCU) hochladen ließ.“ So hätten sie Zugriff auf den CAN-Bus (Controller Area Network) des Fahrzeugs erhalten – das zentrale Kommunikationssystem, welches verschiedene Komponenten wie Motorsteuerung und Sensoren miteinander verbinde.

„Anschließend konnten weitere Systeme, darunter die Motorsteuerung, angesprochen werden.“ Dies hätte potenziell die Manipulation zahlreicher sicherheitsrelevanter Fahrzeugfunktionen ermöglicht und die Sicherheit von Fahrer und Beifahrer ernsthaft gefährdet.

Bedrohung der Telematik durch Sicherheitslücken auf Basis in der Automobilindustrie weit verbreiteter Probleme

„Die Sicherheitslücken resultieren aus Problemen, die in der Automobilindustrie weit verbreitet sind: Öffentlich zugängliche Webdienste, schwache Passwörter, fehlende Zwei-Faktor-Authentifizierung und unverschlüsselte Speicherung sensibler Daten“, kommentiert Artem Zinenko, „Head of Kaspersky ICS CERT Vulnerability Research and Assessment“.

• Er warnt: „Das Audit zeigt, wie bereits eine einzelne Schwachstelle in der Infrastruktur eines Auftragnehmers zu einer vollständigen Kompromittierung sämtlicher vernetzter Fahrzeuge führen kann!“

Die Automobilindustrie müsse robuste Cybersicherheitspraktiken priorisieren – insbesondere in Systemen von Drittanbietern –, um Fahrer zu schützen und das Vertrauen in vernetzte Fahrzeugtechnologien zu bewahren.

Kaspersky gibt Empfehlungen zur Absicherung von Telematik-„Ökosystemen“

Für Dienstleister:

1. Den Internetzugriff auf Webdienste ausschließlich über ein VPN erlauben!
2. Dienste von Unternehmensnetzen isolieren, um ungewollten Zugriff zu verhindern!
3. Strikte Passwortrichtlinien durchsetzen, eine Zwei-Faktor-Authentifizierung (2FA) implementieren und sensible Daten verschlüsseln!
4. Logging in ein SIEM (Security Information and Event Management) integrieren, um sicherheitsrelevante Ereignisse in Echtzeit zu überwachen!

Für Hersteller:

1. Den Zugriff auf die Telematik-Plattform aus dem Fahrzeugnetzsegment beschränken!
2. Positivlisten für Netzwerkinteraktionen verwenden, um nur autorisierte Verbindungen zuzulassen!
3. Die Passwort-Authentifizierung bei „Secure Shell“ deaktivieren und Dienste mit minimalen Rechten betreiben!
4. Die Befehlsauthentizität in Telematik-Steuereinheiten sicherstellen und diese Maßnahmen mit der Integration in ein SIEM kombinieren!

Weitere Informationen zum Thema:

kaspersky
Cyberimmunität ist unser erklärtes Ziel / Wir sind ein Team von über 5.000 Fachleuten mit einer über 25-jährigen Erfolgsgeschichte im Schutz von Privatpersonen und Unternehmen weltweit und haben uns die weltweite Cyberimmunität als ultimatives Ziel gesetzt.

Linkedin
Artem Zinenko – Senior Software Engineer

[SAS25]
Kaspersky SecurityAnalyst summit / Khao Lak, Thailand 26-29 October 2025

datensicherheit.de, 07.09.2025
Autonomes Fahren Made in Germany – Deutschland könnte Vorreiter bei hochautomatisierten Fahrzeugen werden / TÜV Rheinland sieht deutsche Automobilindustrie insbesondere bei Sicherheit und Zuverlässigkeit Autonomer Fahrzeuge in aussichtsreicher Startposition

datensicherheit.de, 10.06.2025
SIEM: Ingenieure sollten Cyberbedrohungen stets einen Schritt voraus sein / In der heutigen „hypervernetzten Welt“ sind nun auch Ingenieurbüros zu lukrativen Zielen geworden – die jüngsten Angriffe auf Unternehmen wie IMI und Smiths Group sollten als Warnung verstanden werden

datensicherheit.de, 15.06.2022
Autonome Fahrzeuge: Höhere Sicherheit von der KI als von menschlichen Fahrern gefordert / Der TÜV-Verband e.V. zu seiner Verbraucherstudie 2021 über Sicherheit und KI

[datensicherheit.de, 30.05.2022] Der „126. Deutsche Ärztetag 2022“ hat laut einer aktuellen Meldung des Freie Ärzteschaft e.V. „ein klares Signal an Bundesminister Lauterbach in der Telematik-Frage gesendet“. In vielen Beschlüssen fordert er demnach dessen Ministerium und die gematik – Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH auf, „die Serien von Pleiten, Pech und Pannen zu beenden“ und die kommenden Anwendungen „e-Rezept“ und „e-Au“ (Elektronische Arbeitsunfähigkeitsbescheinigung) erst einzuführen, wenn es aussagekräftige, erfolgreich abgeschlossene Feldtests gibt. „Der Minister selbst hat zugegeben, dass ,e-Rezept‘ und ,e-Au‘ in der vorliegenden Form keinen Fortschritt darstellen“, sagte Dr. Silke Lüder auf dem Ärztetag in Bremen, und kritisierte: „Aber statt jetzt die Reißleine zu ziehen, lässt er seine Unterbehörde Gematik einfach weiter machen, zum Schaden von Praxen und Patienten.“

Ärzteschaft moniert nicht nur vom Bundesdatenschützer kritisch gesehene Zeitenwende…

Gemäß Koalitionsvertrag möchte Lauterbach jetzt die lange versprochene Freiwilligkeit der zentralen Datenspeicherung für Patienten bei der elektronischen Patientenakte abschaffen. Jeder Versicherte bekomme dann von an Geburt automatisch diese zentrale Akte in der „Cloud“ und könne sich nur durch aktiven Widerspruch daraus befreien – eine „Zeitenwende“, welcher nicht nur vom Bundesdatenschützer kritisch gesehen werde.

Dabei sei die „ePA“ in der bisher vorgestellten Form für Ärzte und auch für vor allem ältere Patienten völlig unbrauchbar, warnte Dr. Lüder auf dem Ärztetag in Bremen.

Ärzteschaft warnt vor negativem Paradigmenwechsel

„Auf einen Antrag aus unseren Reihen beschloss das Ärztetags-Plenum in Bremen allerdings, dass die rechtliche Zulässigkeit des sogenannten Opt-Out-Verfahrens bei der elektronischen Patientenakte insbesondere im Hinblick auf die Datenschutzgrundverordnung unter Hinzuziehung beispielsweise des Bundesdatenschutzbeauftragten umgesetzt werden muss.“ Dieser habe schon im Jahr 2021 geäußert, dass ein solches Opt-Out-Verfahren in der Datenschutzgrundverordnung grundsätzlich nicht angelegt sei.

„Uns geht es hier gar nicht um einen abstrakten Datenschutz“, so Dr. Lüder: Es gehe um einen negativen Paradigmenwechsel, welcher die Freiwilligkeit für Patienten, die ärztliche Schweigepflicht und die informationelle Selbstbestimmung aushebele und die Krankheitsdaten künftig zur Handelsware verkommen lasse.

Weitere Informationen zum Thema:

datensicherheit.de, 29.11.2021
Freie Ärzteschaft zur ePA: Geplante elektronische Patientenakte führt in die Sackgasse / Ampel-Koalitionäre zur Rücknahme der geplanten, viel kritisierten Opt-out-Option der ePA aufgefordert

datensicherheit.de, 02.11.2021
Forderung der Freien Ärzteschaft nach Aussetzen der Telematikinfrastruktur / Wieland Dietrich, Vorsitzender der Freien Ärzteschaft, kommentiert: „Einführung war dilettantisch und ist gefährlich.“

[datensicherheit.de, 02.11.2021] Der „Deutsche Ärztetag“ habe die Einführung der Telematikinfrastruktur (TI) scharf kritisiert, meldet der Freien Ärzteschaft e.V.: Mit massivem Druck werde etwas ins Gesundheitswesen gepresst, das weder praktisch funktioniere noch sicher sei oder die Gesundheitsversorgung in Deutschland verbessere, hätten zahlreiche Ärzte am ersten Sitzungstag des Deutschen Ärztetages am 1. November 2021 moniert. Wieland Dietrich, Vorsitzender der Freien Ärzteschaft (FÄ) und Delegierter, kommentiert: „Praktikabilität, Sicherheit und Nutzen sind einfach nicht gegeben. Die Einführung der TI in ihrer aktuellen Ausgestaltung ist nicht nur dilettantisch, sondern auch gefährlich.“ Mit Nachdruck fordere die Ärzteschaft daher ein Moratorium, so Dietrich.

Aus der Ärzteschaft Berichte über massive technische TI-Probleme

Bereits am Eröffnungstag habe der Präsident der Bundesärztekammer, Dr. Klaus Reinhardt, die künftige Bundesregierung aufgefordert, ein Moratorium für die TI zu verhängen. Aus der Ärzteschaft hagelte es demnach „Berichte über massive technische Probleme mit der TI in den Arztpraxen“, welche den „Workflow“ behinderten und das Personal stark belasteten.
Die FÄ warnt nach eigenen Angaben „seit Jahren genau vor solchen Entwicklungen, besonders im Hinblick auf Sicherheitsrisiken und unausgereifte Anwendungen wie elektronische Arbeitsunfähigkeitsbescheinigung, elektronisches Rezept und elektronische Patientenakte“. „In einem schlecht gemachten System telematischer Vernetzung sind wir nicht mehr Herr der Lage – auch Kliniken und Praxen werden gehackt“, erklärt FÄ-Chef Dietrich. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warne ausdrücklich auch im Gesundheitswesen vor Hacking, Erpressung und Datenmissbrauch.

Ärzteschaft kritisiert besonders mangelnde Tests der TI und ihrer Anwendungen

Aus der Ärzteschaft würden besonders die mangelnden Tests der TI und ihrer Anwendungen kritisiert – diese seien überhaupt nicht marktreif; Arztpraxen, Kliniken und Patienten müssten nun als Versuchskaninchen bei der Einführung der TI herhalten.
„Das ist unverantwortlich, denn es behindert und beschädigt die medizinische Versorgung“, sagt Dietrich und führt fordernd aus: „Die künftige Bundesregierung muss die Schraube, die der scheidende Bundesgesundheitsminister Jens Spahn weit überdreht hat, wieder zurückdrehen und die telematischen Anwendungen erst einmal sorgfältig überprüfen und testen.“

Ärzteschaft fordert, ärztlichen Sachverstand und tatsächliche Erfordernisse der Basis einzubeziehen

Ärzte forderten zudem, dabei ärztlichen Sachverstand und die tatsächlichen Erfordernisse der Basis einzubeziehen. „Wir sind diejenigen, die in Klinik und Praxis damit arbeiten sollen. Wer könnte besser wissen als wir, was für funktionierende Arbeitsabläufe erforderlich ist?“, so der FÄ-Chef.
Dabei seien auch die „ganz verschiedenen Bedarfe in den Einrichtungen des Gesundheitswesens zu berücksichtigen“. Darüber hinaus hätten Ärzte eine Schweigepflicht und für die höchste Sicherheit der Patientendaten sei Sorge zu tragen.

Weitere Informationen zur Organisation:

Freie Ärzteschaft e.V.
Das sind wir

datensicherheit.de, 04.11.2019
Auch Freie Ärzteschaft kritisiert Digitales-Versorgungs-Gesetz / „Mit Vollgas gegen Datenschutz und Bürgerrechte“

[datensicherheit.de, 16.08.2020] Mit Einführung der Datenschutzgrundverordnung (DSGVO) im Mai 2018 rückte ganz offensichtlich der Datenschutz noch einmal verstärkt in den Fokus von Unternehmen, Behörden und Institutionen. Vor allem die Sicherheit personenbezogener Daten sollten in erhöhtem Maße gestärkt werden – Gesundheitsdaten stuft die DSGVO als besonders schützenswert ein. Die zunehmende Digitalisierung auch des Gesundheitswesens – ab dem 1. Januar 2021 soll das gesamte Gesundheitssystem in Deutschland digitalisiert sein – bietet ganz klar viele Vorteile, birgt indes auch datenschutzrechtliche Risiken: Auf der einen Seite können sich dann die beteiligten Arztpraxen, Krankenhäuser, Krankenkassen, Versicherungen und Apotheken über den Anschluss an die Telematik besser miteinander vernetzen und leichter Patientendaten austauschen. Auf der anderen Seite haben aber auch Hacker durch den regen Austausch vermehrt Chancen, eben auf diese Daten zugreifen zu können. Um die sensiblen Informationen zu schützen, gilt es deshalb als Beteiligter des Gesundheitssystems dem Datenschutz besondere Aufmerksamkeit zu schenken. Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG, geht in seine aktuellen Stellungnahme auf diese datenschutzrechtliche Gemengelage ein.

Foto: HUBIT Datenschutz GmbH & Co. KG

Haye Hösel: Zusätzlich zum Artikel 9 DSGVO noch weitere Anforderungen an datenschutzkonforme Handhabung der Gesundheitsdaten

Auf dem CCC-Jahreskongress 2019 Sicherheitslücken im Gesundheitsnetzwerk präsentiert

Beim Jahreskongress des Chaos Computer Clubs Ende Dezember 2019 habe der CCC-Sicherheitsexperte Martin Tschirisch beispielsweise Sicherheitslücken im Gesundheitsnetzwerk präsentiert: Für IT-Sicherheitsexperten und Reporter sei es laut Tschirisch etwa relativ einfach gewesen, im Namen Dritter Gesundheitskarten, elektronische Arztausweise und Praxisausweise zu bestellen und an eine Lieferadresse ihrer Wahl schicken zu lassen.
Hösel warnt: „Und mit den Identitäten konnte ohne Probleme auf Anwendungen der Telematik-Infrastruktur sowie Gesundheitsdaten von Versicherten zugegriffen werden.“ Um die sensiblen Informationen zu schützen, gelte es deshalb als Beteiligter des Gesundheitssystems dem Datenschutz besondere Aufmerksamkeit zu schenken.

Einsatz neuer Technologien sorgt für regen Austausch von Gesundheitsdaten

Die Entwicklung und der Einsatz neuer Technologien wie ärztlicher Untersuchungen im Videochat, Atteste über das Internet oder unterschiedlicher Health-Apps sorgten heutzutage für einen regen Austausch von Gesundheitsdaten. Informationen verblieben also nicht mehr als Papierakte oder digitale Version im Krankenhaus oder in einer Arztpraxis, sondern gelangten auch auf private Endgeräte oder Server. Damit die personenbezogenen Daten nicht ungewollt an die Öffentlichkeit gelangen oder Ärzte beispielsweise auf Basis von gefälschten Patientendaten operieren, stehe der Datenschutz in der Branche im Fokus.
„Gemäß Artikel 6 der DSGVO ist die Verarbeitung von personenbezogenen Daten grundsätzlich nur dann erlaubt, wenn Betroffene einwilligen“, unterstreicht Hösel. Für Gesundheitsdaten gebe es außerdem noch Spezialregelungen, „da sie nach Maßgabe des Artikels 9 als besonders schützenswert gelten“. Ihre Verarbeitung sei aufgrund der Sensibilität der Informationen nur nach den engen Maßgaben des Artikels 9 in Verbindung mit Artikel 6 der DSGVO zulässig. Betroffene müssten jederzeit wissen, was mit ihren Daten passiert, und ohne die Einwilligung dürften die Angaben nicht an Dritte, zum Beispiel externe Abrechnungsstellen, weitergegeben werden.

Datenschutz-Folgeabschätzung für Verarbeitung von Gesundheitsdaten

Um die Sicherheit der personenbezogenen Daten zu gewährleisten, gebe es beispielsweise die Datenschutz-Folgeabschätzung (DSFA). Im Grunde handele es sich bei diesem Instrument um eine Erweiterung der früheren „Vorabkontrolle“. Diese sei nach dem deutschen Bundesdatenschutzgesetz (BDSG) immer dann durchzuführen gewesen, „wenn besonders sensible Daten verarbeitet wurden“. Im Vergleich zum BDSG umfasse die DSFA einen größeren Anwendungsbereich: „Sie ist immer dann notwendig, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, es sich um die weiträumige Überwachung öffentlicher Bereiche handelt, es um die Verarbeitung von Daten besonderer Kategorien, wie zum Beispiel Gesundheitsdaten, oder Daten über strafrechtliche Verurteilungen und Straftaten geht.“
Die Gesundheitsdaten definiere das Gesetz als „Informationen, die sich auf den geistigen und körperlichen Gesundheitszustand der betroffenen Person oder auf eine Erbringung von Gesundheitsleistungen für diese beziehen“. Neben Krankenhäusern, Arztpraxen oder Forschungseinrichtungen müssten deshalb auch Anbieter von Health-Apps oder Wearables eine DSFA leisten, da auch die Aufzeichnung oder Übermittlung von Vitalwerten oder die Verwaltung von Arztterminen als besonders schützenswert gelte.

Kritische Überprüfung, ob sich dieselben Ziele nicht auch mit weniger datenintensiven Verarbeitungen erreichen lassen

Hösel erläutert: „Im Rahmen der DSFA gilt es zunächst eine strukturierte Bewertung der Risiken der geplanten Datenverarbeitung vorzunehmen. Außerdem müssen die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung – also die Zwecke der beabsichtigten Verarbeitung gegenüber den möglichen Gefahren – überprüft werden.“ Da die Speicherung und Nutzung von Gesundheitsdaten der Steigerung des Wohlbefindens beziehungsweise der Genesung der betroffenen Personen dienten, lägen nachvollziehbare Notwendigkeiten vor.
Jedoch sollte stets eine kritische Überprüfung stattfinden, ob sich dieselben Ziele nicht auch mit weniger datenintensiven Verarbeitungen erreichen lassen. Anschließend erfolge die Bewertung der Risiken für die betroffene Person. Einzelne Schritte der Verarbeitung gelte es daraufhin zu untersuchen, welche Gefahren drohen. Zudem müssten Faktoren wie Transparenz und Möglichkeiten zur Intervenierbarkeit bewertet werden. Nach der Risikobewertung erfolge schließlich die Klärung von spezifischen Gegenmaßnahmen, also dem Einsatz von den technisch-organisatorischen Maßnahmen (TOM).

Technische und organisatorische Maßnahmen im gesamten Gesundheitswesen

Die technischen und organisatorischen Maßnahmen müssten Pharmaunternehmen, Krankenhäuser, Arztpraxen und Forschungseinrichtungen zum Schutz personenbezogener Daten ergreifen. „Es gilt, diese festzulegen und zu dokumentieren. Zu den technischen Maßnahmen zählen viele physische Verfahrensweisen, wie das Abschließen von Schränken, die Patientenakten enthalten. Eine organisatorische Maßnahme wäre in diesem Falle, die Schlüsselausgabe zu dokumentieren“, erklärt Hösel. Die DSGVO gebe vor, das Schutzniveau dem jeweiligen Risiko anzupassen und verschiedene Maßnahmen darin mit einzuschließen. So gehört beispielsweise sowohl die Pseudonymisierung als auch die Verschlüsselung personenbezogener Daten dazu.
Aber auch laut Artikel 32 Abs. 1(b) „die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“. Dazu könnten etwa Maßnahmen wie der Einsatz einer geeigneten Firewall oder auch die Festlegung der Zugriffsberechtigungen für EDV-Systeme gehören. „Auch ein Verfahren, wie die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig überprüft, bewertet und evaluiert werden soll, gilt es für die Gewährleistung der Sicherheit zu bedenken und zu dokumentieren. Diese Dienstleistung übernehmen beispielsweise externe Datenschutzbeauftragte.“ Dadurch sicherten Unternehmen die Prüfung durch einen Dritten, hätten also einen wesentlich unabhängigeren Blick darauf, und vermittelten nach außen etwa gegenüber der Aufsichtsbehörde einen besseren Eindruck.

Anforderungen an Handhabung der Gesundheitsdaten auch durch Landeskrankenhaus- sowie andere Spezialgesetze und ärztliches Berufsgeheimnis geregelt

„Vor allem in Krankenhäusern und Arztpraxen werden viele Daten erhoben, es ist für Ärzte und Pflegepersonal sogar notwendig, um Patienten zu heilen und zu pflegen“, unterstreicht Hösel. Zusätzlich zum Artikel 9 der DSGVO seien die Anforderungen an die Handhabung der Gesundheitsdaten deshalb auch noch durch Landeskrankenhaus- sowie andere Spezialgesetze und durch das im Paragraph 203 StGB sanktionierte ärztliche Berufsgeheimnis geregelt. Die Landeskrankenhausgesetze erlaubten zum Beispiel die Verarbeitung von Patientendaten, insbesondere im Rahmen von Behandlungsverträgen.
Bei Patientendaten handele es sich um „alle Einzelangaben über persönliche oder sachliche Verhältnisse bestimmter oder bestimmbarer Patientinnen und Patienten und deren Angehörigen“. Alle Daten seien dabei jedoch vom ärztlichen Berufsgeheimnis geschützt. Die personenbezogenen Daten müssten zur Behandlung zwar häufig geteilt werden, dürften aber nicht innerhalb eines Krankenhauses oder einer Arztpraxis unkontrolliert ausgetauscht werden. Grundsätzlich gelte es streng darauf zu achten, „dass jeder Mitarbeiter nur Zugriff auf Daten hat, die er für die Ausübung der jeweiligen Aufgaben benötigt“.

Ohne Zustimmung des Patienten Angehörige über Gesundheitszustand zu informieren grundsätzlich nicht erlaubt

Auch im Fall der Weitergabe von Patientendaten an Dritte, also Hausärzte, sonstige nachbehandelnde Ärzte, Krankenversicherungen, Behörden, Krankenkassen oder Angehörige, müsse geprüft werden, ob, unter welchen Voraussetzungen und in welchem Umfang die Weitergabe der Informationen erfolgen darf.
Vor allem gelte es zu prüfen, ob für diesen Schritt die Einwilligung des betroffenen Patienten erforderlich ist. „Angehörige über den Gesundheitszustand oder den Genesungszustand zu informieren ist zum Beispiel grundsätzlich nicht erlaubt – außer der Patient hat der Weitergabe zugestimmt“. Dies könne auch erfolgen, wenn der Betroffene aus gesundheitlichen Gründen zu der Einwilligung nicht in der Lage ist und keine Anhaltspunkte für einen entgegengesetzten Willen des Patienten bestünden.

Aufzeichnung von Gesundheitsdaten von Apps und Wearables

„Health-Apps und Fitnesstracker finden immer häufiger Verwendung. Sie funktionieren in der Regel nur in Verbindung mit einer entsprechenden App, die Daten aufzeichnet, speichert und visualisiert. Nutzer müssen sich meist registrieren und ein Profil erstellen, sodass personenbezogene Daten in der Regel auf einem zentralen Server des Anbieters gespeichert werden. Neben Geschlecht, Alter und Gewicht werden häufig Gesundheitsdaten wie Puls oder Herzfrequenz aufgezeichnet – oft aber auch Zahlungsdaten, weshalb die Apps und Wearables zunehmend zum Ziel von Hackern werden.“ Es gelte außerdem, zu bedenken, dass auch die Kombination von einzelnen Daten Rückschlüsse auf den Gesundheitszustand zuließen. Aus dem Gewicht und dem Alter lasse sich etwa der „Body-Mass-Index“ ableiten, „der zum Beispiel zu einer wichtigen Information für Versicherungen werden kann“.
Für diese Apps gebe es jedoch zusätzliche Erlaubnisnormen, die in Bezug auf den Datenschutz greifen könnten. „Liegt beispielsweise im konkreten Einzelfall ein lebenswichtiges Interesse vor – etwa bei einem von einer App angezeigten Herzinfarkt – und der Anwender ist nicht mehr in der Lage, die Einwilligung zur Datenverarbeitung zu geben, dürfen Anbieter trotzdem die Gesundheitsdaten verarbeiten“, so Hösel. Doch dauerhaftes Tracken von Informationen, die vielleicht irgendwann in einer Notsituation helfen könnten, sei nicht zulässig. Auch bei Fällen von sich ausbreitenden Gesundheitsgefahren wie Epidemien könne zur Sicherung der individuellen und öffentlichen Gesundheit auf Daten von Apps zurückgegriffen werden. Hösel stellt abschließend klar: „Für Unternehmen, die solche Apps anbieten, gilt es also alle datenschutzrechtlichen Herausforderungen zu meistern und die oben genannten Maßnahmen zum Schutz der sensiblen Informationen zu ergreifen.“

Weitere Informationen zum Thema:

datensicherheit.de, 09.08.2020
Phishing: Gesundheitssektor benötigt Schutztechnik und -trainings / Laut Interpol nun auch Organisationen im Gesundheitssektor vermehrt Cyber-Attacken ausgesetzt

datensicherheit.de, 14.05.2020
Gesundheitswesen: Globaler Anstieg von Ransomware- und Cyberangriffen / Bitdefenders Telemetrie zeigt Spitzen seit Ausbruch der Pandemie

datensicherheit.de, 05.05.2020
Gesundheitswesen: Kontrolle über Patientendaten in Kliniken und Praxen / Die 6 größten Schwachstellen im Blick

datensicherheit.de, 16.04.2020
Gesundheitssektor: Lob für Enisa-Leitfaden zur Cybersicherheit in Krankenhäusern / Veröffentlichung ergänzt die bisherigen KRITIS-Leitfäden

datensicherheit.de, 15.04.2020
BSI: Sicherheitsanforderungen für Gesundheits-Apps veröffentlicht / Anwendungen verarbeiten sensible und besonders schützenswerte persönliche Daten

datensicherheit.de, 19.09.2019
Gesundheitsbranche: Digitalisierung ernste Herausforderung / Medizinische Daten aufgrund ihrer Sensibilität wertvoll

[datensicherheit.de, 30.06.2019] Der Verband Freie Ärzteschaft e.V. (FÄ) fühlt sich nach eigenen Angaben im Kontext der gemeinsamen Pressekonferenz mit Medi Geno Deutschland und dem Freien Verband Deutscher Zahnärzte vom 27. Juni 2019 in Berlin in seinen „Befürchtungen rund um den Anschluss der Praxen an die Telematik-Infrastruktur bestätigt“. Das, was sie dabei „von IT-Fachleuten und Juristen, aber auch aus der ärztlichen Praxis“ gehört hätten, sollte alle politisch Verantwortlichen aufrütteln, betont Dr. Silke Lüder. Die stellvertretende FÄ-Bundesvorsitzende und Hamburger Allgemeinmedizinerin fordert demnach vor allem Bundesgesundheitsminister Jens Spahn (CDU) auf, „hier die Reißleine zu ziehen“.

Ärzteschaft unterstützt Digitalisierung – wenn sie sicher ist

„Die Ärzteschaft unterstützt sowohl die Digitalisierung als auch die moderne Kommunikation“, erläutert Dr. Lüder, „aber eben nur, wenn die Kommunikation der Gesundheitsdaten dezentral erfolgt und sicher ist.“
Es sei an der Zeit, Konsequenzen aus den bisherigen Pannen bei der Telematik-Infrastruktur (TI) zu ziehen. „Alles andere wollen und werden wir Ärzte nicht verantworten.“

Telematik im Gesundheitswesen: Weichen neu stellen!

Obwohl zahlreiche Experten seit Monaten vor den Gefahren durch grobe Sicherheitsmängel bei der TI und sinkende Sicherheitsstandards warnten, setze der Gesetzgeber seinen Kurs fort und investiere weitere Milliarden Euro in veraltete und unsichere Technik.
„Damit muss endlich Schluss sein.“ Lüder befürwortet „ein Moratorium für die gesamte Planung der Telematik im Gesundheitswesen, um die Weichen neu zu stellen“. Bundesgesundheitsminister Spahn sei aufgefordert, sein aktuelles Gesetzesvorhaben, das „Digitale Versorgung Gesetz“ (DVG), zu stoppen.

Befürchtungen rund um den Datenschutz traurige Realität

„Die Schilderungen der Fachleute und die Diskussion bei der Pressekonferenz haben uns einmal mehr vor Augen geführt, dass unsere seit Langem geäußerten Befürchtungen rund um den Datenschutz traurige Realität sind“, berichtet Dr. Lüder.
Teilweise würden augenscheinlich sogar Mitarbeiter von Zeitarbeitsfirmen, „die offenbar selbst nicht verstehen, wie die Systeme funktionieren, mit dem Anschluss der Arztpraxen an die TI beauftragt“. Ärzte und Psychotherapeuten, die auf deren Arbeit vertrauen, „weil wir ja selbst nun mal keine Informatiker sind“, erlebten hundertfache Systemabstürze.

Ärztliche Schweigepflicht und DSGVO setzen die Vorgaben

Auch liefen die Kosten für die Arztpraxen aus dem Ruder. „Ganz zu schweigen von der juristischen Haftung, wenn etwas schiefgeht und Patientendaten gehackt werden“, so Dr. Lüder. „Dabei sind wir laut Strafgesetzbuch dazu verpflichtet, die ärztliche Schweigepflicht einzuhalten und aufgrund der Datenschutzgrundverordnung verpflichtet, die Vorgaben zu erfüllen.“
Wie aber solle das gehen, wenn die Gematik „trotz Aufforderung des Bundesdatenschutzbeauftragten keine Datenschutzfolgeabschätzung für die Telematik-Infrastuktur vornimmt“, die dringend geboten sei…

Zu oft Zwang und Sanktionen angedroht

Dr. Lüder beklagt auch den Ton, „der seitens des Gesetzgebers mit dem DVG gegenüber den Ärzten angeschlagen wird“. Den habe es in dieser Form bisher nicht gegeben. Das „Wording“ des geplanten Gesetzes sei eine Missachtung der ärztlichen Freiberuflichkeit.
„An vielen Stellen ist allein von Zwang und Sanktionen die Rede, der Druck auf die Ärzteschaft wird noch einmal erhöht“, kritisiert Dr. Lüder. Es gebe kaum noch Freiwilligkeit für die Praxen und damit „auch kein Recht, über eigene Arbeitsergebnisse wie die gesamte ärztliche Dokumentation zu verfügen. Stattdessen sollen wir gezwungen werden, alles in einer zentralen und nicht kontrollierten ,e-Akte‘ zur Verfügung zu stellen.“

IT-Experten raten, „den Stecker zu ziehen“

Die FÄ-Vizevorsitzende stellt klar: „Nur weil die Ärzte sich bisher nicht zu großen Protesten auf der Straße einfinden, heißt das nicht, dass sie ihren Unmut ob der politischen Drangsalierung nicht zum Ausdruck bringen.“ Im Gegenteil: Nach wie vor sei der Prozentsatz jener Ärzte hoch, die sich dem zwanghaften Anschluss ihrer Praxen an die TI verweigerten – „und zwar ganz egal, welche Honorarabzüge Herr Spahn androht.“
Solange die Daten nicht überprüfbar sicher und Ärzte wie auch Psychotherapeuten in der Haftung seien, „sollten wir eher den Rat der IT-Experten befolgen, die uns auch heute empfohlen haben, den Stecker zu ziehen.“ Dr. Lüder warnt den Gesetzgeber davor, durch immer schärfere Sanktionen Ärzte in die innere Emigration zu treiben. „Wenn das so weiter geht, erwägen ältere Kollegen ein vorzeitiges Aufgeben ihrer Praxistätigkeit. Und junge Kollegen sind von der eigenen Niederlassung desillusioniert. Weder das eine noch das andere kann man wollen, denn beides würde den Ärztemangel weiter verschärfen.“

Weitere Informationen zum Thema:

MEDI GENO Deutschland, Freie Ärzteschaft und Freier Verband Deutscher Zahnärzte, 27. Juni 2019
Gemeinsame Pressemitteilung / Ärzteverbände warnen: Patientendaten für Hacker zugänglich

datensicherheit.de, 12.06.2019
KRITIS-Verordnung im Gesundheitsbereich: Krankenhäuser müssen dringend handeln

datensicherheit.de, 06.06.2019
Tendenz steigend: Sicherheitsrisiken im Gesundheitswesen

datensicherheit.de, 20.05.2019
Cybersicherheitsrisiken im Gesundheitswesen

datensicherheit.de, 24.08.2018
Das Problem der IoT-Sicherheit im Gesundheitswesen

datensicherheit.de, 23.04.2018
Orangeworm: Cyber-Kriminelle nehmen Gesundheitswesen ins Visier

datensicherheit.de, 24.02.2018
Thales Healthcare Data Threat Report 2018: Mehr Datenschutzverletzungem im Gesundheitswesen

datensicherheit.de, 18.11.2017
Gesundheits-Apps: Mehr Transparenz und Sicherheit erforderlich

[datensicherheit.de, 27.01.2020] Der 4. Europäische Datenschutztag am 28. Januar 2010 befasst sich mit dem Thema „Datenschutz im Gesundheitswesen”:
Im Mittelpunkt steht dabei die Frage, welchen Risiken und Nebenwirkungen das Persönlichkeitsrecht der Patienten ausgesetzt wird, wenn deren Gesundheitsdaten gespeichert und über Datennetze ausgetauscht werden.
Moderne Technologie sei aus dem Gesundheitswesen nicht mehr wegzudenken. Bei der Diagnostik, in der Therapie und zur Abrechnung kämen leistungsfähige, häufig vernetzte technische Systeme zum Einsatz. Umso wichtiger sei es, dass die höchst sensiblen Gesundheitsdaten effektiv geschützt würden, so der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar.

Foto: BfDI

Peter Schaar: „Das Gesetz sieht für Gesundheitsdaten, die bei Ärzten oder in der geplanten Telematikinfrastruktur des Gesundheitswesens gespeichert werden, einen besonderen Schutz vor.”

Dies gelte auch für die Elektronische Gesundheitskarte, die den Schlüssel zu einer sicheren Telematikinfrastruktur bilden solle. Dieses Projekt sei jedoch ins Stocken geraten und es werde über wesentliche Änderungen an dem bisherigen Konzept diskutiert. Die ins Auge gefassten Änderungen dürften aber auf keinen Fall zu einer Absenkung des Sicherheitsniveaus führen. Dabei sei besonders dafür Sorge zu tragen, dass Gesundheitsdaten vor unberechtigten Zugriffen effektiv geschützt würden.

Weitere Informationen zum Thema:

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
4. Europäischer Datenschutztag am 28. Januar 2010

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Die elektronische Gesundheitskarte

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, 26.01.2010
Alles Gute – für Ihre Gesundheit und den Datenschutz im Gesundheitswesen! / Keine Absenkung des Datenschutzniveaus bei der eGK

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, 12.04.2009
Patientendaten im Internet