DATENSCHUTZ NEWSLETTER

Liebe Kund*innen und Abonnent*innen des Newsletters,

ich freue mich, Ihnen eine neue Ausgabe des Datenschutz-Newsletters übersenden zu dürfen und habe heute folgende Themen:

E-Rezept und elektronische Patientenakte
Geplante Chatkontrolle der EU
Aktuelles aus dem Datenschutz

1. E-Rezept und elektronische Patientenakte (ePA)

Die gute Nachricht ist, dass nach einigen Updates seit Ende Januar das E-Rezept recht gut funktioniert. Sendet ein Arzt es ab, ist es binnen einer Sekunde auf der Gesundheitskarte als auch in der App sichtbar. Und sendet es jemand mit der App an eine Apotheke, dann ist es auch binnen einer Sekunde da. Dieser Teil funktioniert jetzt. In einigen wenigen Arztpraxen gibt es noch ein Problem auf deren Systemen, so dass man 30 Sekunden hängt, bis das E-Rezept "abdüst". Und einige Arztpraxen haben ein organisatorisches Problem in der Endkontrolle der Rezepte. Sie kennen es sicher alle aus der Praxis: Sie holen ein Rezept beim Arzt raus und die medizinische Fachkraft huscht in das Arztzimmer, um sich schnell eine Unterschrift zu holen. Jetzt geht auch das elektronisch und Ärzte geben ein Rezept einfach an ihrem PC frei. In einigen Fällen ist das noch problematisch, weil es in einer bestimmten Software gemacht werden muss, die Patientenakten aber in einer anderen geführt werden und man nicht einfach hin und her wechseln kann.

Gut an der E-Rezepte App ist die Suchfunktion nach Apotheken. Hier sind alle offiziell registrierten Apotheken mit ihren offiziellen Daten und Verfügbarkeiten enthalten. Die Suchfunktion funktioniert auch tatsächlich fehlerfrei. Man kann sich die Apotheken nach Entfernung vom eigenen Standort anzeigen lassen, danach filtern wer geöffnet hat, wer Notdienst hat, nach Versandapotheken etc. Und mit der Übertragung des E-Rezeptes an eine Apotheke kann auch ein Botendienst nach Hause mit bestellt werden bzw. die Apotheken danach gefiltert werden, wer einen Botendienst anbietet. Voreingestellt, beim Öffnen der App, ist immer Berlin. Wer sich darüber wundert: Da stehen die Server der Gematik, die das ganze technisch betreibt. Es ist keine gezielte Werbung für unsere Hauptstadt.

In der derzeitigen Version der elektronischen Patientenakte (ePA) können Sie sich über die App Ihrer Krankenkasse anmelden. Die Zugangsdaten sind die selben wie für die E-Rezepte App. Wenn Sie den PIN der Krankenkasse also haben, brauchen sie diesen nicht erneut für die ePA anfordern. Wer sich registriert, also den PIN bestellt hat, der bekommt für die letzten drei Jahre alle Leistungen, die Ärzte mit der Krankenkasse abgerechnet haben, jeweils in jährlichen Aufstellungen in seine ePA. Man kann sich diese anschauen und bekommt auch am Anfang jedes neuen Jahres die neue Übersicht für das abgelaufene Jahr.

Neben dieser Funktion, sind bereits einige Features verfügbar. Ärzte können in zwei Stufen berechtigt werden Dokumente der Akte einzusehen bzw. dort Dokumente zu hinterlegen. Ebenso kann man selbst Dokumente hochladen. Diese Funktionen, eingeschlossen der Arztsuche, funktioniert. Alle zugelassenen Ärzte sind in der App enthalten und auffindbar. Bei der Suche sollte man immer die genaue Bezeichnung der Praxisgemeinschaft als Suchbegriff nehmen. Was nicht funktioniert ist die Medikamentensuche, um eine Liste eigener Medikamente anzulegen. Zwar sind alle zugelassenen Medikamente in allen Dosierungen in der Datenbank enthalten, aber in der Suche findet man die meisten Dosierungen und Hersteller nicht. Der Fehler soll bekannt sein.

Die ePA sieht die Möglichkeit vor, dass man auch dritte Personen, Familienangehörige oder Betreuer, für die Akte berechtigen kann. Auch diese Funktion ist bereits vorhanden und funktioniert. Die dritten Personen, gleich in welchem Verhältnis oder in welcher Funktion zum Patienten, brauchen für die Legitimation die eigene Gesundheitskarte mit PIN. Ab dem 1.1.2025 sollen mehr Features dazukommen und auch das E-Rezept in der ePA gespeichert werden. Die EU hat eine Verordnung in Planung, die soweit auch schon durch die Gremien ist, so dass sicher feststeht, dass eine europaweite ePA kommen wird. Und diese ist dann verpflichtend. Jeder muss mitmachen.

Kritik an der ePA besteht vor allem zu der Sicherheit der Gesundheitsdaten. Hierzu hat sich jüngst der scheidende Bundesbeauftragte für den Datenschutz und die Informations-sicherheit sehr deutlich zu Wort gemeldet. Er sagte recht unverhohlen, dass Datenschutz keine Bremse bei der ePA ist, sondern Datenschutz lediglich fordert, dass die ePA so umgesetzt wird, dass eine angemessene IT-Sicherheit eingehalten wird. Diese IT-Sicherheit ist möglich, man muss es nur wollen. In diesem Zusammenhang, nur mal am Rande erwähnt, hatte der BfDI Ulrich Kelber seinerzeit zum E-Rezept einmal ein Veto eingelegt, um zu erzwingen, dass nicht alle Apotheken bundesweit einfach alle Rezepte einsehen können. Ergebnis des Vetos war zweierlei: Es wurde nachgebessert, weil man es musste, damit der BfDI sein Veto zurückzieht. Und zum anderen wurde dem BfDI daraufhin das Veto-Recht von der Politik entzogen, damit sowas nicht nochmal passiert. Besser kann man nicht erklären, welche Wichtigkeit IT-Sicherheit und Datenschutz in Deutschland für behördliche Akteure haben. Man möchte ohne jeden Aufwand alles einfach machen. Das es in den modernen Zeiten nicht so einfach mehr geht, wie man es sich wünscht, ist dann die Schuld des Datenschutzes. Einer muss Schuld sein, und natürlich nicht man selbst.

2. Geplante Chatkontrolle der EU

Tatsächlich wird der Begriff Chatkontrolle für zwei verschiedene Ansätze in der Sache genutzt. Bei der sogenannten Chatkontrolle 1.0 geht es um eine Vereinbarung der EU mit einer größeren Zahl von Internetkonzernen auf freiwilliger Basis nicht verschlüsselte Chats und Anwendungen zu überwachen. Ziel dabei ist es strafbare kinderpornografische Inhalte zu finden und zur Anzeige zu bringen. Die Vereinbarung wurde Anfang Juli 2021 getroffen und steht jetzt zur Verlängerung an. Ursprünglich sollte die Verlängerung erst nach den EU-Wahlen zum Ende des Jahres und für maximal ein Jahr erfolgen, bis man sich über eine Chatkontrolle 2.0 geeinigt hat. Allerdings sieht jetzt alles danach aus, dass die Chatkontrolle 1.0 kurzfristig bis Ende 2026 verlängert wird.

Das Thema ist etwas komplizierter. Hierbei stellt niemand die Wichtigkeit und Richtigkeit der Verfolgung von Kinderpornografie im Netz in Frage. Allerdings ist die nüchterne Erkenntnis aus inzwischen fast 3 Jahren Chatkontrolle 1.0, dass diese kaum geeignet ist gegen kinderpornografische Inhalte zu wirken. Natürlich gucken sich nicht Menschen die Bilder und Chats in den diversen Anwendungen an, sondern dieses erfolgt durch KI. Und die KI macht leider sehr viele Fehler in dieser anlasslosen automatisierten Massenüberwachung. Verschiedenen Auswertungen in verschiedenen Ländern nach, liegt die Quote der Falschmeldungen an die Ermittlungsbehörden zwischen 75% und 90%. Es kann so also jeder für ein harmloses Urlaubsfoto seines Kleinkindes bei den Ermittlungsbehörden auflaufen. Andererseits sind die Ermittlungsbehörden mit soviel Falschmeldungen, mit denen sie sich die meiste Zeit beschäftigen, sehr ineffizient in der Bekämpfung tatsächlicher Kinderpornografie im Netz. Daneben gibt es noch einige andere Aspekte, die diese Form des Vorgehens gegen Kinderpornografie als sehr wenig zielgerichtet begründen.

In der Chatkontrolle 2.0, der sogenannten CSA-Verordnung der EU, soll ein automatisiertes scannen von Inhalten in Internetanwendungen für die IT-Konzerne verpflichtend werden. Und zwar aller Inhalte, auch der verschlüsselten. Das heißt, dass auch derjenige, der zum Beispiel eine verschlüsselte end-to-end Verbindung auf seinen Messenger nutzt, gescannt werden soll. Dafür müssen die Internetkonzern die Verschlüsselung aufheben. Dieser Plan der EU ruft Datenschützer, NGOs, Aktivisten, Verbraucherschützer und Personen aus aller Welt auf den Plan, die sich dagegen wehren und dieses Vorhaben als nicht verhältnismäßig wie grundrechtswidrig bemängeln.

Hier gibt es jetzt Rückendeckung von Europäischen Gerichtshof für Menschenrechte (EGMR). Eine wichtige Institution, die wir bisher selten bei Fragen der digitalen Welt mitwirken gesehen haben. An diesem Gericht wurde entschieden, dass eine funktionierende end-to-end-Verschlüsselung ein Grundrecht der europäischen Bürger*innen ist und grundsätzlich nicht beschränkt werden darf. Eine sichere end-to-end-Verschlüsselung dient Bürgern und Unternehmen dafür, sich gegen Hacking, Identitätsbetrug und andere Risiken zu schützen. Mit dieser Entscheidung müsste die CSA-Verordnung in der jetzigen Form eigentlich vom Tisch sein und die Entscheidung des EGMR ist vermutlich der Grund, dass man jetzt eiligst die Chatkontrolle 1.0 bis 2026 verlängern will. Warum alle das wollen, auch wenn es absolut ineffizient ist, hat offensichtlich Gründe politischen Marketings neoliberaler Fraktionen.

3. Aktuelles aus dem Datenschutz

Die Ransomware-Gruppe Lockbit wurde zerschlagen. In einer konzentrierten Aktion unter der Führung von Europol haben 10 Polizeibehörden weltweit unter dem Codenamen "Operation-Cronos", klingt etwas wie ein Geheimdienstkrimi, Verantwortliche ermittelt und die Gruppe zerschlagen. Es konnten 34 Server in den Niederlanden, Deutschland, Finnland, Frankreich, der Schweiz, Australien, den Vereinigten Staaten und dem Vereinigten Königreich beschlagnahmt werden, zweihundert Krypto-Brieftaschen wurden sichergestellt und zwei Personen festgenommen. Es handelte sich bei Lockbit um die größte Anbietergruppe von Ransomeware-as-a-service. Es wurden auch Schlüssel und interne Daten sichergestellt, so dass sehr detailliert nachvollzogen werden kann, wen die Gruppe wie angegriffen hat. Für Betroffene können verschlüsselte Daten wiederhergestellt werden, denn auch die Entschlüsselungscodes befanden sich auf den beschlagnahmten Servern.

Das prominenteste Opfer einer Cyber-Attacke im Februar war die Firma Varta. Sie kennen diese alle, denn das ist die Firma, die die Batterien produziert, mit denen wir alle aufgewachsen sind. Die Produktion stand still, an drei Standorten in Deutschland, darunter die Zentrale in Ellwangen, und auch in Rumänien sowie Indonesien. Heutzutage ist ja alles vernetzt. Genaues teilt man nicht mit. Das Unternehmen steckt sowieso in der Krise und hatte im letzten Jahr angekündigt massiv zu sparen. Ob in der IT-Sicherheit auch gespart wurde, ist nicht bekannt, aber heutzutage für kein Unternehmen ein guter Ansatz.

Wenn wir schon in Ellwangen, wo Varta den Hauptsitz hat, sind, das ist eine Kleinstadt in Baden-Württemberg, gucken wir kurz auf deren Landgericht, das es im Februar auch in die Medien geschafft hat. Im Internet ist nicht nur Cyberkriminalität ein Problem, sondern auch Fakenews, Hass und Hetze sind es. In Deutschland ist es eigentlich so, dass niemand eine andere Person "Idiot" nennen darf. Fühlt jemand sich damit beleidigt und zeigt einen an, dann verliert man gewöhnlich das Verfahren vor Gericht. Wie wir in Ellwangen gelernt haben, ist das anders, wenn man wirklich ein Idiot ist. Der Fall ist der: Ein bekannter Verschwörungs-theoretiker, selbst Jurist, der vorwiegen auf X, vormals Twitter, sehr abenteuerliche Ideen in hetzerischer Form verbreitet, wurde von einem anderen Nutzer der Plattform als "Verschwörungsidiot" bezeichnet. Hiergegen wurde eine Strafanzeige wegen Beleidigung verfasst, gegen die sich der Beschuldigte wandte. Das Gericht entschied dann, ins normaldeutsche zusammengefasst: Wenn man so einen absurden Quatsch fortwährend im Internet veröffentlicht, wie der Kläger, dann ist es verhältnismäßig und keine Beleidigung, wenn man "Idiot" genannt wird. - Ich liebe dieses Urteil. :D

Nicht so bekannt wie Varta, dafür aber schwerer erwischt, hat es den IT-Dienstleister Tietoevry. Das Unternehmen ist einer der größten IT-Serviceprovider Europas und wurde am 20. Januar nachts von einer Ransomware Attacke in einem schwedischen Rechenzentrum getroffen. Zahlreiche schwedische Behörden und Unis waren betroffen. Daneben auch Dienstleister im Gesundheitswesen und der Altenpflege. Brisant ist, dass auch Logfiles und Backups mit verschlüsselt wurden, so ein Bericht des Fachmagazins Golem. Daher konnten die meisten Kundendaten nicht wiederhergestellt werden. Eine Katastrophe für die betroffenen Behörden, Unternehmen und deren Kunden. Hingegen sieht Tietoevry sich, während die Kunden im Schock sind, in der IT-Sicherheit gut aufgestellt. Persönlich habe ich da meine Zweifel. Wenn die Backups auch verschlüsselt wurden und bisher niemand herausfinden konnte, was die Schwachstelle war und wie es passiert ist, dann spricht das eher nicht für "gut aufgestellt", gelinde formuliert. Der Vorfall dürfte in jeder Form sehr teuer für das Unternehmen werden.

"Section Control", ein Projekt zur Verkehrssicherheit in Niedersachsen ist eingestellt worden. Laut Betreiber vor allem wegen zu hohen Datenschutzhürden. Das stimmt laut diversen Artikeln zum Thema so aber nicht. Alle geforderten Datenschutzvorgaben waren erfüllbar und sogar das Polizeigesetz war für das Projekt angepasst worden. Es scheiterte dann an der Richtlinie TR-02102-1 des BSI, die die Übertragung der mit Hilfe solcher Systeme erfassten Daten an eine bestimmte Verschlüsselungsstärke bindet. Nämlich an mindestens ein Verfahren von der Stärke einer RSA-Schlüssellänge von 3000 Bits. Die Nachrüstung war den Herstellern nicht wirtschaftlich genug. Dabei kannten die Hersteller die Richtlinie schon, aber es war wieder einer dieser Fälle von: "Schnell fertig und billig, alles andere später oder auch egal."

Am 6 Februar war "Safer Internet Day". Es gab wieder die bundesweite Aktion "Datenschutz geht zur Schule". Die Formulierung ist dabei wortwörtlich gemeint, bevor jemand anderes denkt. Vermutlich hat noch nie jemand von dieser Aktion gehört, aber es gibt sie schon seit 2009. Sie wurde vom Berufsverband der Datenschutzbeauftragten Deutschlands initiiert. Es wird immer wichtiger, dass Kinder und Jugendliche mit ihren eigenen Daten verantwortungs-voll umgehen und sich vor Risiken schützen. Leider hat das Projekt noch viel zu wenig Aufmerksamkeit.

Ich lese beim BSI den Satz, dass "das Auswärtige Amt verstärkt Versuche von ausländischen Akteuren verzeichnet, die darauf abzielen die Innenpolitik in Deutschland zu beeinflussen". Dieses vor allem auch auf der Plattform X, vormals Twitter. Wenn ich das lese bin ich ein wenig ratlos. Nicht weil es falsch ist, sondern ganz im Gegenteil. Aber der Punkt ist, dass jeder, der sich ein wenig damit beschäftigt, dieses weiß und es schon seit Jahren läuft. Das Auswärtige Amt, ohne diesem böses zu wollen, ist mit dieser Erkenntnis wirklich spät dran.

Vor allem in den USA verbreitet, aber in kleinen Maßen auch in Deutschland abrufbar, gab es auf der Plattform X, ehemals Twitter (schon wieder diese Plattform), durch KI generierte, also gefälschte Nacktfotos von Taylor Swift. Der Fall hat in den USA sehr große Aufmerksamkeit erfahren. Ob nun etwas diesbezüglich passiert ist aber unklar.

In den USA gab es ferner eine Desinformationskampagne, in der ein durch eine KI-Stimme gefälschter Joe Biden (Präsident der USA) hochrangige Mitglieder der demokratischen Partei anrief und aufforderte Vorwahlen zu ignorieren. Wer dahinter stand konnte bisher nicht ermittelt werden.

Interpol hat sich im Februar auch zu Cyberkriminalität geäußert und dabei auf neue Techniken hingewiesen. Virtuelle Tatortsicherung und Spezialkräfte für digitale Forensik werden immer wichtiger. Auch das Verbrechen wird immer moderner und es bedarf einer Strafverfolgung, die ebenso modern aufgestellt ist. Wenn wir an dieser Stelle einmal ehrlich sind: Die Strafverfolgung war die ganze Menschheitsgeschichte lang den Verbrechern in der Nutzung innovativer Technik immer einen Schritt hinterher. Mit der Digitalisierung sind es eher zwei Schritte geworden.

Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Im nächsten Newsletter werde ich mal einen Blick auf die Umsetzung des Digital Markets Act der EU werfen und wie unsere im Sommer 2023 ernannten Torwächter sich mit der Verordnung so schlagen.

Herzliche Grüße

Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter

Ich möchte mich vom Newsletter abmelden. Ich habe Fragen zu meinen Rechten und möchte die Datenschutzerklärung lesen. Ich weiß nicht, warum ich diese E-Mail bekomme oder möchte dem Absender eine Nachricht schicken.

Der Verfasser ist IT-Sicherheitsbeauftragter (ISB) sowie Datenschutzbeauftragter (DSB) und führt die Befähigung nach Artikel 37 DS-GVO sowie § 38 BDSG. Im Rahmen der Dienstverhältnisse mit Kunden besteht für die Richtigkeit der im Newsletter gemachten Aussagen eine Haftung gemäß den vertraglichen Vereinbarungen. Eine Haftung für sonstige Abonnent*innen des Newsletters, die kein Dienstverhältnis mit dem Verfasser haben, wird ausgeschlossen. Es wird darauf hingewiesen, dass der Newsletter sich auf die Rechtslage im Sinne des Datenschutzes bezieht. Sachverhalte können im Sinne des Datenschutzes rechtskonform sein, jedoch trotzdem gegen andere Rechtsnormen verstoßen und aufgrund dieser nicht erlaubt sein. Der Newsletter beinhaltet allgemeine Information und stellt keine Rechtsberatung dar.

IMPRESSUM:

Tobias Lange - Unternehmensberater

Externer Datenschutzbeauftragter (DSB)
IT-Sicherheitsbeauftragter (ISB)
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de