Bundesdatenschützer nennt Verfahren datenschutzrechtswidrig
Mitglieder des Chaos Computer Clubs haben ein Sicherheitsleck beim Video-Ident-Verfahren festgestellt.
Foto: dpaDüsseldorf. „Unsere Bedenken wurden ignoriert“, sagte der Bundesdatenschutzbeauftragte (BfDI) Ulrich Kelber Handelsblatt Inside. Jetzt seien sie aber bestätigt worden. Mit dieser Aussage bezieht Kelber Stellung zu den Sicherheitslücken beim Video-Ident-Verfahren, die der IT-Sicherheitsforscher Martin Tschirsich aufgedeckt hatte.
Denn das digitale Identifikationsverfahren wird seit einigen Jahren vom BfDI und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als unsicher bezeichnet. Trotzdem haben die verantwortlichen Stellen – das Bundesgesundheitsministerium, die Gematik und die Krankenkassen – sich dafür entschieden, die Videoidentifizierung für den Zugriff auf die elektronische Patientenakte (ePA) einzusetzen. Nach Bekanntgabe der Sicherheitslücken stoppte die Gematik das Verfahren bei den Krankenkassen umgehend.
Anbieter hätten damals behauptet, die Risiken seien nur theoretischer Natur, berichtete Bundesdatenschützer Kelber. „Die Verantwortlichen haben den Anbietern mit ihrem ökonomischen Interesse geglaubt, anstatt auf die Empfehlungen der Aufsichtsbehörden, also dem BfDI und BSI, zu vertrauen“, sagte er.
Der Tätigkeitsbericht 2017 bis 2018 seiner Behörde bestätigt seine Aussage. Darin empfiehlt der BfDI, auf eine Videoidentifizierung zu verzichten. Die Begründung: Es könne nicht sichergestellt werden, dass anfallende personenbezogene Daten datenschutzkonform verarbeitet werden. Weiter heißt es, dass eine Identifizierung vor Ort sicherer wäre und eine Dokumentenprüfung nach dem damaligen Stand der Technik nicht möglich gewesen sei. „Daher kann bei einer Videoidentifizierung noch schlechter als bei der Identifizierung vor Ort unterschieden werden, ob ein Ausweisdokument echt ist oder eine Fälschung vorliegt“, steht in dem Bericht.