Sichere Daten: Software und DSGVO abstimmen

Im Vergleich zu den Vorgängerversionen ist der Einsatz von Windows 10 sicherlich ein Fortschritt. Allerdings gibt es auch datenschutzrechtliche Probleme, vor denen Anwender in der Gesundheitsbranche keinesfalls die Augen verschließen sollten.

Windows 10 hat einige Stärken, die bei den älteren Versionen nicht vorhanden waren. Zum einen ist ein Virenscanner integriert, der für die meisten Fälle ausreichend ist. Zum anderen verfügt die Software mit dem Edge Browser über einen Browser, der sich, anders als der nach wie vor enthaltene Internet Explorer, an die gängigen Web-Standards hält. Zudem wurde die Benutzeroberfläche an die Bedienung mit einem Touchscreen angepasst. „Das sind aus Anwendersicht alles positive Neuerungen. Übersehen wird dabei aber häufig, dass Microsoft durch das Sammeln von Daten zu viele Informationen über die Nutzer der Produkte und Anwendungen aus der Windows-10-Versionsfamilie abgreift“, warnt Markus Bergmaier, Unternehmensberater bei Ecovis in Dingolfing.

Diese Problematik wird dadurch verstärkt, dass Windows 10 nicht nur ein Betriebssystem ist, sondern auch als Systemumgebung weitere zusätzliche Funktionalitäten anbietet. Dabei werden die unterschiedlichsten Nutzerdaten erfasst. Besonders problematisch ist es allerdings, wenn Telemetriedaten an Microsoft gesendet werden. Dabei handelt es sich um Angaben zur Sicherheit und Stabilität des Systems, die online übertragen werden.

Problematische Software

„In der Regel ist jeder PC mit dem Internet verbunden, also mit permanenter Datenübermittlung. Einen konkreten Hinweis von Microsoft dazu gibt es nicht“, erklärt Bergmaier.

Die Probleme aus Datenschutzsicht:

  • Windows 10 übermittelt in der Standard- Einstellung sehr viele und selbst in der höchsten Sicherheitsstufe noch immer einige Daten an Microsoft.
  • Die Datenübermittlung an Microsoft kann durch bestimmte Einstellungen begrenzt werden. Abstellen lässt sich diese auch in der höchsten Sicherheitsstufe nicht.
  • Für den Durchschnittsnutzer sind die Anpassungen an die höchste Sicherheitsstufe technisch nur schwer umzusetzen.
  • Da die Übertragung verschlüsselt erfolgt, ist es für Anwender nicht nachvollziehbar, ob und welche personenbezogenen Daten an Microsoft übertragen werden.
  • Zweimal im Jahr stellt der Konzern eine neue „Build“ zur Verfügung. Technisch gesehen ist das ein Upgrade auf eine neue Version, die aber weiterhin Windows 10 heißt. Die Datenschutzeinstellungen werden bei jedem Update – zumindest teilweise – wieder zurückgesetzt.

„Für technische Laien und teilweise auch für IT-Fachleute ist es zudem oftmals kaum möglich, sich korrekt mit den einzelnen Versionen auseinanderzusetzen. Das kann dazu führen, dass zwingend notwendige Einstellungen verloren gehen und der Schutz persönlicher Daten von Dritten nicht mehr gewährleistet ist“, sagt Ecovis-Experte Bergmaier.

Hinzu kommt: Nach der Datenschutzgrundverordnung (DSGVO) sind Unternehmen, Arztpraxen und alle anderen Heilberufler dazu verpflichtet, eine datenschutzkonforme Verarbeitung von personenbezogenen Daten zu gewährleisten. Diese Regeln gelten nicht nur für Ärzten untereinander, sondern auch für die Kommunikation zwischen Sozialversicherungsträgern und den Versicherten (siehe unten „Datenschutzgerechte Kommunikation mit den Krankenkassen gefordert“). Diese werden künftig ebenfalls in die Pflicht genommen, wie Daten zu versenden sind.

Abhilfe schaffen und datenschutzkonform arbeiten

Was also tun, wenn nicht auf die entsprechenden Funktionalitäten, die Microsoft bietet, verzichtet werden kann?

  • Am einfachsten und praktikabel ist der Rückgriff auf Open-Source-Produkte mit ähnlichen Funktionen.
  • Grundsätzlich möglich ist eine kostenpflichtige Supportverlängerung von Windows 7 – allerdings nur kurzfristig.
  • Um die Übermittlung der Telemetriedaten zu vermeiden, ist auch das „Einsperren“ von Windows 10 mithilfe einer Terminal- Server-Konstellation möglich. Dies erfordert allerdings die Anpassung der IT‑Umgebung und eine ständige Überwachung und Wartung durch einen technisch versierten IT-Support.

„Für Gesundheitsdaten gilt aus datenschutzrechtlicher Sicht die klare Empfehlung eines Verzichts auf Windows 10“, erklärt Axel Keller, Rechtsanwalt und externer Datenschutzbeauftragter bei Ecovis in Rostock.

Datenschutzgerechte Kommunikation mit den Krankenkassen gefordert

Die Kranken- und Pflegekassen, Berufsgenossenschaften und die Deutsche Rentenversicherung sind dazu aufgefordert, mit ihren Versicherten nur noch auf sicherem Weg zu kommunizieren. Insbesondere beim elektronischen Versand von Gesundheitsdaten, die einen besonderen Schutz genießen, muss die Kommunikation verschlüsselt sein. Dies gab Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), in einer Mitteilung vom 16. Juli 2019 bekannt.

Ein hohes Schutzniveau für Gesundheitsdaten kann nach Ansicht des BfDI typischerweise durch den Datenversand mit normaler Post erfolgen. Denn sie unterliegt dem Brief- und Postgeheimnis. Ein Versand mittels einer einfachen, unverschlüsselten E-Mail ist dagegen allenfalls mit einer Postkarte vergleichbar und daher kein angemessener Schutz. Nur eine verschlüsselte Versendung von Gesundheitsdaten via E-Mail mit einer qualifizierten Signatur ist nach Aussage des BfDI datenschutzrechtlich zulässig. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt den Einsatz der Verschlüsselungsprotokolle TLS 1.2 und TLS 1.3, jeweils in Kombination mit Perfect Forward Secrecy (PFS).

Neben den Sozialversicherungsträgern sollen auch Unternehmen der Privatwirtschaft, Ärzte, Krankenhäuser, Pflegeheime und Tageskliniken sowie alle weiteren Unternehmen, die regelmäßig mit Gesundheitsdaten arbeiten, die Ausführungen des BfDI wenigstens vorausschauend beachten.

Axel Keller, Rechtsanwalt bei Ecovis in Rostock

Markus Bergmaier, Unternehmensberater bei Ecovis in Dingolfing

Über ECOVIS AG Steuerberatungsgesellschaft

Das Beratungsunternehmen Ecovis unterstützt mittelständische Unternehmen. In Deutschland zählt es zu den Top 10 der Branche. Etwa 7.500 Mitarbeiterinnen und Mitarbeiter arbeiten in den mehr als 100 deutschen Büros sowie weltweit in Partnerkanzleien in über 75 Ländern. Ecovis betreut und berät Familienunternehmen, inhabergeführte Betriebe sowie Freiberufler und Privatpersonen. Um das wirtschaftliche Handeln seiner Mandanten nachhaltig zu sichern und zu fördern, bündelt Ecovis die nationale und internationale Fach- und Branchenexpertise aller Steuerberater, Wirtschaftsprüfer, Rechtsanwälte und Unternehmensberater. Jede Ecovis-Kanzlei kann auf diesen Wissenspool zurückgreifen.

Darüber hinaus steht die Ecovis Akademie für fundierte Ausbildung sowie für kontinuierliche und aktuelle Weiterbildung. All dies gewährleistet, dass die Beraterinnen und Berater ihre Mandanten vor Ort persönlich gut beraten.

www.ecovis.com

Firmenkontakt und Herausgeber der Meldung:

ECOVIS AG Steuerberatungsgesellschaft
Ernst-Reuter-Platz 10
10587 Berlin
Telefon: +49 (30) 310008555
Telefax: +49 (30) 310008556
http://www.ecovis.com

Ansprechpartner:
Gudrun Bergdolt
ECOVIS AG Steuerberatungsgesellschaft*
Telefon: +49 (89) 5898-266
E-Mail: gudrun.bergdolt@ecovis.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel