(K)ein sicherer Hafen für unsere Patientendaten?
Am 6. Oktober 2015 hat der EuGH ein bahnbrechendes Urteil gefällt: Das Safe Harbour Abkommen mit den USA wurde für ungültig erklärt. Dieses Abkommen gestattet amerikanischen Firmen, Daten europäischer Bürger in des USA zu speichern und verarbeiten. Dafür haben die USA zugesichert, dass dies nach europäischen Datenschutzstandards geschieht. Der EuGH hat nun geurteilt, dass die Daten nicht ausreichend vor dem Zugriff amerikanischer Behörden und Geheimdienste geschützt sind. Dieses Urteil wurde von dem österreichischen Datenschutzaktivisten Max Schrems erwirkt.
Es stellt sich die Frage, ob dies auch Konsequenzen für die Speicherung und Verarbeitung von Patientendaten in der Gesundheitstelematik hat. Die Gesundheitstelematik ist die Vernetzung von Krankenkassen und medizinischen Leistungserbringern. Aufgebaut und betrieben wird die Gesundheitstelematik von der Bertelsmanntochter Arvato. Kann Arvato gewährleisten, dass unsere Patientendaten sicher vor unbefugten Zugriffen sind?
Auf der Website von Arvato Entertainment findet sich ein „Safe Harbour Privacy Statement„. Nun ist Arvato Entertainment ein Unternehmen der Unterhaltungsbranche, ein Bezug zur Gesundheitsbranche also erstmal nicht ersichtlich. Auf einer Website der amerikanischen Regierung findet sich jedoch die Information, dass auch die Mutterfirma, nämlich Arvato Digital Services LLC, gemäß Safe Harbour zertifiziert ist. Hier handelt es sich um einen Dienstleister der Informationsverarbeitungsbranche.
Es wäre folgende Frage an das Bundesgesundheitsministerium und an Bertelsmann-Arvato zu stellen:
Ist es auszuschließen, dass Arvato Digital Services LLC für Arvato Patientendaten speichert oder verarbeitet?
Falls das nicht der Fall ist, ist es auch relativ egal, ob dies in den USA oder irgendwo sonst in der Welt passiert. Seit dem EuGH-Urteil ist klar, dass die Daten in den USA nicht hinreichend sicher wären. Zudem wäre Arvato Digital Services LLC als amerikanische Firma dem Patriot Act unterworfen. Der Patriot Act wurde nach 9/11 erlassen und verpflichtet amerikanische Unternehmen, den amerikanischen Behörden und Geheimdiensten Zugriff auf ihre Daten zu gewähren und zwar unabhängig davon, ob diese in den USA oder anderswo gespeichert sind.
Eine Anfrage des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) bei Unternehmen mit US-Kontakten ergab, dass die Situation sogar noch schlimmer ist: Die Verpflichtung, Daten auf Anordnung an amerikanische Behörden herauszugeben, gilt sogar für deutsche Unternehmen mit sonstigen Konzernverbindungen in die USA.
Fazit: Arvato kann keinesfalls als sicherer Hafen für unsere Patientendaten gelten. Das Bundesgesundheitsministerium sollte dringend seiner Verantwortung gegenüber Mitgliedern gesetzlicher Krankenkassen nachkommen und die Beauftragung von Arvato sofort aufkündigen.
Wie bedanken uns auch für Recherchehilfe bei Rolf Lenkewitz, der die bisher umfangreichste Klage gegen die Speicherung und Verarbeitung unserer Patientendaten in der Gesundheitstelematik führt. Und wir bedanken uns bei Tanzblume, die/der uns auf das Thema hingewiesen hat.
Links:
http://www.heise.de/newsticker/meldung/Gesundheitskarte-Arvato-baut-telematische-Infrastruktur-fuer-Gematik-2057396.html
http://www.arvato-entertainment.com/en/safe-harbor.html
https://safeharbor.export.gov/companyinfo.aspx?id=26906
https://de.wikipedia.org/wiki/USA_PATRIOT_Act
https://www.datenschutzzentrum.de/internationales/20111115-patriot-act.html
http://www.ocmts.de/egk/html/
Meine Güte, was für ein Artikel. Dann will ich mal anfangen:
– Elektronische Daten die (zentral) gespeichert werden sind NIE sicher. Je mehr die entsprechenden Daten wert sind, desto interessanter sind diese für Hacker und Geheimdienste.
– EU-Recht sieht vor das z.B. alle Provider sog. „Abhörschnittstellen“ bereit stellen müssen. Wer sagt das nicht in 2 Jahren ein Gesetz kommt um auf die vorliegenden Daten zuzugreifen?
– Behörden (Finanzamt, BPol, Geheimdienste, etc.) erhalten sowieso Zugriff auf diese Daten, falls dass nötig wird. Das ein richterlicher Vorbehalt hier keine Hürde darstellt, ist die letzten Jahre mehrfach unter Beweis gestellt worden.
– Sobald Daten erhoben werden, wecken diese bei Firmen und besonders in der Politik Begehrlichkeiten. Als Beweis hierfür kann z.B. die LKW-Maut dienen. Es wurde immer betont und darauf hingewiesen das diese Daten NIE anderweitig Verwendung finden werden. Kein halbes Jahr später wurde diese Aussage revidiert.
Ergo: Diese Daten waren, sind und werden nie vor Behörden und besonders nicht vor Geheimdiensten sicher sein. Selbst wenn z.B. die NSA nicht direkt auf diese Zugreifen kann, so ist über den Umweg BND ohne weiteres möglich (siehe Snowden). Die im ersten Teil dieses Artikels getätigten Aussagen sind somit „irreführend“.
– Eine Firma wie Arvato, deren Tochterunternehmen (AZ Direct GmbH, arvato infoscore GmbH, Deutsche Post Adress GmbH & Co. KG) die größten Adresshändler in Deutschland sind, Daten aus dem Gesundheitsbereich anzuvertrauen ist grob fahrlässig. Wenn jemand diese Daten haben sollte, dann der Staat und keine Privatfirma die mit exakt solchen Daten ihren Lebensunterhalt bestreitet.
– Arvato ist mitnichten ein Unternehmen der Unterhaltungsbranche. Dies mag für Bertelsmann noch halbwegs zutreffen, passt jedoch für Arvato nicht (mehr).
– Safe Harbour war, ist und darf niemals auf Patientendaten anwendbar sein. Bei privatwirtschaftlichen Daten (z.B. Facebook) ist ein Transfer von Daten ins Ausland der Standard. Um es salopp zu sagen: So funktioniert eben das Internet.
Fassen wir mal zusammen warum mich dieser Artikel (bzw. das Thema) so sehr aufregt:
Die Kritik fängt viel zu weit am Ende der Kette an. Diese Daten dürfen nämlich überhaupt nicht zentral gespeichert und/oder erfasst werden. Hier liegt doch der eigentliche Knackpunkt. Seit Jahren scheitert Gematik an der Umsetzung einer entsprechenden Infrastruktur. Und die momentan im Gespräch befindliche Infrastruktur entspricht keinem Standard die ein normaldenkender Mensch im Jahr 2015, besonders nach Snowden, ernsthaft umsetzen möchte. Dieses Kind ist jedoch schon in den Brunnen gefallen und der Kampf verloren.
Die gesamte Telematik-Infrastruktur, die Gesetze, die Technik,.. einfach alles was damit zu tun hat ist funktional kaputt. Hier muss von Grund auf neu gehandelt werden. Vor allem müssen die mit einbezogen werden, welche die entsprechenden Vorgaben anwenden bzw. umsetzen müssen: Die niedergelassenen Ärzte und medizinischen Einrichtungen. Ich denke das sich hier eine breite Front bilden lässt, um den entsprechenden Entscheidern entgegen zu treten.
Aber ehrlich: Ein Großteil meiner Kunden sind Ärzte. Kein PC ist vollverschlüsselt. Kein Arzt verwendet PGP. Alle Faxe sind unverschlüsselt (logisch…). Patientenakten und Berichte werden ebenfalls unverschlüsselt versendet. Überweisungsscheine, etc. liegen offen herum. PCs laufen 24/7 durch. Die am weitesten verbreitete Arztsoftware installiert standardmäßig Java 6 (!) und Adobe PDF. Beide ohne jegliche Updates. Inklusive der Browser PlugIns. Niemand überwacht die PCs in den Praxen.. hier wird fleißig auf Facebook gesurft, alte Browserversionen verwendet, usw.
So Who the Fuck Cares Anyway?
Hallo Velocet,
eine Antwort auf meinen Artikel, die länger als der Artikel selber ist. Wow! Ich fühle mich ehrlich geschmeichelt. Zumal ich Ihren Ausführungen fast vollständig zustimme. Nur eins: Der Artikel behauptet nicht, dass Arvato ein Unternehmen der Unterhaltungsbranche ist, sondern Arvato Entertainment, eine Tochter von Arvato Digital Services LLC. Dass die deutschen Behörden über Überwachungsschnittstellen verfügen, ist mir bekannt. Das ist jedoch nicht Thema des Artikels, der keinesfalls den Anspruch erhebt, sich umfassend mit dem Thema Sicherheit von Patientendaten zu befassen. Es ist klar, dass der einzig wirklich effektive Datenschutz in Datenvermeidung besteht. In meinem Artikel geht es lediglich darum, die Rolle von Arvato im Lichte des aktuellen EuGH-Urteils ein wenig zu beleuchten.