Windows 10 und Datenschutz: Das sollten Sie in der Arztpraxis beachten
© wachiwit - adobe.stock.com

Windows 10 und Datenschutz: Das sollten Sie in der Arztpraxis beachten

5 min.

Im Vergleich zu den Vorgängerversionen ist der Einsatz von Windows 10 sicherlich ein Fortschritt. Allerdings gibt es auch datenschutzrechtliche Probleme, vor denen Anwender in der Gesundheitsbranche keinesfalls die Augen verschließen sollten.

Windows 10 hat einige Stärken, die bei den älteren Versionen nicht vorhanden waren. Zum einen ist ein Virenscanner integriert, der für die meisten Fälle ausreichend ist. Zum anderen verfügt die Software mit dem Edge Browser über einen Browser, der sich, anders als der nach wie vor enthaltene Internet Explorer, an die gängigen Web-Standards hält. Zudem wurde die Benutzeroberfläche an die Bedienung mit einem Touchscreen angepasst. „Das sind aus Anwendersicht alles positive Neuerungen. Übersehen wird dabei aber häufig, dass Microsoft durch das Sammeln von Daten zu viele Informationen über die Nutzer der Produkte und Anwendungen aus der Windows-10-Versionsfamilie abgreift“, warnt Markus Bergmaier, Unternehmensberater bei Ecovis in Dingolfing.

Diese Problematik wird dadurch verstärkt, dass Windows 10 nicht nur ein Betriebssystem ist, sondern auch als Systemumgebung weitere zusätzliche Funktionalitäten anbietet. Dabei werden die unterschiedlichsten Nutzerdaten erfasst. Besonders problematisch ist es allerdings, wenn Telemetriedaten an Microsoft gesendet werden. Dabei handelt es sich um Angaben zur Sicherheit und Stabilität des Systems, die online übertragen werden.

Windows 10: Problematische Software

„In der Regel ist jeder PC mit dem Internet verbunden, also mit permanenter Datenübermittlung. Einen konkreten Hinweis von Microsoft dazu gibt es nicht“, erklärt Bergmaier.

Die Probleme aus Datenschutzsicht:

  • Windows 10 übermittelt in der Standard- Einstellung sehr viele und selbst in der höchsten Sicherheitsstufe noch immer einige Daten an Microsoft.
  • Die Datenübermittlung an Microsoft kann durch bestimmte Einstellungen begrenzt werden. Abstellen lässt sich diese auch in der höchsten Sicherheitsstufe nicht.
  • Für den Durchschnittsnutzer sind die Anpassungen an die höchste Sicherheitsstufe technisch nur schwer umzusetzen.
  • Da die Übertragung verschlüsselt erfolgt, ist es für Anwender nicht nachvollziehbar, ob und welche personenbezogenen Daten an Microsoft übertragen werden.
  • Zweimal im Jahr stellt der Konzern eine neue „Build“ zur Verfügung. Technisch gesehen ist das ein Upgrade auf eine neue Version, die aber weiterhin Windows 10 heißt. Die Datenschutzeinstellungen werden bei jedem Update – zumindest teilweise – wieder zurückgesetzt.

„Für technische Laien und teilweise auch für IT-Fachleute ist es zudem oftmals kaum möglich, sich korrekt mit den einzelnen Versionen auseinanderzusetzen. Das kann dazu führen, dass zwingend notwendige Einstellungen verloren gehen und der Schutz persönlicher Daten von Dritten nicht mehr gewährleistet ist“, sagt Ecovis-Experte Bergmaier.

Hinzu kommt: Nach der Datenschutzgrundverordnung (DSGVO) sind Unternehmen, Arztpraxen und alle anderen Heilberufler dazu verpflichtet, eine datenschutzkonforme Verarbeitung von personenbezogenen Daten zu gewährleisten. Diese Regeln gelten nicht nur für Ärzten untereinander, sondern auch für die Kommunikation zwischen Sozialversicherungsträgern und den Versicherten (siehe unten „Datenschutzgerechte Kommunikation mit den Krankenkassen gefordert“). Diese werden künftig ebenfalls in die Pflicht genommen, wie Daten zu versenden sind.

Abhilfe schaffen und datenschutzkonform arbeiten

Was also tun, wenn nicht auf die entsprechenden Funktionalitäten, die Microsoft bietet, verzichtet werden kann?

  • Am einfachsten und praktikabel ist der Rückgriff auf Open-Source-Produkte mit ähnlichen Funktionen.
  • Grundsätzlich möglich ist eine kostenpflichtige Supportverlängerung von Windows 7 – allerdings nur kurzfristig.
  • Um die Übermittlung der Telemetriedaten zu vermeiden, ist auch das „Einsperren“ von Windows 10 mithilfe einer Terminal- Server-Konstellation möglich. Dies erfordert allerdings die Anpassung der IT‑Umgebung und eine ständige Überwachung und Wartung durch einen technisch versierten IT-Support.

„Für Gesundheitsdaten gilt aus datenschutzrechtlicher Sicht die klare Empfehlung eines Verzichts auf Windows 10“, erklärt Axel Keller, Rechtsanwalt und externer Datenschutzbeauftragter bei Ecovis in Rostock.

Datenschutzgerechte Kommunikation mit den Krankenkassen gefordert

Die Kranken- und Pflegekassen, Berufsgenossenschaften und die Deutsche Rentenversicherung sind dazu aufgefordert, mit ihren Versicherten nur noch auf sicherem Weg zu kommunizieren. Insbesondere beim elektronischen Versand von Gesundheitsdaten, die einen besonderen Schutz genießen, muss die Kommunikation verschlüsselt sein. Dies gab Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), in einer Mitteilung vom 16. Juli 2019 bekannt.

Ein hohes Schutzniveau für Gesundheitsdaten kann nach Ansicht des BfDI typischerweise durch den Datenversand mit normaler Post erfolgen. Denn sie unterliegt dem Brief- und Postgeheimnis. Ein Versand mittels einer einfachen, unverschlüsselten E-Mail ist dagegen allenfalls mit einer Postkarte vergleichbar und daher kein angemessener Schutz. Nur eine verschlüsselte Versendung von Gesundheitsdaten via E-Mail mit einer qualifizierten Signatur ist nach Aussage des BfDI datenschutzrechtlich zulässig. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt den Einsatz der Verschlüsselungsprotokolle TLS 1.2 und TLS 1.3, jeweils in Kombination mit Perfect Forward Secrecy (PFS).

Neben den Sozialversicherungsträgern sollen auch Unternehmen der Privatwirtschaft, Ärzte, Krankenhäuser, Pflegeheime und Tageskliniken sowie alle weiteren Unternehmen, die regelmäßig mit Gesundheitsdaten arbeiten, die Ausführungen des BfDI wenigstens vorausschauend beachten.

Axel Keller, Rechtsanwalt bei Ecovis in Rostock und Datenschutzberater

Markus Bergmaier, Unternehmensberater bei Ecovis in Dingolfing

Auch interessant: DSGVO – Das müssen Sie bei der Website Ihrer Praxis beachten

Das Wichtigste für Heilberufler aus Steuern und Recht - jetzt anmelden!