Datenschutzrecht-Praxis

 


Neues zum Datenschutzrecht


12.8.2022

Verfahren der Videoidentifizierung mit Sicherheitslücken

Der Chaos Computer Club (CCC) hat gravierende Sicherheitslücken in sechs gängigen Verfahren für videobasierte Online-Identifizierung aufgedeckt. Dabei konnte sich unter anderem Zugriff auf die elektronische Patientenakte einer Testperson verschafft werden – "mit Open-Source-Software sowie ein bisschen roter Aquarellfarbe“, wie es in einer Information des CCC heißt.

Auf diese Weise sei es möglich gewesen, elektronische Patientenakten für jeden gesetzlich Krankenversicherten anzulegen und sich so dessen gespeicherte Gesundheitsdaten beschaffen zu können, wie beispielsweise eingelöste Rezepte, Arbeitsunfähigkeitsbescheinigungen, ärztliche Diagnosen sowie original Behandlungsunterlagen. Laut CCC wurde ein digitaler Zwilling eines echten Ausweisdokumentes erstellt, bei dem anschließend Angaben wie Name oder Bild ersetzt wurden. Im Rahmen einer Videoidentifizierung wurde dann ein in Echtzeit manipuliertes Video mit dem Ergebnis vorgespielt, dass die im Video gezeigten falschen Dokumente akzeptiert wurden.

Vorerst keine Nutzung durch Krankenkassen

Vor diesem Hintergrund hat die gematik bis auf Weiteres die Nutzung von VideoIdent-Verfahren in der Telematikinfrastruktur untersagt. Die gematik GmbH soll im Auftrag der Bundesregierung die Digitalisierung im Gesundheitswesen voranbringen und trägt die Gesamtverantwortung für die Telematikinfrastruktur, die zentrale Plattform für digitale Anwendungen im deutschen Gesundheitswesen. Unter Verweis auf den hohen Schutzbedarf hält die gematik die weitere Nutzung von VideoIdent-Verfahren für die Ausgabe von Identifizierungsmitteln zur Nutzung in der Telematikinfrastruktur für nicht mehr zulässig und hat am 09.08.2022 verfügt, dass die Krankenkassen das VideoIdent-Verfahren ab sofort aussetzen. Über die Wiederzulassung werde erst entschieden, wenn die Anbieter konkrete Nachweise erbracht haben, dass ihre Verfahren nicht mehr für die gezeigten Schwachstellen anfällig sind.

Andere betroffene Branchen wie Finanzdienstleistung und Telekommunikation

Das Videoident-Verfahren findet aber nicht nur im Gesundheitswesen Anwendung, sondern unter anderem auch in der Telekommunikationsbranche sowie bei Banken, Sparkassen und anderen Finanzdienstleistern. Hier haben die zuständigen Aufsichtsbehörden, also die Bundesnetzagentur und die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) bislang keine Konsequenzen angekündigt. Noch im Mai 2022 hatte die BaFin eine Evaluierung von Videoidentifizierungsverfahren zur geldwäscherechtlich vorgeschriebenen Identifizierung von Kunden, für diese gegebenenfalls auftretende Personen und wirtschaftlich Berechtigte mit dem Ergebnis abgeschlossen, dass es als Brückentechnologie fortgeführt wird.

Handlungsempfehlungen

Während Krankenkassen einstweilen auf andere Identifizierungsmethoden zurückgreifen müssen, stellt sich für Finanzdienstleister und andere Nutzer von Videoidentifizierungsverfahren die Frage des weiteren Vorgehens.

Die datenschutzrechtlichen Vorgaben in Art. 32 DSGVO sind relativ klar: Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen sind geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Bereits in der Vergangenheit wies der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) darauf hin, dass Verfahren der Videoidentifizierung risikobehaftet sind. Der BfDI stellt in diesem Zusammenhang auf den Schutzbedarf der in Frage stehenden Daten ab und ist der Auffassung, dass dieser zumindest für besondere Kategorien personenbezogener Daten i.S.d. Art. 9 DSGVO wie Gesundheitsdaten aufgrund der Manipulationsanfälligkeit von VideoIdent-Verfahren nicht gewährleistet werden kann. Ausgehend vom Standard-Datenschutzmodell der deutschen Datenschutzaufsichtsbehörden (SDM) lehnt der BfDI bei der Schutzbedarfsstufe „Sehr hoch“ den Einsatz von VideoIdent-Verfahren generell ab (zum Standard-Datenschutzmodell siehe News v. 2.10.2020 und 17.6.2022). Auf der anderen Seite ist ein datenschutzrechtskonformer Einsatz von Videoidentifizierungsverfahren auch nach Ansicht des BfDI möglich, wenn durch flankierende technische und organisatorische Maßnahmen die Risiken der Verarbeitungstätigkeit auf ein angemessenes und somit verantwortbares Niveau verringert werden. Was das konkret heißt, verrät die Ausicht nicht. Das ist letztlich eine Frage des Einzelfalles. Nachzulesen ist das Ganze im 29. Tätigkeitsbericht des BfDI (Abschnitt 7.11).

Daher sollte aktuell zunächst geprüft werden, ob das eingesetzte Verfahren eine der bekannt gewordenen oder andere Sicherheitslücken hat. Ist das der Fall, sollte das Verfahren sofort ausgesetzt werden, bis das Problem behoben ist. Weiterhin sollte geprüft werden, ob und wie sorgfältig bzw. gründlich in der Vergangenheit eine Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO durchgeführt wurde und bei Bedarf nachgebessert werden. Hierbei sowie bei der Bewertung der nach Art. 32 DSGVO ergriffenen Maßnahmen sollte insbesondere auch auf den Anforderungskatalog zur Prüfung von Identifikationsverfahren des Bundesamts für Sicherheit in der Informationstechnik (BSI) zurückgegriffen werden. Nicht zuletzt sollten bei der Bewertung auch etwaige Verlautbarungen des BSI und der Datenschutzaufsichtsbehörden berücksichtigt werden.

Sollten Sie Fragen zur datenschutzrechtlichen Zulässigkeit einer Videoidentifizierung haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.


Zurück zur Übersicht