Sicherheitslücken bei Gesundheits-Apps

DSGVO News

Nach Informationen von NDR und WDR konnten Nutzer von bestimmte Gesundheits-Apps auf Daten anderer Patienten zugreifen.

Lesen Sie hierzu diesen Artikel.

Aller anschein nach sind die massive Sicherheitslücken bei Novego und Cankado bereits behoben. Ich hoffe es jedenfalls.

Was mir aber viel mehr beunruhigt ist die Aussage von dem Sprecher des Bundesdatenschutzbeauftragten, Christof Stein. Dieser erklärt:

„Tatsächlich hat ein Softwarehersteller keine Verpflichtung, seine Software in irgendeiner Art und Weise datenschutzkonform auszugestalten.“ 

Das gelte auch für Software, die sensible Daten verarbeitet.

Ich frage mich:

Wie steht es denn mit Art. 25 DS-GVO – Privacy by Design und Privacy by Default?

  • Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen — wie z. B. Pseudonymisierung — trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.
  • (2)   Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.
  • (3)   Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

Die DS-GVO verlangt hier ausdrücklich Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. Dieses betrifft, meiner Meinung nach, zuallererst die Hersteller und/oder Entwickler einer Software.

Und ja, der Verantwortlicher, der diese Software einsetzt, hat zu prüfen ob durch den Einsatz der Software voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen entsteht.