path: root/updates/2020/pdsg.md

title: Geplantes Patientendaten-Schutz-Gesetz schützt Patientendaten nicht
date: 2020-05-26 13:51:17 
updated: 2020-05-26 15:16:44 
author: linus
tags: update, pressemitteilung, patientendaten

Mit dem geplanten Patientendaten-Schutz-Gesetz sollten auch Schwachstellen beseitigt werden, auf die der Chaos Computer Club (CCC) im Dezember zum 36C3 öffentlich hinwies. Leider misslingt dem Bundesgesundheitministerium auch dieser erneute Anlauf. Der CCC wurde als Sachverständiger in der Anhörung zum Gesetzentwurf geladen und veröffentlicht heute seine schriftliche Stellungnahme.

<!-- TEASER_END -->

Auf dem 36C3 präsentierten Sicherheitsforscher des CCC, wie sich
Unbefugte gültige Heilberufsausweise, Praxisausweise, Konnektor- und
Gesundheitskarten auf die Identitäten Dritter verschaffen können. Damit
gelang anschließend der Zugriff auf Anwendungen der
Telematik-Infrastruktur und Gesundheitsdaten von Versicherten.

Ein Investigativteam des NDR ließ sich sogar einen [Arztausweis an die
Käsetheke](https://www.tagesschau.de/investigativ/ndr/gesundheitsdaten-sicherheitsluecke-101.html)
liefern und bestätigte so den Befund des CCC eindrücklich.

Doch statt die Mängel [wie vom CCC
gefordert](/de/updates/2019/neue-schwachstellen-gesundheitsnetzwerk)
abzustellen, werden diese nunmehr gesetzlich festgeschrieben. Mit den
neuen Regelungen soll die Verpflichtung zur sicheren Identifikation des
Versicherten bei Kartenbeantragung vollständig entfallen. Die Ausgabe
der Gesundheitskarte wird nur noch auf niedrigem Sicherheitsniveau
vorgeschrieben.

Krankenkassen als Herausgeber der Gesundheitskarte, dem Zugangsschlüssel
zur kommenden elektronischen Patientenakte und damit Deutschlands
größtem Gesundheitsdatenschatz, sollen mit dem Gesetzentwurf zudem von
den Sanktionen der Datenschutzgrundverordnung (DSGVO) ausgenommen
bleiben. Dabei kommen sie ihren datenschutzrechtlichen Verpflichtungen
regelmäßig nicht nach, wie die spätestens seit 2014 wiederholt
ausgenutzten Mängel bei der Beantragung und Ausgabe der Gesundheitskarte
zeigen. Die im Gesetzentwurf vorgesehenen und im Verhältnis zum
Ausgabevolumen der Krankenkassen von mehr als 25 Mrd. Euro völlig
unzureichenden Bußgeldvorschriften entstammen dem zahnlosen alten
Bundesdatenschutzgesetz (BDSG) und setzen keinen dringend notwendigen
Anreiz zur Behebung dieser langjährigen Versäumnisse.

„Die Schwachstellen wurden zunächst theoretisch angemahnt. Dann haben
wir sie praktisch demonstriert. Eine Behebung wurde medienwirksam
angekündigt. Und doch werden sie weiter ignoriert. Dieser Umgang ist
einfach fahrlässig“, sagte Martin Tschirsich, der als Sachverständiger
des CCC dem Gesundheitsausschuss am 27. Mai Auskunft geben wird. Seine
Initiativ-Bewerbung als Sachverständiger hatte er schon [auf der Bühne
des 36C3 mit der Demonstration der
Schwachstellen](https://media.ccc.de/v/36c3-10595-hacker_hin_oder_her_die_elektronische_patientenakte_kommt)
eingereicht.

Der CCC veröffentlicht schon heute die schriftliche Stellungnahme zur
Sachverständigenanhörung im Gesundheitsausschuss des Deutschen
Bundestags am 27. Mai.

Links:

-   [](https://media.ccc.de/v/36c3-10595-hacker_hin_oder_her_die_elektronische_patientenakte_kommt)[Stellungnahme
    zur Sachverständigenanhörung im Gesundheitsausschuss am 27. Mai
    2020](/system/uploads/301/original/Stellungnahme_Patientendaten-Schutz-Gesetz_PDSG_CCC.pdf)
-   Pressemitteilung Dez. 2019: [CCC diagnostiziert Schwachstellen im
    deutschen
    Gesundheitsnetzwerk](/de/updates/2019/neue-schwachstellen-gesundheitsnetzwerk)
-   Vortrag Dez. 2019: ["Hacker hin oder her": Die elektronische
    Patientenakte
    kommt!](https://media.ccc.de/v/36c3-10595-hacker_hin_oder_her_die_elektronische_patientenakte_kommt)
-   [Aktueller Entwurf des
    Patientendaten-Schutz-Gesetzes](https://dip21.bundestag.de/dip21/btd/19/187/1918793.pdf)
-   [Anhörung zum
    Patientendaten-Schutz-Gesetz](https://www.bundestag.de/dokumente/textarchiv/2020/kw22-pa-gesundheit-696648)