|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
Fachkraft für Medienpädagogik
|
|
|
|
|
|
|
Hamburg, den 04. Juli 2025
|
|
|
DATENSCHUTZ NEWSLETTER
|
|
|
|
Liebe Kund*innen und Abonnent*innen des Newsletters,
|
ich freue mich, Ihnen eine neue Ausgabe des Datenschutz-Newsletters übersenden zu dürfen und habe heute folgende Themen:
|
- Neues von der elektronischen Patientenakte (ePA)
- Digitale Gewalt im Fokus des BSI
- Ein Blick in die Zukunft - Sicherheit und Bedrohung
- Aktuelles aus dem Datenschutz
|
1. Neues von der elektronischen Patientenakte (ePA)
Im Magazin des Spitzenverbandes GKV steht zur ePA folgendes: Zum einen, dass die Zahl der Widersprüche zur ePA gering ist, ca. bei 5% liegt. Dieses würde ich aus der Praxis so bestätigen. Der breiten Masse der Bevölkerung ist egal, wie ihre Gesundheitskarte genau funktioniert und welche Funktionen sie hat. Sie nehmen die ePA zur Kenntnis und es interessiert sie nicht weiter. Die Zahl 5% bei Widersprüchen ist absolut schlüssig.
|
Nicht schlüssig ist diese Zahl: Die GKV schreibt weiter in dem Artikel, dass sich in der Testphase die wöchentlichen Nutzungen inzwischen auf 18,5 Millionen Zugriffe gesteigert haben. Ich persönlich verstehe diese Zahl nicht. Meiner Kenntnis nach sind die meisten Krankenhäuser, Psychotherapeuten und die Physiotherapie bisher nicht angeschlossen bzw. nicht in der Lage, die ePA software-technisch zu nutzen. Die Ärzte, mit denen ich in Kontakt bin, berichten, dass Kunden keine Wünsche zur ePA äußern und sie diese nicht aktiv bespielen, allenfalls in Einzelfällen. Wenn wir jetzt mal rechnen: Wir haben in Deutschland ca. 110.000 niedergelassene Ärzte und ca. die doppelte Anzahl in Krankenhäusern. Wenn die alle mit der ePA arbeiten würden, was sie bei weitem nicht tun, dann hätte jeder davon pro Woche 56 Zugriffe getätigt, also 11 pro Arbeitstag. Einige Ärzte, je nach Fachbereich und Tätigkeit, haben aber nicht mal 11 Patienten an jedem Tag. Also wer macht diese Zugriffe und wie definiert die GKV einen Zugriff? Ich vermute, dass man jede Interaktion mit der ePA einzeln zählt, weil es so statistisch schöner klingt. Ein einziger Patient kann dann 20 Zugriffe und mehr auslösen. Eine andere Erklärung habe ich nicht für diese Zahl. Auch wenn ich mir eine flächendeckende Nutzung wünschen täte.
|
Vom Grundsatz her funktioniert die Bespielung und auch das Auslesen der ePA, je nach eingesetzter Praxismanagementsoftware, verschieden gut und schnell. Aber bis der Zugriff nach Stecken der Karte vorliegt, dauert es in der Regel um die 30 Sekunden. Woran das genau liegt, konnte ich persönlich noch nicht herausfinden. Diese Zeitspanne ist natürlich inakzeptabel. So kann keine Praxis effizient arbeiten. Ich persönlich sehe den 1.10.2025 als Datum der verpflichtenden Nutzung für alle nicht kommen. Und, wenn ich ehrlich bin, sehe ich in der ambulanten Pflege die ePA b.a.w. gar nicht kommen.
|
2. Digitale Gewalt im Fokus des BSI
Das BSI (Bundesamt für Sicherheit in der Informationstechnologie) hat gleich zweimal binnen kurzem, im Newsletter Cybersicherheit und im BSI Magazin, das Thema "digitale Gewalt" deutlich thematisiert. Das ist beim BSI, gegenüber der Vergangenheit, eine ganz neue und in jedem Fall richtige Entwicklung.
|
Konkret geht es um familiäre und Partnerschaftsgewalt durch die Nutzungen von Anwendungen der Informationstechnologie oder durch digitale Geräte. Das ist ein ganz wichtiges und zeitgemäßes Thema, was auch den Datenschutz betrifft, denn es geht hier in der Regel auch um personenbezogene Daten. Zum Beispiel sucht ein Partner in einer Beziehung konkret nach Informationen über den anderen Partner, ohne dessen Wissen und auf dessen digitalen Geräten bzw. in dessen digitalen Konten. Nicht selten kommt es dabei zu psychischer Gewalt durch unerlaubtes Tracking, Kontrollausübung, Nachspionieren, Bloßstellungen, Beschämung, Mobbing, falschen Beschuldigungen, Machtmissbrauch, Privatsphäre-Verletzungen bis hin zu Identitätsdiebstahl und Identitätsmissbrauch. Auch Eltern üben solche Praktiken gegenüber Ihren Kindern aus.
|
Ich möchte hier für eine Seite des BSI werben: BSI - Digitale Gewalt Auf dieser Seite findet sich eine sehr guter, kurzer und präziser Überblick zu digitaler Gewalt. Alles was da steht, sollte nicht mit digitaler Technik und Anwendungen der Informationstechnologie gemacht werden! Es verstößt gegen den Datenschutz, gegen Persönlichkeitsrechte und stellt sehr oft auch eine strafbare Handlung dar. Hierneben gibt es auf der Seite auch eine Auflistung von Hilfestellen und Beratungsmöglichkeiten.
|
Nehmen wir Zahlen aus Statista, so haben in Deutschland knapp 30% aller jungen Erwachsenen bereits digitale Gewalt erlebt. Frauen und Männer sind hierbei in etwa gleichermaßen betroffen. Fast 2/3 haben digitale Gewalt schon einmal beobachtet. In der Altersgruppe Frauen von 18 bis 35 Jahre geben 90% an, dass sie mehrmals Zeugen digitaler Gewalt geworden sind. Aufgrund von Angst vor digitaler Gewalt geben 43% der Frauen und 35% der Männer an, dass sie sich deswegen anonym auf Social Media bewegen.
|
3. Ein Blick in die Zukunft - Sicherheit und Bedrohung
Das BSI (Bundesamt für Sicherheit in der Informationstechnologie) hat erstmalig eine quantensichere SmartCard zertifiziert. Damit ist die Zugriffs- und Verschlüsselungssicherheit der allgemeinen Weiterentwicklung der Technik einen Schritt voraus. Auch wenn zukünftig Quanten-Computer unsere Welt dominieren und nie gekannte Rechenleistungen möglich sein werden, ist die Sicherheitstechnik darauf vorbereitet. Mit Hilfe von KI (Künstlicher Intelligenz) werden auch Sicherheitslücken und Schwachstellen in Anwendungen zunehmend besser erkannt bzw. Anwendungen "fehlerfreier" zur Verfügung gestellt. Unsere digitale Welt wird damit Schritt für Schritt sicherer, jedenfalls was die Technik angeht. Eine absolute Sicherheit wird es nie geben, aber wir können recht beruhigt digitale Anwendungen, welche die entsprechenden Zertifizierungen haben, nutzen.
|
Auch bei den Zertifizierungen schreiten wir voran. Die Richtlinie 2019/881, der sogenannte Cybersecurity Act der EU, wird nach und nach in der Praxis umgesetzt. Das BSI ist neuerdings als EUCC-Zertifizierungsstelle zugelassen und kann entsprechende Zertifikate nach der EUCC-DV ausstellen. Durch solche Zertifizierungen wird Produkten oder Anwendungen eine hohe Cybersicherheit nach aktuellem Stand der Technik bestätigt. Ein weiterer Schritt Richtung mehr Sicherheit und Transparenz für Verbraucher.
|
Auf der anderen Seite nehmen die Bedrohungslagen und die Risiken dynamisch zu. Diese Entwicklung ist nicht nur auf KI zurückzuführen. So sehen wir immer mehr und neue Phishing-Modelle. Diese sind oftmals mit Nebenjobangeboten, wie Bewertungen auf Portalen, oder mit Bitcoin-Trading verbunden. Am Ende steht Geldwäsche oder ein Betrug mit höheren Geldverlusten. Auch Love-Scam nimmt rapide zu und wird professioneller. Auf dem Gebiet der Hardware werden Drohnen immer mehr zum Sicherheitsrisiko. Drohnen werden nicht nur im Krieg zwischen Russland und der Ukraine eingesetzt, wo sie inzwischen einen wesentlichen Faktor in der Kriegsführung darstellen, sie werden auch mit hochauflösenden Kameras oder Mikrofonen zu Zwecken von Spionage genutzt. Ferner können Drohnen Störsender haben und Mobile- wie WLAN-Netze ausschalten. Der Transport von Sprengstoff oder Brandsätzen, als das schlimmstmögliche Szenario, ist nicht nur denkbar, sondern sehr einfach realisierbar. Drohnen werden auch immer günstiger und zunehmend von Privatpersonen angeschafft. So lassen sich Nachbarn beobachten, Blicke in fremde Fenster vornehmen und einiges mehr, was die Privatsphäre und die Persönlichkeitsrechte natürlicher Personen verletzt.
|
Unter dem Strich wird sich also auch in der Zukunft nichts ändern: Einerseits werden wir durch Weiterentwicklung der Technik auch mehr Sicherheit schaffen. Insbesondere für die uns bereits länger bekannten Risiken und Bedrohungsszenarien. Anderseits wird die Weiterentwicklung von Technik neue Bedrohungen und Risiken schaffen, gegen die wir uns wappnen müssen.
|
4. Aktuelles aus dem Datenschutz
In Berlin fand die internationale Konferenz der Informationsfreiheitsbeauftragten (ICIC) statt und wurde vom BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) eröffnet. Motto war "Informationsfreiheit international unter Druck". Das Motto ist in jedem Fall zutreffend. Wir sehen national wie international zunehmend weniger Transparenz in politischen Entscheidungsprozessen, Regierungs- und Behördenarbeit. Dieser Trend ist sehr besorgniserregend, da Transparenz, und in diesem Sinne auch Informationsfreiheit, eine wesentliche Grundlage unser freiheitlich demokratischen Ordnung sind.
|
In Ottawa, Kanada, hatte jüngst der G7 Gipfel getagt. Was keiner mitbekommen hat und weiß: Es gab dort auch einen Roundtable der G7-Datenschutzbehörden. Diese haben eine Erklärung für Innovation und für mehr Kinderschutz beschlossen. Auf letzteres will ich hinaus und zitiere einmal unseren Vertreter Andreas Hut: „Datenschutz und Kinderschutz müssen von Anfang an zusammengedacht werden. Die Erklärung der G7-Datenschutzbehörden betont, dass die Wahrung der Privatsphäre sowie der Schutz von Kindern von der Entwicklung bis zum Einsatz neuer Technologien berücksichtigt werden müssen – insbesondere im Hinblick auf Technologien, die sich an Kinder und Heranwachsende richten oder von diesen genutzt werden.“ - Dem kann ich nur zustimmen!
|
Einen ungewöhnlichen Cyberangriff gab es laut mehreren Medienhäusern, die hierüber berichteten, bei der Berliner Feuerwehr. Eine unbekannte Person verschaffte sich Zutritt zu einem Serverraum und versuchte auf interne Computersystem zuzugreifen. Ich nennen das mal den "klassischen Weg" und möchte darauf hinweisen, dass Serverräume immer verschlossen, gesichert und vor unberechtigten Zutritt geschützt sein müssen.
|
Im Juni waren Google, AWS und Cloudflare 20 Minuten lang gestört. Auf Social Media wurde sofort gepöbelt, dass das nicht sein darf. Ob es sein darf oder nicht, sei dahingestellt. Es passiert jedenfalls immer wieder. Grund sind meistens große gemeinsame geteilte Rechenzentren. Fällt so ein Rechenzentrum aus oder hat ein Problem, dann sich gleich mehrere Dienste massive gestört. Würden solche Rechenzentren in einem Kriegsfall oder terroristisch angegriffen und zerstört werden, dann hätte dieses massive Auswirkungen für digitale Dienste.
|
Der Landesbeauftragte für Datenschutz in Niedersachsen hat einen Bericht zu KI gefertigt und gibt für den Einsatz in öffentlichen Stellen folgende Empfehlungen ab: Zum einen die Schaffung von Rechtgrundlagen für das Training von KI und klare gesetzliche Regelungen zum Einsatz in öffentlichen Stellen. Zum anderen mehr Unterstützung des datenschutzkonformen Einsatzes von KI durch Standards, Schulungen, Folgen-abschätzungen und mehr Förderung von Forschung
|
|
Das BfDI hat ein Tool für automatisierte Webseitenprüfung entwickelt und damit erstmals öffentliche Stellen geprüft. Es wurden Verstöße nicht datenschutzkonform eingebetteter YouTube-Videos aufgedeckt. Wo hier die Nachricht ist, weiß ich persönlich nicht. Solche Tools gibt es seit vielen Jahren und das viele Webseiten nicht datenschutzkonform sind, ist auch nichts Neues. Der Pressemitteilung nach wurden 500.000 Seiten öffentlicher Stellen überprüft und dabei 40 YouTube-Verstöße festgestellt. Meines Erachtens sehr wenig Verstöße und ein recht gutes Ergebnis. Die 40 Fälle wurden dann auch angeschrieben.
|
|
|
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren.
|
Themen für den nächsten Newsletter habe ich mir noch nicht überlegt. Ich bin mir aber sicher, dass bis dahin viel Spannendes im Datenschutz und der digitalen Welt passiert, und es mir nicht an Themen mangeln wird.
|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
Tobias Lange - Unternehmensberater
|
Externer Datenschutzbeauftragter (DSB)
Informationssicherheitsbeauftragter (ISB)
Fachkraft für Medienpädagogik
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de
|
|
|
|
|
|
|
