{"id":283507,"date":"2023-07-10T08:41:14","date_gmt":"2023-07-10T06:41:14","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=283507"},"modified":"2023-07-11T00:36:12","modified_gmt":"2023-07-10T22:36:12","slug":"datenpannen-nach-it-fails-kalbach-legt-nutzerdaten-offen-krankschreibungen-gehen-an-arztpraxis","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/07\/10\/datenpannen-nach-it-fails-kalbach-legt-nutzerdaten-offen-krankschreibungen-gehen-an-arztpraxis\/","title":{"rendered":"Datenpannen nach IT-Fails: Kalbach legt Nutzerdaten offen; Krankschreibungen gehen an Arztpraxis"},"content":{"rendered":"

\"SicherheitZum Wochenstart spie\u00dfe ich mal wieder zwei Datenschutzvorf\u00e4lle auf, die zeigen, wie wackelig das Thema Datenschutz ist. In der Gemeinde Kalbach in Osthessen waren durch einen IT-Fehler die Namen und Mailadressen von B\u00fcrgern auf Webseiten der Gemeindeverwaltung einsehbar. Und ein Konfigurierungsfehler in KIM sorgte daf\u00fcr, dass Hunderttausende elektronische Arbeitsunf\u00e4higkeitsbescheinigungen an eine Arztpraxis statt an die AOK-Krankenkassen versandt wurden. Erg\u00e4nzung:<\/strong> Und in der Schweiz ist nach einem Hack der Daten-GAU eingetreten\", weil extrem sensitive Informationen der Polizei und des Bunds (Schweizer Beh\u00f6rden, Regierung etc.) abgeflossen sind. In Sachsen hat die Datenschutzbeauftragte der Staatskanzlei aus DSGVO-Gr\u00fcnden untersagt, weiterhin eine \"Fanpage\" f\u00fcr das Bundesland zu betreiben. <\/p>\n

<\/p>\n

\"\"Wir digitalisieren ja auf \"Teufel komm raus\" und die Protagonisten werden nicht m\u00fcde, zu betonen, dass wir mehr, schneller umfassender digitalisieren m\u00fcssen. In einer Antwort auf eine solche Forderung hatte ich mal auf Twitter geschrieben \"bin nicht sicher, ob die stockende Digitalisierung in der Verwaltung nicht ein Gl\u00fccksfall f\u00fcr den Datenschutz in Deutschland ist\". Die beiden Episoden, die mir die Tage untergekommen sind, ist der beste Beleg – wir k\u00f6nnen keine Digitalisierung und diese verzeiht auch keine Fehler. <\/p>\n

Digitales Rathaus: Wenn B\u00fcrgerdaten offen liegen<\/h2>\n

Der erste Fail ist bei der Gemeindeverwaltung Kalbach<\/a> im Landkreis Fulda (Ost-Hessen) im \"digitalen Rathaus\" passiert. Jens Lange weist in nachfolgendem Tweet auf den Sachverhalt hin. Ein klitzekleiner \"Systemfehler\" f\u00fchrte dazu, dass die Namen und E-Mail-Adressen aller B\u00fcrger und B\u00fcrgerinnen f\u00fcr Dritte einsehbar waren, die sich beim \"digitalen Rathaus<\/a>\" der Gemeinde registriert hatten.<\/p>\n

<\/a><\/p>\n

Die Fuldaer Zeitung hat den Fall in diesem Artikel<\/a> aufgegriffen. In der Gemeinde k\u00f6nnen die Leute ihre Beh\u00f6rdenangelegenheiten seit einiger Zeit online im \"digitalen Rathaus\" regeln. Erfordert eine Registrierung mit Hinterlegung pers\u00f6nlicher Daten – und jeder Fehler endet damit in einem Datenschutzvorfall. <\/p>\n

Am 5. Juli 2023 musste die Gemeinde einen Datenschutzvorfall mitteilen, wie die Zeitung berichtet. Durch einen \"Systemfehler\" waren die Namen und die zugeh\u00f6rigen E-Mail-Adressen aller Menschen einsehbar, die sich f\u00fcr diesen Dienst registriert hatten. Beh\u00f6rden und \u00c4mter k\u00f6nnen m.W. f\u00fcr Datenschutzvorf\u00e4lle nicht mit Bu\u00dfgeldern belegt werden – aber man kann sich die Sache zus\u00e4tzlich noch sch\u00f6n reden. Die Zeitung schreibt, dass die Gemeinde betonte, dass diese sensiblen Daten nur f\u00fcr andere Nutzerinnen und Nutzer des Digitalen Rathauses einsehbar waren. Willkommen in Digitalien Anno 2023 in Deutschland. <\/p>\n

Arbeitsunf\u00e4higkeitsbescheinigung eAU gehen an Praxis<\/h2>\n

Und dann w\u00e4re noch der Super-Fail im im Umfeld der Kommunikationsinfrastruktur im deutschen Medizinbereich. KIM steht ja f\u00fcr Kommunikation im Medizinwesen<\/a>, ein auf einem sicheren E-Mail-Verfahren basierenden Dienst, der f\u00fcr den abgesicherten Austausch von sensiblen Informationen wie Befunden, Bescheiden, Abrechnungen oder R\u00f6ntgenbildern \u00fcber die Telematikinfrastruktur der gematik zwischen verschiedenen \u00c4rzten bzw. medizinischen Einrichtungen sorgen soll. Auf der oben verlinkten Seite der Bundes\u00e4rztekammer l\u00e4sst sich nachlesen, was da alles an Ma\u00dfnahmen verwendet wird, um die Kommunikation vertraulich und abgesichert abzuwickeln.<\/p>\n

Die Kollegen von heise haben in diesem Artikel<\/a> einen Vorfall von September 2022 aufgegriffen, bei dem mehr als 100.000 vorwiegend elektronische Arbeitsunf\u00e4higkeitsbescheinigungen (eAUs), ausgestellt von Arztpraxen f\u00fcr AOK-Versicherte, nicht an die AOK Niedersachsen gingen, sondern im Postfach einer Arztpraxis landeten. <\/p>\n

Ursache war laut apotheke-adhoc.de<\/a> eine fehlerhafte Implementierung in der medatixx Praxis-Software, so dass sich die AOK-Niedersachen und eine Arztpraxis die gleiche ID f\u00fcr die E-Mail-Kommunikation teilten. medatixx wird so zitiert, dass die Domain-IDs im zentralen Verzeichnisdienst der KIM-Adressen (LDAP-Verzeichnis) doppelt vergeben worden seien. Da in der Praxissoftware bei der Ermittlung der Empf\u00e4ngeradresse der erste gefundene Eintrag verwendet wird, gingen die Arbeitsunf\u00e4higkeitsbescheinigungen (eAUs) an den komplett falschen Empf\u00e4nger: Bei Patienten der AOK Niedersachsen wird die eAU nicht an die KIM-E-Mail-Adresse der Kasse, sondern an die einer Arztpraxis versendet, hei\u00dft es. <\/p>\n

Man arbeite an einer Korrektur, hei\u00dft es im Artikel von apotheke-adhoc. Arztpraxen m\u00fcssen bei Verf\u00fcgbarkeit das Service-Pack f\u00fcr x.concept einspielen lassen, damit der Fehler nicht mehr auftritt. Der \"Klopper\" an der Geschichte ist aber, dass der Vorgang f\u00fcr die gematik und medatixx (letztere waren  2021 Opfer eines Hackerangriffs, siehe Ransomware-Angriff auf Arztdienstleister medatixx<\/a>) zwar peinlich ist. Aber haftbar f\u00fcr diesen Datenschutzvorfall sind die \u00c4rzte, deren Praxissoftware die Daten falsch verschickt. Das war mir schon l\u00e4nger klar, nachdem ich als stiller Gast an einer Session einer Landes\u00e4rztekammer teilnahm, in der es um Sicherheit in Arztpraxen ging. Zum Vorfall hei\u00dft es dazu vom Hersteller.<\/p>\n

\n

In Ihrer Rolle als Verantwortlicher f\u00fcr die Daten, obliegt es Ihnen zu pr\u00fcfen, ob Ihnen aus diesem Vorfall zum jetzigen Zeitpunkt oder sp\u00e4ter Pflichten erwachsen (insbesondere Meldepflichten gegen\u00fcber Beh\u00f6rden). In jedem Fall sollten Sie Ihren Datenschutzbeauftragten \u00fcber den Vorfall informieren, wenn Sie einen solchen bestellt haben. Wir bitten Sie jedoch um Verst\u00e4ndnis daf\u00fcr, dass wir Sie nicht rechtlich beraten d\u00fcrfen.<\/p>\n<\/blockquote>\n

Sprich: Betroffene \u00c4rzte m\u00fcssen selbst eine Meldung \u00fcber den Datenschutzvorfall an die zust\u00e4ndigen Beh\u00f6rden absetzen. Die gematik hat laut heise bereits den Bundesbeauftragten f\u00fcr Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, informiert. Ein unbefugter Zugriff auf die Telematikinfrastruktur sei nicht erfolgt, hei\u00dft es. Der Vorfall unterliege zudem \"besonderen berufsrechtlichen und strafrechtlichen Vorgaben\", zitiert heise. Wenn ich die Meldung bei heise richtig interpretiere, hat die Praxis zur Pr\u00fcfung wohl nur einige eingetroffene eAUs angesehen und dann die gematik sowie die AOK Niedersachsen \u00fcber das Problem informiert. <\/p>\n

Der Fall zeigt, wie fehleranf\u00e4llig das gesamte System ist, und wie bescheiden die \u00c4rzte in diesem Spielfeld aufgestellt sind. Die sollen die Patienten behandeln, erhalten vom Gesundheitsministerium eine technische Konzeption (KIM samt Infrastruktur) aufgedr\u00fcckt, m\u00fcssen Software von Drittanbietern einsetzen, sind am Ende des Tages aber sogar f\u00fcr Fehler anderer haftbar, ohne dass sie gro\u00df eine Chance haben, diese Fehler im Vorfeld zu erkennen. Juristisch alles korrekt, aber eine bescheidene Situation.<\/p>\n

Daten-GAU in der Schweiz<\/h2>\n

Erg\u00e4nzung:<\/strong> In der Schweiz gab es einen Cyberangriff auf einen IT-Dienstleister (XPlain) der f\u00fcr \"Home-Security\" zust\u00e4ndig war. Daten der Polizei und des Zolls werden im Dark-Net weitergereicht. Ich hatte im Blog-Beitrag Sicherheitsvorf\u00e4lle (13. Juni 2023)<\/a> auch \u00fcber diesen unsch\u00f6nen Sachverhalt berichtet. <\/p>\n

\"Daten-GAU<\/a><\/p>\n

Dieser Vorfall wirft aber jetzt doch einige Wellen, weil nach meinem Daf\u00fcrhalten nicht nur Daten einfacher B\u00fcrger betroffen sind. Sondern es sind wohl in den abgezogenen Daten der Schweizer Bundespolizei Anfragen von Interpol sowie Sicherheitsdatens\u00e4tze enthalten, bei denen es um Sicherheitsinformationen zu Staatsg\u00e4sten und Regierungsmitgliedern geht. <\/p>\n

Das Medium Blick hat das in diesem Artikel<\/a> aufgegriffen – die Informationen sind in meinen Augen brisant, nicht nur wegen der erbeuteten Datens\u00e4tze. Sondern mir dr\u00e4ngt sich der Eindruck auf, dass da auch nicht wirklich verantwortlich mit den Daten umgegangen ist. Denn es scheint keine Verschl\u00fcsselung gegeben zu haben. Ob eine Zugriffskontrolle vorhanden war, ist unklar, genauso wie der Umfang der abgeflossenen Daten \u00f6ffentlich nicht wirklich bekannt ist. Zudem wird \u00fcber eine erbeutete Login-Datei berichtet, so dass zahlreiche Zug\u00e4nge f\u00fcr Beh\u00f6rden gesperrt und die Login-Daten ge\u00e4ndert werden mussten. Der Begriff Daten-GAU scheint mir hier schon berechtigt. <\/p>\n

Sachsen muss seine Facebook-Seite abschalten<\/h2>\n

Abschlie\u00dfend noch eine weitere kurze Information, die zeigt, dass die Datenschutzbeh\u00f6rden doch langsam in Sachen DSGVO vorgehen. Der Freistaat Sachsen bzw. dessen Staatskanzlei muss seine Facebook-Seite abschalten, wie heise in diesem Artikel<\/a> berichtet. Juliane Hundert, die Landesdatenschutzbeauftragte von Sachsen, hat dies in einem am letzten Freitag (7.7.2023) bekanntgemachten Bescheid<\/a> angeordnet. Begr\u00fcndet wird dies damit, dass die Staatskanzlei seit 2018 mit der Seite gegen die DSGVO versto\u00dfe. <\/p>\n

Die Staatskanzlei habe die ordnungsgem\u00e4\u00dfe Verarbeitung personenbezogener Daten nach der DSGVO nicht nachweisen k\u00f6nnen. Seit Jahren seinen \u00fcber die \"Fanpage Sachsens\" Daten an die Meta-Tochter in die USA \u00fcbermittelt worden, \"obwohl hierf\u00fcr keine wirksame Rechtsgrundlage gegeben ist\". Die Datenschutzbeauftragte beruft sich auf das EuGH-Urteil (u.a. Schrems II) und f\u00fchrt aus, dass die Richter beim \"Einsatz einer Facebook-Seite eine gemeinsame Verantwortlichkeit mit dem Meta-Konzern als bestehend\" sehen. Der Betreiber einer solchen Facebook-Seite muss daher die Einhaltung der Grunds\u00e4tze des Datenschutzrechts nachweisen. <\/p>\n

Die ausf\u00fchrliche Begr\u00fcndung l\u00e4sst sich im Bescheid<\/a> nachlesen. Dieses Thema ist nat\u00fcrlich noch aus einem anderen Blickwinkel sehr interessant. Die Datensch\u00fctzer in Form der Deutschen Datenschutzkommission haben 2022 ja den Einsatz von Microsoft Office 365 als nicht datenschutzkonform angesehen (siehe auch meinen Blog-Beitrag Nachbetrachtung zur DSK-Einstufung \"Microsoft 365 weiterhin nicht datenschutzkonform\"<\/a>). Dort findet sich ebenfalls die Aussage, dass der Nachweis des DSGVO-konformen Einsatzes durch Datenschutzverantwortliche nicht m\u00f6glich sei. <\/p>\n

Sp\u00e4testens, wenn ein Datenschutzbeauftragter eines Bundeslandes das aufgreift und einen Bescheid mit Untersagung gegen eine Beh\u00f6rde oder Firma erl\u00e4sst, wird dieses Problem ja virulent. Aktuell l\u00e4uft es auf dieser Ebene auf zwei Sachen hinaus: Die Betroffenen klagen gegen den Untersagungsbescheid. Und die Branche hofft, dass es bald einen EU-Angemessenheitsbeschluss f\u00fcr das EU-US-Datentransferabkommen \"Data Transfer Framework\" (DTF) der EU-Kommission gibt, die einen Datentransfer in die USA legitimiert. Im Artikel USA erf\u00fcllen Verpflichtungen des EU-U.S. Data Privacy Framework<\/a> hatte ich vor kurzem den Stand umrissen und auch eine Einsch\u00e4tzung gegeben, ob das Abkommen vor dem EuGH Bestand haben kann. <\/p>\n","protected":false},"excerpt":{"rendered":"

Zum Wochenstart spie\u00dfe ich mal wieder zwei Datenschutzvorf\u00e4lle auf, die zeigen, wie wackelig das Thema Datenschutz ist. In der Gemeinde Kalbach in Osthessen waren durch einen IT-Fehler die Namen und Mailadressen von B\u00fcrgern auf Webseiten der Gemeindeverwaltung einsehbar. Und ein … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[451,4328],"class_list":["post-283507","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-datenschutz","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/283507","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=283507"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/283507\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=283507"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=283507"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=283507"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}