Vor kurzem musste ich feststellen, dass ein Impfzentrum bei mir auf sehr fragwürdige Techniken setzt.
Die Seite ist von der Stadt und wohl durch einen Dienstleister ins Leben gerufen worden. Ich finde es schade, dass es bis heute kein Gesetz oder einen Standard gibt, wo man die Kompetenz des Diensleisters nachweisen muss. Gerade in dem Fall geht es schließlich um hoch sensible Gesundheitsdaten und die Stadt bekam es nicht hin, ein funktionierendes und sicheres Portal zur Verfügung zu stellen.
Ein kurzes Best of Produktivsystem:
Cloudflare (ergo Man-in-the-Middle in die USA)
kaputter Kalender, falsche Kalendereinstellung (es ist das Jahr 1970 und noch besser man kann sich erst in der Zukunft und dann in der Vergangenheit impfen lassen - Logikfehler)
Seite komplett offen für XSS-Angriffe jeder Art
CSP noch nie gehört
unsichere Cookies / unsicher im Sinne von unverschlüsselt
und vieles vieles mehr, was so im Gesundheitswesen überhaupt nicht sein sollte…
Leider sieht es auch bei den Testzentren nicht sonderlich viel besser aus. Viele beklagen sich, dass sie kein Geld bekommen haben und das selbst finanziert hätten (ob das stimmt weiß ich nicht), jedoch sind viele Prozesse aus Datenschutzsicht nicht notwendig.
Es gibt viele Testzentren, die tatsächlich auf AWS oder Google speichern (Gesundheistdaten)
Der Prozess, dass man nochmal eine E-Mail mit Testergebnis erhält ist schön und gut, aber oft gibt es nicht die Möglichkeit, dass dies “offline” geschehen kann und warum gibt es überhaupt in der E-Mail nochmal den vollständigen Namen? Ein Code, der mit der Anmeldung übereinstimmt wäre hier viel besser geeignet und verteilt dann nicht Gesundheitsinformationen auf viele verschiedene E-Mail Server, die die meisten Menschen sowieso nicht kontrollieren können.
Sicherheitstechnisch scheinen sich hier viele leider überhaupt keine Gedanken über die Konsequenzen gemacht zu haben oder schlichtweg Dienstleister zu haben, die sich auch auskennen.
Im Gesundheitssystem (z. B. auch bei Arztpraxen) sollten in der Praxis viel höhere Maßstäbe gelten.
Für die Testzentren verweise ich hier gerne auf die Forschungsberichte der Gruppe “Zerforschung”, die sich einige Testzentren angeschaut und dort weitere massive Probleme gefunden haben.
Guten Morgen,
leider mache ich immer wieder die Erfahrung, dass Datenschutz oft als lästiges Übel wahrgenommen wird. Da man als DSB kein Mandat, oder Ähnliches hat, fehlen die Möglichkeiten aktiv zu werden. Ich, für meine Person, möchte dann auch nicht gleich mit dem LfDI drohen und behalte meine Einwände meistens für mich. Was macht Ihr? Geht Ihr auf die Leute zu? Ohne Handhabe?
Verantwortlich für die Einhaltung des Datenschutzes ist die Geschäftsführung und nicht der DSB.
Der DSB berät die Geschäftsleitung im Bereich Datenschutz. Er schreibt mindestens einmal im Jahr sein Rechenschaftsbericht an die Geschäftsleitung. In diesem Bericht schreibt er auch seine Beanstandungen und wenn die Geschäftsleitung nicht tätig wird um damit hat er seine Pflicht getan und man kann Ihm keine Vorwürfe machen. Wenn der DSB seine Einwände verschweigt und es nicht der Geschäftsleitung mitteilt, dann kann man ihn schon Untätigkeit vorwerfen.
Wobei ihr bedenken müsst, dass es in den Impfzentren definitiv unter 20 MA gibt, die dann keinen DSB extra bestellen müssen. Damit ist die Geschäftsführung verantwortlich und aus meiner Erfahrung ist der Datenschutz dann eher schlecht als recht.
Ich glaube der Datenschutz im Gesundheitsbereich ist nicht das Papier wert, auf dem er steht. Denn leider ist Papier geduldig! Ich kann sofort einige Ärzte in meiner Region aufzählen, die interne DSB´s bestellt haben, die von “Tuten und Blasen” keine Ahnung haben. Da wird z.B. Regelmäßig der Der Bayerische Landesbeauftragte für den Datenschutz Prof. Dr. Thomas Petri als zuständige Aufsichtsbehörde genannt. Das ist aber auch verzwickt, in Bayern machen die das natürlich wieder anders. Hier gibt´s eine extra Aufsicht für den nicht-öffentlichen Bereich. Schlechte Idee “Copy & Paste”.
Das mit den Ärzten ist mir in meiner Arbeit im IT-Sec Bereich durchaus bewusst und ist ja (leider) allgemein bekannt. In dem Thema wollte ich auf Grund der Dringlichkeit allerdings nur auf Impfzentren und Testcenter raus. Da sich viele dort ja inzwischen testen “müssen”, wenn es z. B. für die Arbeit vorgeschrieben ist und sie ihren Job nicht verlieren wollen. Dann sollte jemand mal über die Zustände vor Ort sprechen.
Ich wurde beauftragt Testzentren auf Datenschutz/Datensicherheit zu testen.
Bei einem Testcenter habe ich in der ersten Minute (beim reingehen) 5 zu beanstandende Punkte gefunden. Ich find an den ersten, zweiten ,dritten zu erwähnen - dann kam unterbrechend die Aussage: “Danke, bitte testen sie nurnoch unsere Homepage”.
Und wieder ein Datenleck. Diesmal in Köln (Name, Ausweisnummer etc.).
Ich weiß nicht, was ich dazu noch sagen soll. Ja, es ist wichtig das die Dinge schnell stehen, aber das man auch die DV vorher prüft auch, weil es Gesundheitsdaten sind und die haben bei Privatunternehmen nichts verloren.
Meiner Meinung nach müsste jedes Unternehmen, was Gesundheitsdaten verarbeitet VORHER einer Prüfung unterzogen werden und / oder das nur von Fachleuten eingerichtet werden (und dann hoffen, dass es “anständige” Fachleute sind). Jetzt wissen Menschen für einen kurzen Zeitraum, dass sie positiv oder negativ sind, aber dürfen sich vlt. ihr Leben lang mit Identitätsdiebstahl herumschlagen. Das kann es auch nicht sein. Langzeitfolgen ohne Ende. Ich kann nur hoffen, dass die Behörden hier durchgreifen und es saftige Bußgelder regnet, weil je mehr man das durchlässt desto weniger wird es ernst genommen und desto häufiger wird es einfach weiter so gemacht, weil es hat ja dann keine Konsequenzen.
Nun ja, der Fisch stinkt vom Kopf. Ich möchte Herrn Spahn zitieren “Datenschutz ist etwas für Gesunde”. Oder anders ausgedrückt, im Moment haben wir andere Sorgen als Datenschutz, Daten- und IT-Sicherheit. Wir laufen in Deutschland beständig in die Normalisierung der Abweichung und damit unsicherer digitaler Abläufe. EIn ISB hat mir einmal gesagt, wenn man sich nicht von Anfang an, um IT-Security kümmert, dann macht man es nie.
Die Corona-Pandemie hat, neben der deutschen Prä-Holozän-Digitalisierung, vor allem eine flächendeckende Diskrepanz zwischen Theorie und Praxis offenbart. Seien es in den Schubladen unbeachtet schlummernde Pandemiepläne oder die Themen Datenschutz und IT-Sicherheit, von denen erstaunlich viele das erste Mal zu hören scheinen. Die umfangreichen deutschen Regelwerke und die umgesetzte deutsche Praxis driften stellenweise erheblich auseinander (angefangen bei offen herumliegenden Gäste-/Besucherlisten bis zu Datenleaks von Testzentren).
Eines funktionierte in der Praxis jedoch hervorragend: Viele Menschen wurden in Angst und Schrecken versetzt, wie es das BMI in seinem Szenarienpapier vorsah: “Um die gewünschte Schockwirkung zu erzielen, müssen die konkreten Auswirkungen einer Durchseuchung auf die menschliche Gesellschaft verdeutlicht werden”. https://www.bmi.bund.de/SharedDocs/downloads/DE/veroeffentlichungen/2020/corona/szenarienpapier-covid19.html
Gelebter Datenschutz in einer gelebten Demokratie.
Sind Impfzentren aus datenschutzrechtlicher Sicht öffentliche Stellen (siehe Beispiele unten), dann haben sie auf jeden Fall einen DSB zu benennen (Art.37 Abs.1 lit.a). Dies gilt gleichermaßen für die Stellen des Bundes (§5 Abs.1 BDSG) und in den LDSG wird es kaum anders geregelt sein (Bayern: Art.12 BayDSG bezieht sich nur ergänzend auf die DSGVO; Hessen: Benennung in §5 HDSIG; bei anderen habe ich nicht nachgeschaut).
Die DSGVO fordert zudem die Benennung eines DSB, wenn “die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9” besteht (Art.37 Abs.1 lit.c).
Für Verarbeitungen nicht-öffentlicher Stellen, die einer Datenschutz-Folgenabschätzung unterliegen, sind DSB “unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen” zu benennen (§38 Abs.1 Satz 2 BDSG). Eine Datenschutz-Folgenabschätzung ist bei der Verarbeitung von Gesundheitsdaten grundsätzlich erforderlich.
Die Anwendung der 20-Personenregel kann demnach für Impfzentren ausgeschlossen werden.
Das kann ich bestätigen. IT-Sicherheit und Datenschutz wird vielfach erst ein Thema, wenn derjenige (IT-SiBe, DSB) nach der Einführung eher zufällig davon erfährt. Und dann gestaltet sich eine Änderung (wie zB die Implementierung eines Rechte-/Rollenkonzepts) einigermaßen kompliziert. Wenigstens wird an den Unis inzwischen ein modernerer Entwicklungskreislauf gelehrt und auch die IT-Leute von größeren Softwarefirmen mahnen das Thema der Vernachlässigung an. Wobei man auch sagen muss, dass es der Job der DSB ist, auf die vorherige Konsultation (Art.36) hinzuweisen … was von Verantwortlichen allerdings auch gern wieder vergessen wird.
Vielfach ist den Test- und Impfzentrenbetreibern sowie ihren Software-Herstellern schon gar nicht klar, welche Datenschutz- und IT-Sec-Voraussetzungen sie einhalten müssen. Die vorzitierte Handreichung des LfDI BW erscheint hilfreich, aber zu wenig sichtbar, und nur auf ein Bundesland beschränkt. Die Datenschutzbehörden sind hier ganz besonders schon völlig ausgelastet mit Datenpannen und Beschwerden.
Einzig effektiv sichtbare Lösung des Problems scheinen eine entsprechende Festlegung der DSK und des BSI (wohl in der Zeitachse utopisch) bzw. entsprechende Regelungen in den zugrunde liegenden Rechtsverordnungen. Auch eine Genehmigungspflicht nach Art. 36 Abs. 5 DSGVO könnte hilfreich wirken.
Bei der Maskenausgabe durch Apotheken hat die Initiative des BfDI viel dazu beigetragen, schlimmste Auswüchse einzudämmen. Vielleicht kann auch zu Test- und Impfzentren eine zentrale Initiative Wirkung entfalten, @BfDI-Kelber ?
Das Kind ist doch schon in den Brunnen gefallen. Ich würde vermuten wollen, dass viele kleinere Betreiber (Coronapoint ist nicht unbedingt ein kleiner Anbieter) von Testzentren nach der Pandemie wieder von der Bildfläche verschwinden.
Was aber passiert mit den Testdaten? Wie sind diese gesichert bzw. werden Speichergeräte datenschutzgerecht entsorgt? Wenn wir schon im laufenden Betrieb derartige Pannen haben, während dessen die Betreiber noch greifbar sind, was geschieht danach?
Man kann allenfalls noch Schadensbegrenzung betreiben und hier bin ich momentan nicht sehr optimistisch. Der LfDI BW Stefan Brink hat bereits auf die Datenhalde hingewiesen, die entstanden ist. Wer wird sich nach der Pandemie dafür interessieren? Wahrscheinlich nur die Betroffenen eines Identitätsdiebstahls.
Jedenfalls eine Vielzahl von ‘Kindern spielen noch oben am Brunnenmund’, oder ‘leben noch schwimmend im Brunnen’, um im Bild zu bleiben. Dass Probleme bestehen und bekannt geworden sind, sollte nicht als Argument dagegen dienen, weiterhin bestehende und zusätzliche Probleme an der Wurzel anzugehen.
Die Löschung und Getrennthaltung von Testdaten ist etwa bei der Diskussion um den Abrechnungsbetrug schon eingehender erörtert worden. Da diese allgemeinen datenschutzrechtlichen Gebote bislang keinen konkretisierten Niederschlag in detaillierteren Vorschriften (etwa der TestVO) gefunden haben, dürfte eine Sensibilität der Verantwortlichen insoweit allerdings überschaubar geblieben sein.
Eine sichtbare autoritative Festlegung insoweit kann immerhin helfen, Probleme aus den entstandenen und weiterhin entstehenden Datenhalden einzuhegen. Von Testzentren bzw. -softwares teils gespeicherte Lichtbilder, Personaldokumentkopien oder -nummern scheinen insoweit klare Ziele einer wirksamen Information bzw. rechtlichen Detailregelung. Würden diese gelöscht und in Zukunft nicht mehr erfasst, ließe sich immerhin das Risiko derartiger Datensätze substantiell vermindern.
Im Grunde wäre wünschenswert, dass entsprechende Datenschutzkonzepte schon Voraussetzung einer Zulassung wären, vgl. Art. 36 Abs. 5 DSGVO. Die Finanzströme bei der Abrechnung bieten hier sowohl einen sachlichen als auch einen regulatorischen Anknüpfungspunkt.