Das zur TÜV Süd-Gruppe gehörende Unternehmen Uniscon weist darauf hin, dass Patientendaten vor Kenntnisnahme, Manipulation oder Verlust dann sicher geschützt sind, wenn Anbieter von elektronischen Patientenakten (ePA) oder Gesundheitsapps versiegelte Infrastrukturen nutzen.
Während Ärzte und Apotheker der Schweigepflicht (nach §203 StGB) unterliegen, gelten für App-Anbieter, Dienstleister und Server-Betreiber meist andere Regeln. Zwar gibt es strenge Gesetze und Anforderungen für den Umgang mit personenbezogenen Daten, die vor allem in der EU-Datenschutzgrundverordnung (DSGVO) und im Bundesdatenschutzgesetz (BDSG-neu) geregelt sind. Diese erweisen sich nach Einschätzung der TÜV-Süd-Tochter Uniscon in der Praxis allerdings oft als wirkungslos, weil etwa organisatorische Schutzmaßnahmen wie Rechte- und Rollenkonzepte relativ einfach umgangen werden können.
So könnten sich Administratoren in der Regel privilegierten Zugriff zu Servern verschaffen und vertrauliche Daten einsehen – und schlimmstenfalls manipulieren oder entwenden. Bereits eine mögliche Kenntnisnahme sensibler Informationen stelle dabei einen Verstoß gegen die Schweigepflicht dar und müsste daher von vornherein ausgeschlossen sein.
Um personenbezogene Daten wie Patientendaten entsprechend zu schützen, braucht es nach Einschätzung von Uniscon eine rein technische, manipulationssichere und präventive Lösung, die jeglichen – auch privilegierten – Zugriff zuverlässig unterbindet. Uniscon warnt: „Zahlreiche Public-Cloud-Angebote und viele Business Clouds tun sich damit jedoch schwer. Denn die meisten Server-Infrastrukturen sehen privilegierte Admin-Zugänge vor, beispielsweise zu Wartungs- oder Monitoring-Zwecken.“
Lösungsweg aus dem Datenschutzdilemma
Einen anderen Ansatz verfolgen versiegelte Infrastrukturen: Hier werden die organisatorischen Schutzmaßnahmen vollständig durch technische Maßnahmen ersetzt, die sich auch mit hohem Aufwand nicht umgehen lassen. Die Server sind hermetisch abgeriegelt, ein privilegierter Admin-Zugriff ist nicht vorgesehen – eine Kenntnisnahme vertraulicher Daten ist ebenso ausgeschlossen wie Diebstahl und Manipulation. Das gilt nicht nur für Administratoren, sondern für alle externen und internen Angreifer.
„Gesundheitsminister Spahn fordert mehr Patientensicherheit. Langfristig werden wir diese nur durch bessere IT-Sicherheit realisieren können – und dazu muss sich IT-Sicherheit wie auch vom Gesetzgeber gefordert am Stand der Technik orientieren“, meint Dr. Hubert Jäger, Datenschutz-Experte und CTO der Uniscon GmbH. Als Beispiele für versiegelte Infrastrukturen nennt Jäger unter anderem die versiegelte Cloud der Deutschen Telekom, die „Ucloud“ des Aachener TK-Providers Regio iT sowie „Idgard“ und „sealed platform“ von Uniscon selbst.