+49 221 33 77 23-0
Aktuelles Aktuelles IT-Strafrecht   

Cyberangriff auf die elektronische Patientenakte

   
10. Juli 2023

WIE SICHER SIND DIE DATEN?

Die Digitalisierung im Gesundheitswesen ist eng mit der Einführung der Telematik-Infrastruktur verbunden. Die Einführung der „Datenautobahn des Gesundheitswesens“ (BT-Drs. 19/18793, S. 1, S. 80) soll zu einer besseren Vernetzung der Akteure (Patienten, Ärzte, Krankenhäuser, Pflegeeinrichtungen) durch Fernübertragung von digitalisierten Informationen führen. Dies erhöht jedoch auch die Möglichkeiten des Zugriffs von außen durch Kriminelle.

Welche Daten sind in der elektronischen Patientenakte gespeichert?

Die zentrale Anwendung der Telematik-Infrastruktur ist die elektronische Patientenakte (§§ 341 – 355 SGB V). Die elektronische Patientenakte soll die alte Zettelwirtschaft beenden und alle Patientendaten, die bislang bei den verschiedenen Akteuren abgelegt waren, zusammentragen. Dazu gehören Röntgenbilder, Arztbriefe, Befunde oder Medikationspläne, aber auch der Impfausweis, der Mutterpass, das Zahnbonusheft oder die Patientenverfügung. Außerdem können Versicherte auch eigene Daten, wie z.B. ein Tagebuch über Blutzuckermessungen, ablegen.

Welche Sicherungsmaßnahmen gibt es?

Da es sich um sensible Gesundheitsdaten handelt, sind der Datenaustausch und die Vernetzung mit Blick auf Art. 9 DS-GVO kleinteilig reguliert. In § 306 Abs. 3 SGB V weist der Gesetzgeber auf die Pflicht zur Einhaltung eines entsprechend hohen Schutzniveaus durch technische und organisatorische Maßnahmen gem. Art. 32 DS-GVO hin. Die Daten werden in der elektronischen Patientenakte verschlüsselt abgelegt (gematik, Whitepaper Datenschutz und Informationssicherheit in der Telematikinfrastruktur, Juni 2021, S. 35). Nur die Versicherten und diejenigen, die von ihnen zum Zugriff berechtigt wurden, können die Inhalte lesen. Die Krankenkasse darf beispielsweise nicht auf die Inhalte zugreifen. Der Zugriff auf die elektronische Patientenakte erfolgt über die in sich geschlossene Telematik-Infrastruktur.

Sind die Daten im Fall eines Cyberangriffs gefährdet?

Der Krankenkassendienstleister Bitmarck, zu dessen Kunden die Gesellschaft für Telematik gehört (welche maßgeblich die technische Umsetzung der Telematik-Infrastruktur bestimmt) war seit dem 26.04.2023 von einem Hackerangriff betroffen (https://www.bitmarck.de/infothek/faq-cyberangriff). Datenabflüsse wurden jedoch nicht festgestellt. Nachdem die Frühwarnsysteme des Unternehmens den Angriff meldeten, musste es zunächst einzelne Server und schließlich auch das Münchener Rechenzentrum vom Netz nehmen. Als Vorsichtsmaßnahme schaltete das Unternehmen seine Systeme vollständig ab. Dies führte zu Einschränkungen bei der Nutzung der Anwendung elektronische Patientenakte für Versicherte der Allianz, hkk, DAK, KKH, Mobil BKK, svlfg, BKK & IKK. Nach zwei Wochen hatten etwa zwei Drittel der betroffenen Versicherten wieder Zugriff auf ihre elektronische Patientenakte. Die in der elektronische Patientenakte hinterlegten Patientendaten seien durch den Angriff zu keiner Zeit gefährdet gewesen.

Fazit

Neben Hackerangriffen können auch unbefugte Zugriffe durch Mitarbeiter die Datensicherheit gefährden. Insbesondere Unternehmen, die sensible Gesundheitsdaten verarbeiten, sollten sich mit einem Notfallkonzept inklusive Notfallhandbuch auf Cyberangriffe vorbereiten. Wie auch im Falle des Krankenkassendienstleisters Bitmarck erfolgen parallel zur Krisenkommunikation nach innen und außen Meldungen an die Landesdatenschutzbehörde und Strafanzeige an das Landeskriminalamt. Rechtliche Hilfestellung vor und nach dem Notfall können Ihnen die Rechtsanwält*innen von Tsambikakis & Partner geben.


Kontaktieren Sie uns:

 Diana Nadeborn Diana Nadeborn