Der Chaos Computer Club (CCC) wurde als Sachverständiger in der Anhörung zum neuen Gesetzentwurf für das Patientendaten-Schutz-Gesetz geladen. Der Verein kritisierte dort, dass Schwachstellen längst bekannt sind, sie aber nicht beseitigt werden.
Auf dem Kongress 36C3 in Leipzig hatten Sicherheitsforscher des CCC bereits im Dezember 2019 demonstriert, wie sich Unbefugte gültige Heilberufsausweise, Praxisausweise, Konnektor- und Gesundheitskarten auf die Identitäten Dritter verschaffen können. Damit gelang anschließend der Zugriff auf Anwendungen der Telematik-Infrastruktur und Gesundheitsdaten von Versicherten. Ein Journalistenteam des NDR ließ sich sogar einen Arztausweis anliefern und bestätigte so den Befund des CCC eindrücklich.
Keine sichere Identifikation
Der CCC kritisiert nun in einer aktuellen Stellungnahme, dass die klar benannten Schwachstellen nicht etwa ausgeräumt wurden, sondern diese nunmehr gesetzlich festgeschrieben werden sollen. Der CCC sagt: Mit den neuen Regelungen soll die Verpflichtung zur sicheren Identifikation des Versicherten bei Kartenbeantragung vollständig entfallen. Die Ausgabe der Gesundheitskarte werde nur auf niedrigem Sicherheitsniveau vorgeschrieben.
Krankenkassen als Herausgeber der Gesundheitskarte, dem Zugangsschlüssel zur kommenden elektronischen Patientenakte und damit Deutschlands größtem Gesundheitsdatenschatz, sollen mit dem Gesetzentwurf zudem von den Sanktionen der Datenschutzgrundverordnung (DSGVO) ausgenommen bleiben. Dabei kommen sie ihren datenschutzrechtlichen Verpflichtungen laut CCC nicht nach, wie die spätestens seit 2014 wiederholt ausgenutzten Mängel bei der Beantragung und Ausgabe der Gesundheitskarte zeigen. Der CCC weiter: „Die im Gesetzentwurf vorgesehenen und im Verhältnis zum Ausgabevolumen der Krankenkassen von mehr als 25 Milliarden Euro völlig unzureichenden Bußgeldvorschriften entstammen dem zahnlosen alten Bundesdatenschutzgesetz (BDSG) und setzen keinen dringend notwendigen Anreiz zur Behebung dieser langjährigen Versäumnisse.“
Schwachstellen werden ignoriert
Der CCC erneuerte seine Kritik: „Die Schwachstellen wurden zunächst theoretisch angemahnt. Dann haben wir sie praktisch demonstriert. Eine Behebung wurde medienwirksam angekündigt. Und doch werden sie weiter ignoriert. Dieser Umgang ist einfach fahrlässig“, sagte Martin Tschirsich, der als Sachverständiger des CCC dem Gesundheitsausschuss am 27. Mai 2020 Auskunft gab. Der CCC veröffentlichte die schriftliche Stellungnahme zur Sachverständigenanhörung im Gesundheitsausschuss des Deutschen Bundestags (Download-Link/PDF-Datei).