Wer oder was ist die D-Trust GmbH? Sie ist ein Tochterunternehmen der Bundesdruckerei. In seiner Selbstdarstellung  erklärt das Unternehmen: „Die D-Trust GmbH ist ein Unternehmen der Bundesdruckerei-Gruppe… Technologisch ausgereifte Lösungen machen uns zu einem Vorreiter für sichere digitale Geschäftsprozesse und Identitäten. So stärken wir das Vertrauen in die Digitalisierung… Ob digitale Zertifikate, elektronische Signaturen oder andere IT-Lösungen – für unsere Kunden und Partner stellen wir rechtssichere und zertifizierte Vertrauensdienste her, die den höchsten Sicherheitsstandards moderner Infrastrukturen entsprechen…“

Ganz anders klingt die Information zu einem „Datenschutzvorfall“ am 13.01.2025: „Die D-Trust GmbH ist Ziel eines Angriffs auf das Antragsportal für Signatur- und Siegelkarten geworden. Der Angriff wurde am 13.1.2025 festgestellt. Dabei sind möglicherweise personenbezogene Daten von Antragstellern entwendet worden.“ Und weiter – die üblichen Beruhigungspillen, die nach jeder Datenpanne bzw. jedem Hackerangriff verteilt werden: „Nach Aufdecken des Angriffs hat die D-Trust umgehend die Situation ausgewertet und Sofortmaßnahmen ergriffen, um den Schutz der Daten im Portal sicherzustellen. Die entsprechenden Aufsichtsstellen wurden benachrichtigt, die Betroffenen werden individuell informiert. Es wurde Strafanzeige gegen Unbekannt gestellt. Ein spezialisiertes IT-Sicherheitsteam der D-Trust arbeitet eng mit den zuständigen Behörden zusammen, um die Hintergründe des Angriffs aufzuklären…“

Und zur Telematikinfrastruktur im Gesundheitswesen erklärt die D-Trust GmbH: „Über die Telematikinfrastruktur (TI) werden alle Akteure der gesetzlichen Krankenversicherung digital verbunden. Ärzte, Zahnärzte, Psychotherapeuten, Apotheker und Angehörige anderer Heilberufe bzw. nicht-approbierter Gesundheitsberufe können sektoren- und systemübergreifend Patientendaten sicher austauschen… Vertrauen ist alles! Um die sensiblen Patientendaten vor Missbrauch oder Manipulation zu schützen, haben nur registrierte Nutzer Zugang zur TI, die wie ein geschlossenes Netz aufgebaut ist. Die Kommunikation untereinander erfolgt verschlüsselt. Dafür ist ein elektronischer Praxisausweis oder Institutionsausweis (SMC-B) sowie ein elektronischer Heilberufsausweis (eHBA) nötig. Patienten können also sicher sein, dass ihre Daten nur von den Personen und Institutionen genutzt werden, die dafür berechtigt sind.“

Alles nicht so wild oder bedrohlich, was da passiert ist? Ärztekammern sehen das anders:

Ärztekammer Nordrhein am 17.01.2025: „Da wir derzeit nicht wissen, welche Personen betroffen sind, bitten wir um allgemeine Vorsicht und besondere Wachsamkeit gegenüber Phishing-Mails. Die Bundesärztekammer hat uns heute informiert, dass sie sich in enger Abstimmung mit der D-TRUST und weiteren relevanten Stellen (gematik) befindet, um den Vorfall aufzuklären und weitere Maßnahmen zu koordinieren.“

Ärztekammer Niedersachsen am 18.01.2025: „… sind auch Daten von Mitgliedern der Ärztekammer Niedersachsen (ÄKN) entwendet worden. D-Trust ist als Dienstleister für mehrere Landesärztekammern in Deutschland tätig, insbesondere auch für die ÄKN… ach bisherigen Erkenntnissen sind folgenden personenbezogene Daten betroffen:

• Vor- und Nachname
• E-Mail-Adresse
• Geburtsdatum
• Ggfs. Adressdaten
• Ggfs. Nummer des Ausweisdokument

Welche Mitglieder der ÄKN hiervon konkret betroffen sind, ist aktuell noch nicht bekannt…“

Die D-Trust GmbH erklärt zwar, dass die elektronischen Heilberufsausweis (eHBA), mit denen sich Ärzt*innen und Psychotherapeut*innen in den von der gematik bereitgestellten Diensten anmelden können, von dem „Sicherheitsvorfall“ nicht betroffen und die Gesundheits- und Behandlungsdaten von Patient*innen daher sicher geschützt seien. Ob das bei einem weiteren Angriff aber ebenfalls sichergestellt ist, wird die Zukunft weisen.

In einem Interview, das die taz mit dem ehemaligen Bundesdatenschutzbeauftragten Ulrich Kelber vor wenigen Tagen führte, erklärte dieser u. a.:

• „ Die ePA 3.0, die jetzt kommt, hat definitiv in einigen Bereichen niedrigere Standards in Sachen Sicherheit als ihr Vorgänger. Und ihr fehlen wichtige Funktionen, zum Beispiel um zu steuern, wer auf welche Inhalte zugreifen darf… Beim Vorgänger wurde zum Beispiel jede einzelne ePA noch mal separat verschlüsselt. Das fällt jetzt weg und das ist sicher eine Verschlechterung.“
• „Nehmen wir zum Beispiel die Zeitspanne, in der etwa Ärzte auf die Daten zugreifen können. Hat die Patientin einmal ihre Krankenkassenkarte bei einer Arztpraxis eingesteckt, dürfen alle Mitarbeitenden dieser Praxis 90 Tage in deren ePA lesen und schreiben. In einer Apotheke sind es immer noch drei Tage. Das ist beides zu lang. Warum soll die Apotheke, nachdem eine Kundin dort war, noch drei Tage auf die Daten zugreifen können? Und zwar nicht nur auf den Medikationsplan, sondern auch auf andere Gesundheitsdaten. In einer Apotheke können Dutzende Menschen arbeiten, in einer Versandapotheke auch mal Hunderte. Da wäre es ein Leichtes, unbefugt auf Daten zuzugreifen. Oft ohne, dass sich hinterher nachvollziehen lässt, wer das war. Denn dokumentiert wird in der ePA nur, welche Einrichtung auf die Daten zugegriffen hat und nicht, welche Person…“
• „Dazu kommt: Patienten können nicht mehr einstellen, dass ein Dokument, zum Beispiel das Ergebnis einer Blutuntersuchung, vom Hausarzt eingesehen werden kann, aber von der Zahnärztin nicht. Gerade Patienten mit sensiblen Diagnosen, zum Beispiel HIV, oder bei einem Schwangerschaftsabbruch, befürchten zu Recht Stigmatisierung. In der freiwilligen ePA ließen sich Dokumente noch arztbezogen verbergen. Nun werden solch sensiblen Daten ohne Not schlechter geschützt.“
• Und auf die Frage „Welche Folgen kann das konkret haben?“ antwortet Kelber: „Es gibt schon Fälle, in denen Menschen erpresst werden, weil medizinische Daten in falsche Hände geraten sind. Ein Fall aus Finnland: Hier sind die Daten des Anbieters, der die meisten psychotherapeutischen Behandlungen durchführt, an Unbefugte gelangt. Die Betroffenen wurden erpresst.“

Eine – unvollständige – Übersicht über Datenpannen und Datenlecks im Gesundheitswesen in Deutschland finden Sie hier.