{"id":15360,"date":"2019-12-02T11:13:00","date_gmt":"2019-12-02T10:13:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=15360"},"modified":"2019-11-25T12:18:27","modified_gmt":"2019-11-25T11:18:27","slug":"ehealth-nicht-auf-kosten-der-patientensicherheit","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=15360","title":{"rendered":"eHealth: Nicht auf Kosten der Patientensicherheit"},"content":{"rendered":"\n<p>Bei der digitalen Gesundheit hinkt Deutschland im internationalen Vergleich geh\u00f6rig hinterher. Laut einer Bertelsmann-Studie sind wir Vorletzter, nur Polen digitalisiert noch langsamer. Experten f\u00fchren verschiedene Gr\u00fcnde an. Unter anderem mangle es an einer sicheren Infrastruktur, die den rechtlichen Anforderungen gerecht wird. <\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"750\" height=\"450\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/11\/Uniscon.png\" alt=\"\" class=\"wp-image-15361\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/11\/Uniscon.png 750w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/11\/Uniscon-300x180.png 300w\" sizes=\"auto, (max-width: 750px) 100vw, 750px\" \/><figcaption>Screenshot: Sysbus<\/figcaption><\/figure>\n\n\n\n<!--more-->\n\n\n\n<p>Wenn von Digitalisierung und eHealth die Rede ist, geht es um mehr als die elektronische Patientenakte (ePA): Dienstleister mit digitalen Gesundheitsangeboten dr\u00e4ngen auf den Markt; l\u00e4ngst erleichtern Fitnesstracker und Smartwatches den Alltag vieler Deutscher. Die dazugeh\u00f6rigen Health-Apps erheben und verwerten sensible Daten, viele davon mit Personenbezug. Mit dem Datenschutz k\u00e4mpfen die Anbieter hingegen oft noch: Erst k\u00fcrzlich geriet die Gesundheits-App \u201eAda\u201c in die Kritik, weil sie sensible Daten ohne Wissen der Anwender an Facebook und andere US-Unternehmen \u00fcbermittelt. Mit dem Patientendaten-Implantationsregister steht bereits das n\u00e4chste Mammutprojekt in den Startl\u00f6chern, bei dem Datenschutz-Probleme vorprogrammiert sein d\u00fcrften. <\/p>\n\n\n\n<p><strong>Datenschutz durch Technik?<\/strong><\/p>\n\n\n\n<p>W\u00e4hrend \u00c4rzte und Apotheker der Schweigepflicht nach \u00a7203 StGB unterliegen, gelten f\u00fcr App-Anbieter, Dienstleister und Server-Betreiber meist andere Regeln. Selbstverst\u00e4ndlich gibt es strenge Gesetze und Anforderungen f\u00fcr den Umgang mit personenbezogenen Daten, die vor allem in der EU-Datenschutzgrundverordnung (DSGVO) und im Bundesdatenschutzgesetz (BDSG-neu) geregelt sind. Diese erweisen sich in der Praxis allerdings h\u00e4ufig als wirkungslos, weil etwa organisatorische Schutzma\u00dfnahmen (vergleiche Art. 32 DSGVO) wie Rechte- und Rollenkonzepte relativ einfach umgangen werden k\u00f6nnen. Administratoren k\u00f6nnen sich in der Regel privilegierten Zugriff zu den Servern verschaffen und vertrauliche Daten einsehen, manipulieren oder entwenden. Bereits eine m\u00f6gliche Kenntnisnahme sensibler Informationen stellt einen Versto\u00df gegen die Schweigepflicht dar und muss daher von vornherein ausgeschlossen sein. <\/p>\n\n\n\n<p><strong>Patientensicherheit durch IT-Sicherheit<\/strong><\/p>\n\n\n\n<p>Um personenbezogene Daten wie Patientendaten vor Kenntnisnahme, Manipulation oder Verlust zu sch\u00fctzen, braucht es eine rein technische, manipulationssichere und pr\u00e4ventive L\u00f6sung, die jeglichen \u2013 auch privilegierten \u2013 Zugriff zuverl\u00e4ssig unterbindet. Zahlreiche Public-Cloud-Angebote und sogar viele Business Clouds tun sich damit jedoch schwer. Denn die meisten Server-Infrastrukturen sehen privilegierte Admin-Zug\u00e4nge vor, beispielsweise zu Wartungs- oder Monitoring-Zwecken. <\/p>\n\n\n\n<p>Einen anderen Ansatz verfolgen versiegelte Infrastrukturen: Hier wurden die organisatorischen Schutzma\u00dfnahmen vollst\u00e4ndig durch technische Ma\u00dfnahmen ersetzt, die sich auch mit hohem Aufwand nicht umgehen lassen. Die Server sind hermetisch abgeriegelt, ein privilegierter Admin-Zugriff ist nicht vorgesehen \u2013 eine Kenntnisnahme vertraulicher Daten ist ebenso ausgeschlossen wie Diebstahl und Manipulation. Das gilt nicht nur f\u00fcr Administratoren, sondern f\u00fcr alle externen und internen Angreifer.<\/p>\n\n\n\n<p>\u201eGesundheitsminister Spahn fordert mehr Patientensicherheit. Langfristig werden wir diese nur durch bessere IT-Sicherheit realisieren k\u00f6nnen \u2013 und dazu muss sich IT-Sicherheit wie auch vom Gesetzgeber gefordert am Stand der Technik orientieren\u201c, sagt Dr. Hubert J\u00e4ger, Datenschutz-Experte und CTO der M\u00fcnchner T\u00dcV S\u00dcD-Tochter uniscon GmbH. <\/p>\n\n\n\n<p>Als Beispiele f\u00fcr versiegelte Infrastrukturen nennt J\u00e4ger unter anderem die Versiegelte Cloud der Deutschen Telekom, die ucloud des Aachener TK-Providers regio iT sowie idgard und die sealed platform der uniscon, eine hochsichere Cloud-Plattform, auf der sich sch\u00fctzenswerte Anwendungen rechtssicher und datenschutzkonform betreiben lassen. <\/p>\n\n\n\n<p>Weitere Informationen: <a href=\"https:\/\/www.uniscon.com\/de\/cloud-loesung\/sealed-platform\/\">https:\/\/www.uniscon.com\/de\/cloud-loesung\/sealed-platform<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Bei der digitalen Gesundheit hinkt Deutschland im internationalen Vergleich geh\u00f6rig hinterher. Laut einer Bertelsmann-Studie sind wir Vorletzter, nur Polen digitalisiert noch langsamer. Experten f\u00fchren verschiedene Gr\u00fcnde an. Unter anderem mangle es an einer sicheren Infrastruktur, die den rechtlichen Anforderungen gerecht wird. <\/p>\n","protected":false},"author":1,"featured_media":15361,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[4,37],"tags":[13163,9634,6257,13161,9408,13160,13162,3275,13168,13167,13164,13169,36,2601,3543,13166,13165],"class_list":["post-15360","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news","category-security","tag-ada","tag-bdsg-neu","tag-cloud","tag-digitale-gesundheit","tag-dsgvo","tag-ehealth","tag-epa","tag-facebook","tag-idgard","tag-regio-it","tag-schweigepflicht","tag-sealed-platform","tag-sicherheit","tag-telekom","tag-tuev","tag-ucloud","tag-uniscon"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/15360","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=15360"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/15360\/revisions"}],"predecessor-version":[{"id":15362,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/15360\/revisions\/15362"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/15361"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=15360"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=15360"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=15360"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}