Nachdem die Datenschutzgrundverordnung (DSGVO) am 24. Mai 2016 bereits inkraft getreten ist, wurde das Bundesdatenschutzgesetz (BDSG) überarbeitet. Man spricht vom sog. „BDSG Neu“ welches das aktuelle Bundesdatenschutzgesetz komplett ersetzt. Das neue BDSG wird mit der DSGVO seit dem 25. Mai 2018 angewendet.
Darin werden in § 64 insbesondere drei Kontrollen beschrieben, die bei einer Übertragung von Daten anzuwenden sind. Bei Nutzung von automatisierten Verarbeitungssystemen zur Übertragung ist sicher zu stellen, dass kein Unbefugter diese benutzt (Benutzerkontrolle). Interpretiert in Technik: Die Software muss eine Benutzeranmeldung (Authentifizierung) durchführen bevor sie verwendet werden kann.
Weiterhin muss Übertragungssoftware feststellen an wen genau die personenbezogenen Daten übertragen werden (Übertragungskontrolle). Vor Übertragung sollte die Software also eine Auswahl an Empfängern aufführen, an die man sich im besten Fall ebenfalls mit einer Kennung anmelden muss.
Ebenso muss im Nachhinein feststellbar sein, welche personenbezogenen Daten wann genau in die Software eingegeben oder verändert wurden (Eingabekontrolle). Nicht definiert wird ob es sich auch bei einer „Übertragung“ um eine „Veränderung“ handelt.
Bei der Übertragung der personenbezogenen Daten muss die Software für Vertraulichkeit und Integrität auf der Übertragungsstrecke sorgen (Transportkontrolle).
Die DSGVO macht Angaben zur Übertragung von personenbezogenen Daten in Drittländer. Neben der Einwilligung des Betroffenen fordert die Grundverordnung dass z.B. ein Vertrag erfüllt werden muss. Personenbezogene Daten die ein höheres Schutzniveau haben (wie z.B. Patientendaten) müssen auf jeden Fall zweckgebunden verarbeitet werden. Eine Übertragung an andere Institute, wie zum Beispiel einem Labor, ist erlaubt, wenn es einer Geheimhaltungspflicht durch nationale zuständige Stellen unterliegt.
Art. 44 DSGVO erlaubt eine Datenübermittlung nur wenn der Auftragsverarbeiter (also der Empfänger) die folgenden Punkte einhält:
- geeignete TOMs stellen den Schutz der Rechte der betroffenen Person sicher
- die Daten nicht an weitere Auftragsverarbeiter ohne schriftliche Genehmigung weiter geben
- Vertragliche Grundlage regelt Dauer der Verarbeitung, Zweck, Art der personenbezogenen Daten, Kategorien betroffener Personen, Rechte und Pflichten des Verantwortlichen
- befugte Personen die Daten verarbeiten haben sich zur Vertraulichkeit verpflichtet
Die TOMs (also technische und organisatorische Maßnahmen) werden in Art. 32 DSGVO beschrieben. Darin wird gefordert dass ein dem Risiko angemessenes Schutzniveau sichergestellt wird. Maßnahmen müssen u.a. folgendes einschließen:
- Pseudonymisierung oder Verschlüsselung personenbezogener Daten
- CIA der Systeme sicher stellen (C=Vertraulichkeit, I=Integrität, A=Verfügbarkeit, einschließlich Belastbarkeit)
- Verfahren zur Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen
Der Arzt muss eine gute Auswahl über die Dienstleister treffen, die er zur Verwaltung und Übertragung von Patientendaten nutzt. Er muss überblicken und verstehen können wie die Software personenbezogene Daten vor (Vertraulichkeits-) Verlust schützt. Ebenso muss er seine Mitarbeiter schriftlich zur Verschwiegenheit verpflichten, eine Regelung mit allen Auftragsverarbeitern definieren und jederzeit in der Lage sein den Speicherort von Patientendaten zu benennen und die Übertragungen protokollieren.
Softwarehersteller müssen den „Stand der Technik“ umsetzen, geeignete kryptographische Verfahren zur Verschlüsselung von Patientendaten einsetzen, starke Authentisierungsverfahren zur Verfügung stellen, Protokolldaten für den Arzt zur einfachen Aufkunfts-Erteilung erzeugen und Backup sowie Restore-Verfahren anbieten.
Hosting-Unternehmen (also diejenigen die Speicher, Prozessorleistung und Leitungen zur Verfügung stellen) müssen organisatorische Maßnahmen zum Schutz von vertraulichen Daten einführen, sowie technische Kontrollen aufbauen, die den sicheren Umgang mit den Daten ermöglichen.
Zusammengefasst sollte der Arzt, der Patientendaten weiter gibt, sicher stellen dass einerseits sein Personal entsprechend geschult ist, die Software nur Befugten die Nutzung nach starker Authentifizierung erlaubt, der Empfänger jederzeit ermittelt werden kann, Protokolle über die Übertragung existieren und dass in einem Vertrag mit dem Empfänger die Details zur Verarbeitung der Daten geregelt werden.
Starke Authentisierungsverfahren
Die DSGVO fordert die sogenannte starke Authentifizierung nicht explizit. Sie fordert „dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können.“ Ein angemessenes Schutzniveau soll eingehalten werden und unter „Berücksichtigung des Stands der Technik“ trifft der Verantwortliche „geeignete technische und organisatorische Maßnahmen“. Der heutige Stand der Technik sowie der Vergleich mit der Finanzwirtschaft und den dortigen Anforderungen zum Schutz sensibler Daten, geben übliche technische Maßnahmen vor. Starke Authentifizierung wird gefordert und bedeutet dass eine „einfache“ Zugangssicherung mit einem Faktor (also einem Benutzernamen und einem Passwort) nicht hinreichend ist. Starke Authentifizierung bedeutet das der Benutzer einer Software mit mindestens zwei unterschiedlichen Faktoren identifiziert werden muss. Dazu kann eine Smartcard bzw. ein Token in Verbindung mit einer PIN verwendet werden oder ein Passwort in Verbindung mit einer Push-TAN über ein Smartphone. Letzteres ist im Gesundheitswesen noch nicht Standard, weswegen die Softwarehersteller eher auf eine tokenbasierte Lösung zur sogenannten Zwei-Faktor-Authentifizierung zurück greifen müssen.