:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
European Health Data Space – Daten im Dienst der Gesundheit Der Datenschutz endet nicht vor den Datenräumen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Virtuelle Datenräume dienen dem sicheren Austausch von Dokumenten, zum Beispiel bei einer Due Diligence. Auch im Gesundheitswesen soll es einen entsprechenden Datenraum geben, den European Health Data Space. Doch trotz hoher Sicherheit könnte dort der Datenschutz beschränkt sein, so warnen die Aufsichtsbehörden in der EU. Stehen Datenräume nicht automatisch für Datenschutz?
Die Europäische Kommission hat den europäischen Raum für Gesundheitsdaten (European Health Data Space – EHDS) auf den Weg gebracht, der einer der zentralen Bausteine einer starken europäischen Gesundheitsunion werden soll.
Der EHDS soll es den Menschen in ihrem jeweiligen Heimatland oder in anderen Mitgliedstaaten ermöglichen, ihre Gesundheitsdaten zu kontrollieren und zu nutzen, einen Binnenmarkt für digitale Gesundheitsdienste und -produkte unterstützen und einen kohärenten, vertrauenswürdigen und effizienten Rahmen für die Nutzung von Gesundheitsdaten für Forschung, Innovation, Politikgestaltung und Regulierungstätigkeiten schaffen.
Der Vizepräsident der Europäischen Kommission, Margaritis Schinas, erklärte: „Heute legen wir das Fundament für einen sicheren und vertrauenswürdigen Zugang zu Gesundheitsdaten, der voll und ganz mit den Grundwerten der EU im Einklang steht.”
EU-Gesundheitskommissarin Stella Kyriakides betonte: „Der europäische Raum für Gesundheitsdaten ist ein grundlegender Umbruch im digitalen Wandel der Gesundheitsversorgung in der EU. Er stellt die Bürgerinnen und Bürger in den Mittelpunkt und ermöglicht ihnen die vollständige Kontrolle ihrer Daten mit dem Ziel, eine bessere Gesundheitsversorgung in der gesamten EU zu erreichen. Diese Daten, auf die unter Gewährleistung strikter Garantien für den Schutz der Privatsphäre und der Sicherheit zugegriffen wird, werden auch Wissenschaftlern, Forschenden, Innovatoren und politischen Entscheidungsträgern, die an künftigen lebensrettenden Behandlungsmethoden arbeiten, von hohem Wert sein.“
Den Menschen Kontrolle über ihre persönlichen Gesundheitsdaten geben
Dank des EHDS erhalten die Menschen einen kostenlosen, unmittelbaren und einfachen Zugang zu den Daten in elektronischer Form, so die EU-Kommission. Die Bürgerinnen und Bürger werden die vollständige Kontrolle über ihre Daten übernehmen und in der Lage sein, Informationen hinzuzufügen, falsche Daten zu berichtigen, den Zugang für andere zu beschränken und Informationen darüber zu erhalten, wie und zu welchem Zweck ihre Daten verwendet werden.
Doch dieser Datenraum soll noch mehr leisten: Der europäische Raum für Gesundheitsdaten soll einen soliden Rechtsrahmen für die Verwendung von Gesundheitsdaten für Forschung, Innovation, Gesundheitswesen, Politikgestaltung und Regulierungszwecke schaffen.
Für den Zugang zu solchen Daten durch Forschende, Unternehmen oder Einrichtungen wird eine Genehmigung von einer der in allen Mitgliedstaaten einzurichtenden Zugangsstellen für Gesundheitsdaten erforderlich sein. Der Zugang wird nur gewährt, wenn die angeforderten Daten zu bestimmten Zwecken sowie in geschlossenen sicheren Umgebungen verwendet werden und ohne dass die Identität der betroffenen Person offengelegt wird. Es ist auch streng verboten, die Daten für Entscheidungen zu verwenden, die sich nachteilig auf Bürgerinnen und Bürger auswirken, wie z. B. das Konzipieren schädlicher Produkte oder die Erhöhung einer Versicherungsprämie.
Eigentlich klingt dies nach einem wünschenswerten Konzept für den Datenschutz, wie man es auch bei einem sicheren Datenraum in der EU erwarten würde. Trotzdem sehen die Aufsichtsbehörden für den Datenschutz Bedarf, auf einige Punkte in dem Konzept des EHDS hinzuweisen.
Der Datenschutz im Datenraum
Der EHDS baut auf der Datenschutz-Grundverordnung (DSGVO), dem Vorschlag für ein Daten-Governance-Gesetz, dem Entwurf eines Datengesetzes und der NIS-Richtlinie auf, so die EU-Kommission. Demnach ergänzt der EHDS die genannten Initiativen und bietet maßgeschneiderte Vorschriften für den Gesundheitssektor, wo dies erforderlich ist.
Aus Sicht der EU-Kommission baut der EHDS auch auf der durch die DSGVO eröffneten Möglichkeit auf, ein EU-Gesetz zur Unterstützung der Verwendung von Gesundheitsdaten für Diagnose- und Behandlungszwecke sowie für Forschungszwecke, Statistiken oder im öffentlichen Interesse vorzulegen.
Allerdings: Eine zusätzliche Regelung für den Datenschutz darf nicht der DSGVO zuwiderlaufen. Insofern ist es interessant zu sehen, was der Europäische Datenschutzausschuss (EDSA) zu dem EHDS zu sagen hat.
Die Frage nach dem Verwendungszweck
Für den Datenschutz sind Konzepte, bei denen große Datenmengen mehr oder weniger zentral gesammelt und gespeichert werden sollen, immer etwas, was man sich genauer ansehen sollte.
Ein wesentliches Problem bei großen Datenmengen und verschiedenen Nutzergruppen für diese Daten besteht darin, dass die Daten von einer Gruppe zu einem bestimmten Zweck erhoben und gespeichert worden sind, womöglich aber dann von einer anderen Gruppe zu einem anderen Zweck ausgewertet werden könnten.
Hierzu sagt die EU-Kommission: Die Verarbeitung elektronischer Gesundheitsdaten ist für die Sekundärnutzung nur für in der Verordnung vorgesehene bestimmte Zwecke auf der Grundlage einer von einer Datenzugangsstelle erteilten Genehmigung möglich. Es wird verboten sein, Daten zu verwenden, um Entscheidungen zu treffen, die Einzelpersonen schaden, oder um Gesundheitsprodukte an Angehörige der Gesundheitsberufe oder Patientinnen und Patienten zu verkaufen.
Was aber sagt der Europäische Datenschutzausschuss sowie der Europäische Datenschutzbeauftragte (EDPS) dazu? Und sind alle Zwecke, die die Verordnung für einen EHDS vorsieht, auch im Sinne der Betroffenen?
Betroffenenrechte auch in Datenräumen vollständig gewährleisten
Die EU-Datenschützer haben einige Bedenken zum EHDS angemeldet. So erklären der EDSA und der EDPS: „Obwohl die Bemühungen um eine Stärkung der Kontrolle und der Rechte der betroffenen Personen über ihre persönlichen Gesundheitsdaten begrüßenswert sind, sollte hervorgehoben werden, dass dieser Vorschlag hauptsächlich einige „Ergänzungen“ zu einigen der Rechte der betroffenen Personen vorsieht, die bereits in der DSGVO vorgesehen sind“.
Nun folgt der wichtige Hinweis: „Tatsächlich kann der Vorschlag sogar den Schutz der Rechte auf Privatsphäre und Datenschutz schwächen, insbesondere in Anbetracht der Kategorien personenbezogener Daten und Zwecke, die mit der sekundären Verwendung von Daten zusammenhängen“.
Welche Datenrisiken aus bestimmten „sekundären Nutzungen“ der Daten entstehen könnten, erläutern die Datenschützer so: „Der EDSA und der EDPS erkennen die Bestimmungen an, die darauf abzielen, die Interoperabilität elektronischer Patientenakten zu verbessern und die Konnektivität von Wellness-Apps mit solchen elektronischen Patientenakten zu erleichtern“.
Aber: „Der EDSA und der EDSB sind jedoch der Meinung, dass letztere nicht in die sekundäre Verwendung von Gesundheitsdaten aufgenommen werden sollten. Erstens, weil Gesundheitsdaten, die von Wellnessanwendungen und anderen digitalen Gesundheitsanwendungen generiert werden, nicht die gleichen Datenqualitätsanforderunmgen und -eigenschaften haben wie die von medizinischen Geräten generierten. Darüber hinaus erzeugen diese Anwendungen enorme Datenmengen und können sehr invasiv sein, da sie sich auf jeden Schritt beziehen, den Einzelpersonen in ihrem täglichen Leben unternehmen. Selbst wenn Gesundheitsdaten tatsächlich von anderen Arten von Daten getrennt werden könnten, könnten leicht Rückschlüsse auf Ernährungsgewohnheiten und andere Gewohnheiten gezogen werden, die besonders sensible Informationen wie die religiöse Orientierung preisgeben“.
Es zeigt sich: Auch bei Projekten, die sichere Datenräume zum Gegenstand haben, sollten die Forderungen der Datenschutz-Grundverordnung (DSGVO) immer vollständig im Blick sein. Aufweichungen im Datenschutz sollte es auch in geschlossenen Datenräumen nicht geben, insbesondere dann, wenn es um so sensible Daten wie Gesundheitsdaten geht. Aber auch andere geplante Datenräume, zum Beispiel für Verkehrsdaten, sollten zum Beispiel immer die vollständigen Betroffenenrechte vorsehen, wie sie die DSGVO verlangt. Datenräume sollten immer einen höheren oder mindestens gleichwertigen Datenschutz bieten wie andere Formen der Datenverarbeitung.
(ID:48543976)
:quality(80)/p7i.vogel.de/wcms/6a/86/6a86a1966a7a322d7c6be980237552c1/0109467381.jpeg "Behindert die DSGVO Unternehmen in ihrer Arbeit oder ist vielleicht sogar das Gegenteil der Fall? Fast fünf Jahre nach Inkrafttreten der DSGVO läuft diese Debatte noch immer. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/db/9b/db9b2fd8cb4afb5a483f38f0e3e02d7e/0106900816.jpeg "Projektbeteiligte sollten zu einem virtuellen Datenraum ausschließlich die Zugriffsrechte erhalten, die sie für ihre jeweilige Rolle benötigen. (Bild: FTAPI)")