Nach unbefugtem ePA-Widerspruch: Bundesdatenschutzbeauftragte will Rechte zurĂĽck
Nach einem unbefugten Widerspruch bei der "ePA fĂĽr alle" prĂĽft die BfDI den Vorfall und fordert fĂĽr sich und das BSI das einstige Veto-Recht zurĂĽck.
(Bild: Have a nice day Photo/Shutterstock.com)
Vergangene Woche wurde bekannt, dass es einem Unbefugten gelungen war, bei der Barmer Krankenkasse Widerspruch für die elektronische Patientenakte einer fremden Person einzulegen. Die Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI), Louisa Specht-Riemenschneider, prüft den Fall derzeit. Als eine Ursache für solche Ereignisse macht die BfDI die Gesetzesänderung verantwortlich, nach welcher dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der BfDI das Veto-Recht entzogen wurde.
Veto-Recht fĂĽr BSI und BfDI
"Die BfDI sollte so früh wie möglich in die Prüfung der Datenverarbeitungsvorgänge in der ePA einbezogen werden. Es wäre sinnvoll, wenn die Gesetzeslage wieder vorsehen würde, dass BfDI und BSI Einvernehmen zu den konkreten Vorgaben der ePA erteilen müssen", sagt der Sprecher der BfDI gegenüber heise online. Zwar wurden das BSI und die BfDI in die Pläne zur ePA einbezogen, allerdings müssen diese lediglich ins Benehmen gesetzt werden und dürfen bei Bedenken kein Veto mehr einlegen.
Bereits Ende April hatte die BfDI betont, dass ihre Behörde keine Genehmigungsbehörde sei und man sich die ePA im laufenden Betrieb anschauen müsse. In dem Kontext nahm sie auch Bezug auf die Sicherheitslücken der ePA. Mit dem Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens verloren BfDI und BSI das Veto-Recht. Das Veto-Recht wurde insbesondere im Kontext der Einführung und Ausgestaltung der elektronischen Patientenakte und des E-Rezepts abgeschafft, nachdem der ehemalige BfDI, Ulrich Kelber, bis zur Behebung von Schwachstellen mehrfach von seinem Veto-Recht Gebrauch gemacht hatte.
Identitätsprüfung durch Krankenkassen
Eigentlich hätte die Barmer Krankenkasse "die Identität und die Berechtigung der erklärenden Person sicherstellen" müssen. "Die Sicherstellung der Identität und die Berechtigung der erklärenden Person ist Voraussetzung, damit eine sich anschließende Datenverarbeitung (in diesem Beispiel: die Löschung der ePA) sachlich richtig und rechtmäßig erfolgen kann. Die Authentifizierung der erklärenden Person liegt in der datenschutzrechtlichen Verantwortung der jeweiligen Krankenkasse", so der Sprecher der BfDI.
Laut Barmer sei es nicht ohne Mithilfe oder Einwilligung möglich, Widerspruch gegen die ePA einer dritten Person einzulegen. "Die Einlegung eines unberechtigten Widerspruchs oder unberechtigten Löschungsantrags ist bis dato nicht zu verzeichnen", heißt es von der Barmer auf Nachfrage. Bei dem durch das Handelsblatt angesprochenen Fall handele es sich demnach "um einen mithilfe der Berechtigten selbst veranlassten Zugriff". Zudem würden Widerrufe "seit dem bundesweiten Rollout am 29. April 2025 […] mit einer 28-tägigen Frist versehen", sofern Versicherte zuvor nicht zweifelsfrei ihre Identität nachgewiesen haben. Ihre Identität sollen Versicherte beispielsweise in der Filiale mit Vorzeigen ihres Personalausweises nachweisen können oder beim Widerspruch in der eCare-App der Barmer mit ihrer GesundheitsID. Warum die Barmer die Einführung der 28-Tage-Frist an den Regelbetrieb der ePA geknüpft hat, ist weiterhin unklar.
Videos by heise
Einem für die Krankenkassen als Dienstleister tätigen Informanten war es gelungen, in der dritten Aprilwoche Widerspruch für eine fremde elektronische Patientenakte einzulegen. Dazu habe er unter anderem in einem Widerspruchs-Formular der Barmer lediglich den Namen der Versicherten eingegeben und unterschrieben – die Angabe der Versichertennummer sei nicht erforderlich gewesen. Das habe sich inzwischen geändert, jetzt ist die Angabe der Versichertennummer erforderlich.
Mögliche Schwachstellen bekannt
Sicherheitsexperten des Fraunhofer SIT hatten bereits im Vorfeld vor einer Vielzahl von Angriffsvektoren zur "unbefugten Widerspruchseinreichung" gewarnt. Die Kritik lautete unter anderem, dass es weder für das Verfahren zum Einlegen noch für das Verfahren zur Rücknahme von Widersprüchen "Mindestsicherheitsanforderungen" und "Sicherheitsüberprüfungen" gebe. Ein Widerspruch gegen die Patientenakte sollte zu ihrer sofortigen Löschung führen.
"Angreifer könnten die Widersprüche missbräuchlich für sich nutzen, um gezielt Patientenakten zu löschen", heißt es in dem Gutachten. Die Gematik "weist explizit darauf hin, dass das Verfahren nicht Bestandteil der Spezifikation ist." Daher empfahlen sie, einen Prozess für die Kostenträger zu definieren, "wie ein Widerspruch eingelegt werden kann. So werden Mindestsicherheitsanforderungen berücksichtigt und es wird ein einheitlicher Prozess etabliert."
Viel Kritik an ePA
Bei der elektronischen Patientenakte gibt es immer wieder Kritik in Bezug auf Datenschutz und IT-Sicherheit. Erst kürzlich wurde bekannt, dass die erweiterten Sicherheitsmaßnahmen für den Zugang zu Daten in der ePA nicht ausgereicht haben – das soll sich inzwischen geändert haben. Ebenso gibt es unter anderem Kritik daran, dass das Berechtigungsmanagement umgestellt wurde und es nicht mehr möglich ist, bestimmten Institutionen Freigaben für einzelne Dateien zu erteilen.
Digital Health abonnieren
Alle 14 Tage bieten wir Ihnen eine Ăśbersicht der neuesten Entwicklungen in der Digitalisierung des Gesundheitswesens und beleuchten deren Auswirkungen.
E-Mail-Adresse
Ausführliche Informationen zum Versandverfahren und zu Ihren Widerrufsmöglichkeiten erhalten Sie in unserer Datenschutzerklärung.
(mack)
