Gesetz zur Stärkung der Cybersicherheit: Ärzte sehen Schweigepflicht gefährdet

Die Kassenärztliche Bundesvereinigung (KBV) hat den Regierungsentwurf für das „Gesetz zur Stärkung der Cybersicherheit“ kritisiert. Zwar begrüße sie grundsätzlich das Ziel, die Cyberabwehr zu stärken, die geplanten Befugnisse dürften jedoch nicht zulasten der ärztlichen Schweigepflicht gehen. „Die verdeckten Abwehrmaßnahmen können auch Gesundheitsdaten von Versicherten betreffen, die von Vertragsärztinnen und -ärzten sowie Vertragspsychotherapeutinnen und -psychotherapeuten verarbeitet werden“, heißt es von der KBV.

Ihrer Ansicht nach könnten die vorgesehenen verdeckten Cyberabwehrmaßnahmen auch Arztpraxen betreffen. Praxisverwaltungssysteme und die Telematikinfrastruktur seien regelmäßig Ziel von Schadsoftware, insbesondere Ransomware. Würden Sicherheitsbehörden auf kompromittierte Systeme zugreifen, könnten sie dadurch, ohne Wissen der Versicherten, auch auf besonders sensible Gesundheitsdaten stoßen, warnt die Ärztevertretung. Die Sorge der KBV kommt nicht von ungefähr: Einrichtungen des Gesundheitswesens gehören seit Jahren zu den bevorzugten Zielen von Cyberkriminellen.

Laut der Bundesregierung dienen die Befugnisse ausschließlich der Gefahrenabwehr und seien keine Überwachungsmaßnahmen. Nach Sicht der KBV ist für den Schutz der ärztlichen Schweigepflicht nicht entscheidend, welchem Zweck der staatliche Zugriff diene. Entscheidend sei, ob die Behörden tatsächlich Zugang zu vertraulichen Patientendaten erhalten könnten.

Die Ärztevertretung fordert deshalb, den besonderen Schutz von Berufsgeheimnisträgern nach § 62 Bundeskriminalamtgesetz auf die neuen Cyberabwehrmaßnahmen auszudehnen und eine entsprechende Regelung auch im Bundespolizeigesetz zu schaffen. So solle gewährleistet werden, dass die Kommunikation zwischen Ärzten, Psychotherapeuten und ihren Patienten auch im Rahmen staatlicher Cyberabwehrmaßnahmen besonders geschützt bleibt.

Mit dem Gesetzentwurf sollen die Befugnisse von Bundespolizei und Bundeskriminalamt erweitert werden, um Cyberangriffe schneller erkennen, bewerten und abwehren zu können. Vorgesehen ist unter anderem, Datenverkehr umzuleiten sowie auf kompromittierten IT-Systemen Daten auszulesen, zu löschen oder zu verändern.

Mit ihrer Kritik steht die KBV nicht allein. So warnt die Arbeitsgruppe Kritische Infrastrukturen (AG KRITIS) vor weitreichenden Eingriffsbefugnissen der Sicherheitsbehörden, fordert stärkere rechtsstaatliche Kontrollmechanismen und einen restriktiveren Umgang mit Sicherheitslücken. Während sich die AG KRITIS vor allem auf grundsätzliche Fragen staatlicher Cyberbefugnisse konzentriert, hebt die KBV insbesondere die Risiken für die ärztliche Schweigepflicht und den Schutz sensibler Gesundheitsdaten hervor.

(mack)