eHealth: Nicht auf Kosten der Patientensicherheit

Bei der digitalen Gesundheit hinkt Deutschland im internationalen Vergleich gehörig hinterher. Laut einer Bertelsmann-Studie sind wir Vorletzter, nur Polen digitalisiert noch langsamer[1]. Experten führen verschiedene Gründe an. Unter anderem mangle es an einer sicheren Infrastruktur, die den rechtlichen Anforderungen gerecht wird.

Wenn von Digitalisierung und eHealth die Rede ist, geht es um mehr als die elektronische Patientenakte (ePA): Dienstleister mit digitalen Gesundheitsangeboten drängen auf den Markt; längst erleichtern Fitnesstracker und Smartwatches den  Alltag vieler Deutscher. Die dazugehörigen Health-Apps erheben und verwerten sensible Daten, häufig mit Personenbezug. Bei der Umsetzung der gesetzlichen Datenschutzrichtlinien tun sich viele Anbieter jedoch noch schwer. Und mit dem Patientendaten-Implantationsregister steht bereits das nächste Mammutprojekt in den Startlöchern, bei dem Datenschutz-Probleme vorprogrammiert sein dürften[2].

Datenschutz durch Technik?

Während Ärzte und Apotheker der Schweigepflicht nach §203 StGB unterliegen, gelten für App-Anbieter, Dienstleister und Server-Betreiber meist andere Regeln. Selbstverständlich gibt es strenge Gesetze und Anforderungen für den Umgang mit personenbezogenen Daten, die vor allem in der EU-Datenschutzgrundverordnung (DSGVO) und im Bundesdatenschutzgesetz (BDSG-neu) geregelt sind. Diese erweisen sich in der Praxis allerdings häufig als wirkungslos, weil etwa organisatorische Schutzmaßnahmen (vgl. Art. 32 DSGVO) wie Rechte- und Rollenkonzepte relativ einfach umgangen werden können. Administratoren können sich in der Regel privilegierten Zugriff zu den Servern verschaffen und vertrauliche Daten einsehen, manipulieren oder entwenden. Bereits eine mögliche Kenntnisnahme sensibler Informationen stellt einen Verstoß gegen die Schweigepflicht dar und muss daher von vornherein ausgeschlossen sein.

Patientensicherheit durch IT-Sicherheit

Um personenbezogene Daten wie Patientendaten vor Kenntnisnahme, Manipulation oder Verlust zu schützen, braucht es eine rein technische, manipulationssichere und präventive Lösung, die jeglichen – auch privilegierten – Zugriff zuverlässig unterbindet. Zahlreiche Public-Cloud-Angebote und sogar viele Business Clouds tun sich damit jedoch schwer. Denn die meisten Server-Infrastrukturen sehen privilegierte Admin-Zugänge vor, beispielsweise zu Wartungs- oder Monitoring-Zwecken.

Einen anderen Ansatz verfolgen versiegelte Infrastrukturen[3]: Hier wurden die organisatorischen Schutzmaßnahmen vollständig durch technische Maßnahmen ersetzt, die sich auch mit hohem Aufwand nicht umgehen lassen. Die Server sind hermetisch abgeriegelt, ein privilegierter Admin-Zugriff ist nicht vorgesehen – eine Kenntnisnahme vertraulicher Daten ist ebenso ausgeschlossen wie Diebstahl und Manipulation. Das gilt nicht nur für Administratoren, sondern für alle externen und internen Angreifer.

„Gesundheitsminister Spahn fordert mehr Patientensicherheit. Langfristig werden wir diese nur durch bessere IT-Sicherheit realisieren können – und dazu muss sich IT-Sicherheit wie auch vom Gesetzgeber gefordert am Stand der Technik orientieren“, sagt Dr. Hubert Jäger, Datenschutz-Experte und CTO der Münchner TÜV SÜD-Tochter uniscon GmbH.

Als Beispiele für versiegelte Infrastrukturen nennt Jäger unter anderem die Versiegelte Cloud der Deutschen Telekom, die ucloud des Aachener TK-Providers regio iT sowie idgard® und die sealed platform der uniscon, eine hochsichere Cloud-Plattform, auf der sich schützenswerte Anwendungen rechtssicher und datenschutzkonform betreiben lassen.

Weiterführende Informationen zur sealed platform sowie druckfähiges Bildmaterial erhalten Sie auf Anfrage bei presse@uniscon.de.

[1] https://www.bertelsmann-stiftung.de/de/themen/aktuelle-meldungen/2018/november/digitale-gesundheit-deutschland-hinkt-hinterher/

[2] https://www.heise.de/tp/features/Der-fleissige-Herr-Spahn-Mit-Vollgas-gegen-den-Datenschutz-4556149.html

[3] https://de.wikipedia.org/wiki/Sealed_Cloud

Über die uniscon GmbH

Die Uniscon GmbH entwickelt technische Lösungen zur effizienten und sicheren Zusammenarbeit im Internet. Ihr Service iDGARD basiert auf der weltweit patentierten Sealed Cloud Technologie. Mit dieser werden die Daten in der Cloud so geschützt, dass selbst der Betreiber des Dienstes keinen Zugriff auf die Daten seiner Kunden hat. Als einziger Dienst schützt iDGARD nicht nur die Inhalte, sondern auch die Metadaten. Diese bleiben ausschließlich unter der Kontrolle der Nutzer.

Firmenkontakt und Herausgeber der Meldung:

uniscon GmbH
Ridlerstrasse 57
80339 München
Telefon: +49 (89) 41615988-110
Telefax: +49 (89) 41615988-250
https://www.idgard.com

Ansprechpartner:
Claudia Seidl
Leiterin Unternehmenskommunikation
Telefon: +49 (89) 41615988-103
E-Mail: claudia.seidl@uniscon.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel