In der Folge wurde ein völlig unqualifiziertes Verschlüsselungsfahren gewählt dessen Sicherheit bei weitem nicht ausreichend war

Unabhängige behördliche Datenschutzbeauftragte, welche die Einhaltung der Verfahrensregeln anmahnen und die Datenverarbeitung hätten überwachen können, waren nicht bestellt.

In der Folge wurde ein völlig unqualifiziertes Verschlüsselungsfahren gewählt, dessen Sicherheit bei weitem nicht ausreichend war. Auf unsere Intervention hin wurde ein Wechsel des Verschlüsselungsverfahrens vorgenommen und die existierenden Datenbestände (in einem ungeregelten Verfahren) umgestellt. Das Ersatzverfahren entspricht dem Stand der Technik von vor zehn Jahren. Eine derzeit laufende Abstimmung mit dem BSI soll zu einer Aktualisierung der eingesetzten Techniken führen. Nichtfachgerechtes Vorgehen fand sich ferner beim Schutz des Registers vor Einbruch und Brand wie auch beim Schutz geheimer technischer Daten für die Verschlüsselung und Pseudonymisierung. Im Zusammenwirken mit dem Landeskriminalamt konnten wir erreichen, dass das GKR im ersten Quartal 2010 wieder über eine funktionsfähige, polizeiaufgeschaltete Einbruchsmeldeanlage verfügen wird, welche allerdings noch der Anpassung an den gegenwärtigen Stand der Technik bedarf. Für den Schutz der geheimen technischen Daten lag zum Ende des Berichtszeitraums zumindest ein Grobkonzept vor.

Im Benehmen mit dem BSI und dem externen Partner, welcher in den 1990iger Jahren mit Inkrafttreten des Krebsregistergesetzes sowohl Verfahren für die bundeseinheitliche Kontrollnummernbildung als auch für die Chiffrierung von Identitätsdaten für die Länderkrebsregister entwickelte, wurde das bislang eingesetzte Chiffrierverfahren im Dezember 2009 angepasst. Eine Weiterentwicklung der Verfahren ist aufgrund des bundesweiten Abstimmungsbedarfes hinsichtlich des einheitlichen Einsatzes auf Initiative des GKR bei der Gesellschaft der epidemiologischen Krebsregister in Deutschland (GEKID) eingebracht worden.

Das vom Berliner Beauftragten für Datenschutz und Informationsfreiheit betonte „nichtfachgerechte Vorgehen" beim Schutz des Registers vor Einbruch war auf nicht mit dem Landeskriminalamt abgestimmte Rekonstruktionsarbeiten am Dienstgebäude zurückzuführen. Sowohl Brandmeldeanlage als auch Einbruchmeldeanlage sind in Abstimmung mit der BIM und dem Landeskriminalamt, welches eine hervorragende Unterstützung bei der Umsetzung der notwendigen Maßnahmen bot, in Betrieb genommen worden.

Die Einbruchmeldeanlage wird derzeit an den aktuellen Stand der Technik angepasst.

Besonders eklatant sind jedoch die Gefahren, denen die medizinischen Daten bei ihrer obligatorischen Meldung an das Register ausgesetzt sind: Ohne gesetzliche Grundlage begann das Krebsregister, die Tumorzentren zu bitten, ihre Meldungen über das Internet zuzusenden; nach der Schaffung dieser Grundlagen wurde das Verfahren den nunmehr explizit niedergeschriebenen gesetzlichen Erfordernissen nicht angepasst. Wo der Gesetzgeber ein Verfahren auf dem Stand der Technik erwartete, kam und kommt eine ohne kryptographischen Sachverstand produzierte Eigenentwicklung zur Anwendung, die einem ernsthaften (und nicht feststellbaren) Angriff keinen nennenswerten Widerstand entgegensetzen würde.

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit stellte fest, dass das vom GKR entwickelte und verwendete Programm für die Verschlüsselung leitungsgebundener Meldungen (Transportverschlüsselung) nicht dem Stand der Technik entspricht und forderte die sofortige Einstellung. Da das GKR im Moment nicht über die personellen und finanziellen Voraussetzungen verfügt, den hohen Standards einer datenschutzkonformen Transportverschlüsselung gerecht zu werden, bedauert es der Senat außerordentlich, dass der Berliner Beauftragte für Datenschutz und Informationsfreiheit das bisherige Verfahren nicht wenigstens bis zur Umsetzung des neuen Personalkonzeptes zulässt.

Wir haben gefordert, dass die Übertragung derart schwach geschützter mit Namen und Anschrift der Betroffenen versehenen Krebsdiagnosen sofort eingestellt wird. Die Risiken für die Betroffenen sind nicht tragbar. Zu dieser Sofortmaßnahme konnten sich Register und aufsichtführende Senatsverwaltung für Gesundheit, Umwelt und Verbraucherschutz jedoch nicht entschließen, obwohl gesetzeskonforme und deutlich sicherere Alternativverfahren für einen schnellen Ersatz zur Verfügung stehen. Stattdessen plant das Krebsregister unter der Direktion seines Verwaltungsrates und der Senatsverwaltung für Gesundheit, Umwelt und Verbraucherschutz eine schrittweise Umstellung, beginnend im ersten Quartal 2010, jedoch noch ohne Frist für ihren Abschluss.

Als Konsequenz auf die Forderungen des Berliner Beauftragten für Datenschutz und Informationsfreiheit haben sich das GKR, der Verwaltungsausschuss des GKR und die Fachaufsicht führende Senatsverwaltung verständigt, auf die Übermittlung elektronischer Meldungen auf Datenträger zurückzugreifen. Mit dieser zwischenzeitlichen Maßnahme muss jedoch mit einem Einbruch in der Meldetätigkeit und damit der Vollzähligkeit und Aussagefähigkeit des GKR gerechnet werden. Hier stellt sich dem Senat prinzipiell die Frage nach der Verhältnismäßigkeit der vom Berliner Beauftragten für Datenschutz und Informationsfreiheit geforderten Verfahren. Der Senat bemüht sich jedoch, das GKR bei der Umsetzung der notwendigen Datenschutzmaßnahmen bestmöglich zu unterstützen. Begonnen wurde gleichfalls mit der Planung der dringend notwendigen Herstellung der technischen Informationssicherheit in beiden Stellen des Registers auf einem Niveau, welches der Sensitivität der dort gespeicherten und verarbeiteten Daten angemessen ist.

Die beteiligten Länder sind aufgerufen, die für die Umsetzung der Planungen und die Ausstattung des Gemeinsamen Krebsregisters mit zusätzlichem ITPersonal notwendigen Finanzmittel bereitzustellen sowie für eine zügige Umsetzung der geplanten Maßnahmen zu sorgen.

Der Senat verständigt sich mit den am GKR beteiligten Ländern über ein neues Personalkonzept, um das GKR zukünftig mit den nötigen Kompetenzen auszustatten. Die gegebenenfalls notwendigen zusätzlichen Mittel werden dann im Rahmen der Haushaltsplanaufstellung angemeldet FAZIT

Im Gemeinsamen Krebsregister sind jahrelange Versäumnisse in der Durchsetzung des technischen Datenschutzes aufzuholen. Dies erfordert kurzfristig eine Rückbesinnung auf etablierte Verfahrensregeln und den Einsatz nicht unerheblicher finanzieller Mittel. Um das Datenschutzniveau nach einer solchen Investition dauerhaft zu halten, ist das Register mit Personal auszustatten, welches den erforderlichen technischen und datenschutzrechtlichen Sachverstand besitzt.

Krankenhaus-Zuweiserportale AUS DER PRAXIS

Ein großes Krankenhausunternehmen hat ein Webportal in Betrieb genommen, über das niedergelassene Ärztinnen und Ärzte Dokumente über die stationäre Behandlung von Kranken einsehen können, die sie in ein Krankenhaus des Unternehmens eingewiesen haben. Wir wollten wissen, ob die sensiblen medizinischen Daten, die über das Internet übermittelt werden, ausreichend geschützt sind.

Die Nutzung des Portals steht Patientinnen und Patienten sowie Ärztinnen und Ärzten auf freiwilliger Basis und kostenfrei zur Verfügung. Aufgrund unserer Forderung werden die Kranken mittlerweile in einer Datenschutzerklärung über die Verarbeitungsvorgänge informiert und können ihre schriftliche Einwilligung auf der Basis dieses Wissens geben oder verweigern.

Unter der Berliner Ärzteschaft wurde das Projekt intensiv beworben. Eine beträchtliche Zahl von Ärztinnen und Ärzten schrieb sich in die Teilnehmerliste ein. Aktiv genutzt wurde es jedoch nur von einem Bruchteil. Dies führte dazu, dass der weit überwiegende Anteil der auf dem Webserver bereitgestellten Dokumente nie abgerufen wurde. Auf unsere Intervention hin begrenzt der Betreiber die Speicherdauer der Dokumente und meldet (nach Rücksprache) Ärztinnen und Ärzte von dem System ab, die über einen Zeitraum von sechs Monaten das Portal nicht nutzen.

Die Daten werden nicht durch das behandelnde Krankenhaus vorgehalten, -sondern in dem Rechenzentrum eines rechtlich selbständigen Thüringer Krankenhauses gespeichert und über die an einem dritten Ort befindlichen Server des Mutterkonzerns zur Verfügung gestellt. An beiden Orten ist eine (nicht erforderliche) Kenntnisnahme der Dokumente möglich. Dies steht im Widerspruch zum datenschutzrechtlichen Gebot der Datensparsamkeit und, vor allem, der ärztlichen Schweigepflicht. Wir konnten bewirken, dass eine Verschlüsselung der konzerninternen Datenweitergaben sukzessive eingeführt wird, um die medizinischen Daten auch vor einem Zugriff durch interne und externe ITDienstleister zu schützen. Die Möglichkeit der Kenntnisnahme auf den Servern der äußeren Netzgrenze bei der Konzernmutter besteht weiterhin und wird erst mittelfristig beseitigt.

Der größte sicherheitstechnische Schwachpunkt des Projekts besteht jedoch nicht auf der Anbieter-, sondern auf der Nutzerseite: Auch bei einer kryptographischen Absicherung der Übertragung vom Krankenhaus zu niedergelassenen Ärztinnen und Ärzten gelangen die medizinischen Dokumente schlussendlich im Klartext auf einen Rechner in der Praxis, welcher für den allgemeinen Zugriff auf das Internet genutzt wird. Die Gefährdung solcher Computer ist hinlänglich bekannt. Millionen von Privatcomputern werden jährlich von Kriminellen unterwandert und in der Folge von diesen gesteuert.

Die Praxiscomputer, auf denen die Arztberichte und Befunde aus dem Portal eintreffen, sind (wir haben uns davon vor Ort überzeugt) nicht besser geschützt.

Die Kassenärztliche Vereinigung Berlin und die Berliner Ärztekammer empfehlen verbindlich allen niedergelassenen Ärztinnen und Ärzten, Rechner mit Patientendaten vom Internet zu trennen. Nur speziell geschützte Verbindungen etwa zu den Abrechnungszentralen der Kassenärztlichen Vereinigungen sind zulässig.

Auf Rechnern, die für den allgemeinen Internetzugriff gedacht sind, dürfen medizinische Daten nicht im Klartext gespeichert oder angezeigt werden.

Zuweiserportale dürfen daher lediglich verschlüsselte Dokumente anbieten, welche von der Ärztin oder dem Arzt erst im gesicherten Bereich ihrer Praxisverwaltungssysteme entschlüsselt werden. Die einzige Alternative besteht in der Nutzung sog. virtueller privater Netze (VPN),107 bei denen die beteiligten Rechner nicht am allgemeinen Internetverkehr, sondern nur am Datenaustausch mit im Vorhinein festgelegten Kommunikationspartnern teilnehmen.

Schwache Datenschutzorganisation in Klinikkonzernen Große Krankenhausunternehmen verarbeiten riesige Mengen sensitiver Gesundheits- und Personaldaten.

Einige Häuser statten die interne Datenschutzkontrolle nicht dementsprechend aus. So mussten wir mit Befremden zur Kenntnis nehmen, dass die Vivantes Netzwerk für Gesundheit GmbH in der Jahresmitte die Personalressourcen ihres betrieblichen Datenschutzes drastisch reduzierte.