eHealth und Datenschutz: "Erschreckend, wie wenig IT-Sicherheit mitgedacht wird"
Beschlagnahmeverbote von Gesundheitsdaten und Zertifizierungspflichten für digitale Gesundheitssysteme fordert die Datenschutzbeauftragte Marit Hansen.
(Bild: Tex vector/Shutterstock.com/Bearbeitung: heise online)
(Bild: Markus Hansen/ULD)
Nachbesserungen von der Politik für die Digitalisierungsvorhaben im Gesundheitsbereich fordert Marit Hansen, Vorsitzende der Datenschutzkonferenz von Bund und Ländern (DSK) und schleswig-holsteinische Landesdatenschutzbeauftragte, im Gespräch mit heise online. Die Informatikerin befasst sich seit Ende der 1990er Jahren im Rahmen von nationalen und internationalen Forschungsprojekten mit technischen Konzepten für "Datenschutz by Design", die jetzt im Mittelpunkt der europäischen und deutschen Regulierungspläne stehen. Sie gehört zu den wenigen Fachleuten, die den aktuellen Stand der Technik von Pseudonymisierungs- und Anonymisierungstechniken realistisch einschätzen können.
heise online: Der Regelungsentwurf für den europäischen Gesundheitsdatenraum EHDS setzt auf den technischen Schutz der Gesundheitsdaten. Wie gut können sich Patienten und Patientinnen auf Pseudonymisierung und Anonymisierung verlassen?
Marit Hansen: Wenn Anonymisierung oder Pseudonymisierung gesetzlich vorgeschrieben sind, dann muss der Verantwortliche – also zum Beispiel ein Krankenhaus oder ein Datenbank-Betreiber – dafür sorgen, dass geeignete Verfahren auf geeignete Weise zum Einsatz kommen. Es gibt inzwischen gute Lösungen, doch diese werden oft nicht oder nicht richtig umgesetzt. Wichtig ist aber zu verstehen: Anonymisierung ist stets mit einem Verlust an Informationen verbunden, ein typischer Einsatzbereich sind Trendanalysen oder Statistiken. Im Gegensatz dazu passt eine Pseudonymisierung beispielsweise für solche Fälle, in denen man Daten zu einer Patientin übereinen längeren Behandlungsverlauf auswerten will, denn dafür müssen die Datensätze derselben Person zugeordnet werden können.
Zertifizierungspflicht für Hochrisikobereiche
heise online: Im Moment verlässt sich die geplante Regulierung für den Europäischen Gesundheitsdatenraum EHDS auf eine gute technische Umsetzung. Wie sehen Sie das als Informatikerin und Datenschützerin?
Hansen: Schön, dass es endlich mal einen klaren Anreiz für technische Lösungen gibt, die einen hohen Schutz garantieren. Problematisch ist jedoch, dass in den Regulierungsentwürfen von Kommission und Parlament nicht viel zu den Anforderungen an solche technischen Lösungen gesagt wird. In Hochrisikobereichen wäre eine Zertifizierungspflicht angemessen, um von unabhängiger Seite zu bestätigen, dass die Verfahren den Anforderungen genügen und sie außerdem korrekt implementiert sind. Hier steht nicht allein die Technik im Fokus:, die geplanten technischen Lösungen müssen immer mit Blick auf die konkrete Organisation, die Architektur und den rechtlichen Rahmenbedingungen bewertet werden.
Inwieweit sind denn Zertifizierungen nach DSGVO bereits möglich?
Die allerersten Zertifizierungsanbieter sind jetzt an den Start gegangen, in einigen Monaten wird es weitere Zertifizierungsmöglichkeiten geben. Wichtig ist dabei, dass man ein System so aufbaut, dass es zertifizierbar ist. Wer eine Zertifizierung plant, sollte schon jetzt dafür sorgen, dass die Konzepte und ihre Umsetzungen vorbildlich dokumentiert sind – und natürlich nicht nur aus Sicherheitssicht, sondern einschließlich der Anforderung "Datenschutz by Design".
Sollte die Zertifizierung freiwillig bleiben oder sollte hier der Gesetzgeber die Zertifizierung einfordern?
Immer wieder werden Fälle im Bereich der digitalen Gesundheitsdienste bekannt, die deutlich machen, wie wenig der Hersteller IT-Sicherheit mitgedacht hat: Wie kann man überhaupt ein System oder eine Anwendung ohne das ausreichende Schutzniveau ausliefern? Daher sollte die Gesetzgebung im Hochrisikobereich auf alle Fälle Vorgaben zu unabhängigen Überprüfungen machen. Das betrifft sowohl IT-Sicherheitszertifizierungen als auch Datenschutzzertifizierungen. Beides muss dabei Hand in Hand gehen.
