Datenschutz und IT-Sicherheit auf Webseitenformularen: erfüllen Arztpraxen die Anforderungen?

Kategorien: Allgemein und Datenschutz

Für Kassenvertragsärzte gelten Anforderungen an den Datenschutz sowie die Vorgaben für die IT-Sicherheit durch die Kassenärztliche Bundesvereinigung. Unter anderem müssen Webformulare vor unerlaubter Nutzung geschützt werden. Eine Stichprobenanalyse zeigt, wie gut Arztpraxen aufgestellt sind.

Vorwort

Dies ist ein Gastartikel von Sascha Wilms. Herr Wilms hat sich als Datenschutzberater auf die Gesundheitsbranche spezialisiert. Er richtet seinen Fokus auf das Internet.

Der Autor ist verantwortlich für diesen Artikel und seine Inhalte, die unentgeltlich erstellt wurden. Wesentliche Eingriffe in den Inhalt durch Dr. DSGVO fanden nicht statt, um die Sichtweise des Gastautors zu ermöglichen. Leser-Kommentare zum Artikel werden gerne an den Autor weitergeleitet.

Einleitung

Seit dem 01. Januar 2022 gelten für Kassenvertragsärzte zusätzliche Anforderungen an die IT-Sicherheit und den Datenschutz. Neu hinzugekommen zu den seit April letzten Jahres bereits gemäß Richtlinie nach § 75b SGB V bestehenden Anforderungen für Praxen aller Größen ist unter anderem der Schutz von Webanwendungen vor unerlaubter, automatisierter Nutzung.

Die ersten Vorgaben aus dieser Richtlinie sind seit 01. April des vergangenen Jahres verbindlich, weitere Anforderungen müssen seit letztem Juli umgesetzt werden. Ein weiterer Stichtag mit Anforderungen war der 01. Januar dieses Jahres. Zu neu hinzugekommen Anforderungen zählt nun auch der Schutz von Webformularen: Arztpraxen aller Größen sind dazu verpflichtet, unter anderem Kontaktformulare, Formulare für Rezeptanforderungen und Termine gegen Bots und Skripte zu schützen. Die Richtlinie hält die Anforderungen allgemein. In der Praxis bieten sich für den Schutz von Webformularen Honeypots, Sicherheitsabfragen und CAPTCHAs an.

Weiterhin gelten für Webformulare die bereits bekannten Anforderungen aus der Datenschutzgrundverordnung:

• Verantwortliche müssen ihrer Informationspflicht nach Art. 13 DSGVO nachkommen;
• es gilt das Prinzip der Datenminimierung nach Art. 5 DSGVO, was sich über die Deklaration von Pflichtfeldern realisieren lässt;
• die Übertragung der eingegebenen Daten muss gemäß Art. 32 DSGVO verschlüsselt erfolgen, auch die Sicherheitsrichtlinie für Arztpraxen schreibt dies explizit vor.

Gerade für Arztpraxen sind diese Anforderungen von Bedeutung, da über Webformulare Gesundheitsdaten – und somit besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO – direkt abgefragt werden, oder sie über die Eingabe im Nachrichtenfeld übertragen werden können. Bevor ich auf die einzelnen Prüfpunkte eingehe, möchte ich mich kurz dem Schutz der Webformulare vor Bots und Skripts widmen.

Ungeschützte Webformulare bieten leichten Angriffspunkt

Webformulare sind von automatisierten Programmen wie Bots oder Skripten leicht aufzufinden – und ebenso leicht auszunutzen. Ohne jeglichen Schutz vor diesen Programmen können automatisierte und somit massenhaft Angriffe gefahren werden, zum Beispiel Denial-of-Service-Attacken: die Webformulare werden mit einer Vielzahl von Anfragen überfrachtet, die Server kommen mit der Anfrage nicht mehr nach. Als Folge können die Website der Arztpraxis und eventuell angebundene Webdienste, die vom Praxispersonal über den Webserver genutzt werden, zumindest vorübergehend nicht erreichbar sein. Weiterhin können durch automatisierte Angriffe über Webformulare Links verschickt werden, die auf Webseiten mit Schadsoftware führen. Ist das Praxispersonal nicht ausreichend geschult und aufmerksam, öffnet dies beispielsweise die Tür für Ransomware, mit möglichen kostspieligen Folgen.

Sicherheitsabfragen und CAPTCHAs kosten den Webseitenbesucher im schlimmsten Fall ein wenig Kopfrechnen oder ein paar Klicks. Aufgrund der relativ geringen Implementierungskosten gestalten sich diese Schutzmaßnahmen als sehr Kosten-Nutzen-freundlich, und sollten bereits in Anbetracht der in Art. 32 Abs. 1 DSGVO geforderten Sicherheit für die Verarbeitung personenbezogener Daten zum Einsatz auf jeder Webseite kommen. Honeypots schützen Webformulare im Hintergrund und gänzlich ohne Interaktion des Webseitenbesuchers. Auch einige CAPTCHAs arbeiten mittlerweile für Nutzer unsichtbar und somit ohne Einbußen bei der User Experience. Im besten Fall kommt für den Schutz von Webformularen eine Kombination dieser Maßnahmen zum Einsatz.

Zuverlässigkeit von CAPTCHAs – und das Thema Datenschutz

CAPTCHA steht für die englische Abkürzung „completely automated public Turing test to tell computers and humans apart“, übersetzt: vollautomatischer öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen. Allerdings bieten CAPTCHAs alleine keinen hundertprozentigen Schutz: einige automatisierte Programme konnten CAPTCHAs bereits lösen – weswegen CAPTCHAs ständig weiterentwickelt werden. Angreifer machen sich zur Lösung von CAPTCHAs mittlerweile auch den Menschen zunutze: sie jubeln auf kompromittierten Webseiten eigentlich unbeteiligten Internetnutzern CAPTCHAs unter, damit diese sie lösen. Diese Lösung dient den Angreifern dann dafür, den Schutz der eigentlichen anvisierten Webseite zu überwinden. Ich nehme für die Untersuchung an, dass CAPTCHAs und weitere Sicherheitsabfragen zuverlässig genug funktionieren, um Webformulare einen gewissen Schutzgrad zu bieten. 

Neben den in Bild 2 dargestellten graphischen CAPTCHAs können auch simple Matheaufgaben als Sicherheitsfrage eingesetzt werden. Das wohl am häufigsten eingesetzte CAPTCHA ist Googles reCAPTCHA. Viele von Ihnen kennen womöglich die Aufgabe, aus einer Reihe von Bildern solche auszuwählen, die ein bestimmtes Objekt zeigen, beispielsweise einen Zebrastreifen (Im Übrigen nutzt Google die Daten aus dieser menschlichen Interaktion auch zum Machine-Learning). Neuere Versionen laufen für den Webseitenbesucher unsichtbar im Hintergrund und überprüfen sein Nutzerverhalten, um dadurch automatisch zu bestimmen, ob es sich um einen Menschen oder eine Maschine handelt. Es ist anzunehmen, dass reCAPTCHA sehr zuverlässig funktioniert. Allerdings: Die Verwendung von reCAPTCHA wirft wiederum datenschutzrechtliche Fragen auf (zu dieser Problematik wurde in diesem Block bereits eine ausführlichere Betrachtung vorgenommen). Das Bayerische Landesamt für Datenschutzaufsicht empfiehlt, Alternativen zu reCAPTCHA zu prüfen. Streng genommen müsste der Webseitenverantwortliche beim Einsatz von reCAPTCHA die Rechtmäßigkeit der Datenverarbeitung sicherstellen, da bei diesem Tool eine Datenübermittlung in Drittländer erfolgen kann (und in der Regel wohl auch erfolgt). Eine datenschutzrechtlich zulässige Methode wäre zumindest, vor dem Laden von reCAPTCHA die Einwilligung  des Nutzers für die Datenverarbeitung einzuholen, beispielsweise durch einen vom Nutzer zu bestätigenden entsprechenden Hinweis. Ohne die Einzelheiten der an diesen Vorgang geknüpften datenschutzrechtlichen Anforderungen zu prüfen, wurde bei unserem Test darauf geachtet, ob im Falle eines Einsatzes von reCAPTCHA eine vorherige Einwilligung eingeholt wurde.

Stichprobenanalyse der Webformulare

Pro Bundesland habe ich zwanzig Webseiten mit Webformularen untersucht, insgesamt umfasst meine Stichprobe also 320 Webseiten. Zur besseren Vergleichbarkeit habe ich dabei nur Webseiten von Allgemeinmedizinern betrachtet. Die Webseiten habe ich über die Suchmöglichkeiten der kassenärztlichen Vereinigungen zufällig ausgewählt, und die ersten zwanzig Webseiten mit Webformularen berücksichtigt. Die Webformulare mussten direkt über die Website der Arztpraxis aufrufbar sein. Webformulare, die auf Domänen von Drittanbietern über einen externen Link gehostet wurden, habe ich für meine Untersuchung nicht berücksichtigt, ebenso wenig Newsletter-Formulare (diese wurden ohnehin nur von einem verschwindenden Prozentsatz genutzt).

Prüfkriterien an datenschutzgerechte und sichere Webformulare

Die Anforderungen an die Webformulare habe ich manuell und hinsichtlich der nachfolgenden Kriterien in Augenschein genommen:

• Die Übermittlung personenbezogener Daten über Webformulare darf nur verschlüsselt erfolgen. Werden in den Webformularen Gesundheitsdaten übertragen, kann eine nicht vorhandene Verschlüsselung bereits ein sehr hohes Risiko für die Betroffenen darstellen. Ich habe demnach bei den Webseiten darauf geachtet, ob die URLs mit den Webformularen HTTPS-verschlüsselt waren.
• Der Informationspflicht kann durch einen entsprechenden Hinweis im Webformular inklusive einer Verlinkung auf die Datenschutzhinweise nachgekommen werden. Der Hinweis über im Webformular selber sollte Bezug auf die jeweilige Datenverarbeitung nehmen – nur ein Link  zu den Datenschutzhinweisen ist nicht ausreichend. Die Datenschutzhinweise und die entsprechenden Abschnitte zur Datenverarbeitung der Webformulare habe ich nicht weiter betrachtet.
• Das Prinzip der Datenminimierung kann bei Webformularen durch die Deklaration von Pflichtfeldern befolgt werden. Durch Pflichtfelder sollten nur diejenigen Daten erhoben werden, die für den beabsichtigten Zweck benötigt werden. Die einzelnen Felder eines Webformulars sollten eine entsprechende Kennzeichnung oder einen entsprechenden Hinweis haben. Bei der Überprüfung der Webformulare habe ich geschaut, ob Pflichtfelder als solche ausgewiesen wurden (aufgrund der unterschiedlichen Webformulare und unterschiedlichen Zwecke der Datenverarbeitung habe ich der Einfachheit halber davon abgesehen, die Notwendigkeit der einzelnen Pflichtfelder zu beurteilen).
• Zu guter Letzt habe ich die bereits oben beschriebene Schutzmaßnahme gegen unerlaubte, automatisierte Nutzung der Webformulare durch einfache Sicherheitsabfragen oder CAPTCHAs überprüft. Ob Honeypots zum Einsatz kommen, ist ohne Zugriff auf das Backend nicht zuverlässig bzw. gar nicht zu bestimmen. Daher habe ich mich auf Sicherheitsfragen und CAPTCHAs konzentriert.

Ergebnis: Großteil der Webformular noch nicht ausreichend geschützt

Die Analyse meiner Stichprobe von Webseiten der Arztpraxen ergibt folgende Momentaufnahme:

• 97% der betrachteten Webformulare wiesen eine TLS-Verschlüsselung auf. Leider erfüllten damit 3% weiterhin nicht diese Anforderung, die mittlerweile eine Selbstverständlichkeit sein sollte. TLS-Zertifikate sind ohne großen Aufwand einzurichten und sollten auch kein Kostenfaktor sein.
• 95% der Webseiten erfüllten die Anforderungen an die Transparenz der Datenerhebung sowie das Prinzip der Datenminimierung durch die Kenntlichmachung von Pflichtfeldern.
• 81% der Webformulare wiesen eine Verlinkung auf die Datenschutzhinweise der Webseite auf. Demgegenüber machten gut zwei Drittel (65%) der Webseitenbetreiber Hinweise zur Datenverarbeitung im Webformular selbst. Insgesamt erfüllten 47% der überprüften Webseiten beide Kriterien und damit die Informationspflicht.
• Auf weniger als einem Drittel (28%) der untersuchten Webseiten wurden die Webformulare mit einem CAPTCHA oder einer Sicherheitsfrage gesichert. Von diesen Webseiten setzte knapp ein Drittel (31%) auf Google reCAPTCHA. Von diesen wiederum holten sich nur 7% vorab eine Einwilligung zur Datenverarbeitung beim Betroffenen ein. Vor dem Hintergrund, dass wie weiter oben beschrieben im besten eine Kombination von Schutzmaßnahmen zum Einsatz kommt, lässt sich aus meiner Stichprobe ableiten, dass dies bei weniger als einem Drittel der Webseiten nicht der Fall zu sein scheint.
• In der Gesamtbewertung erfüllten 9% der betrachteten Webseiten der Stichprobe alle hier aufgeführten Kriterien. Bei über 91% der untersuchten Seiten wurde zumindest eines der oben genannten Kriterien nicht erfüllt.

Fazit: Großer Nachholbedarf beim Schutz von Webformularen und den datenschutzrechtlichen Anforderungen

Ungeschützte Webformulare bieten eine offene Tür für Angriffe durch Bots und Skripte. Gleichzeitig lassen sich Webformulare mit geringem Aufwand durch Schutzmaßnahmen wie CAPTCHAs effektiv und kostengünstig schützen. Im besten Fall erfolgt der Schutz durch datenschutzfreundliche Lösungen, die keiner weiteren Einwilligung bedürfen (Datenschutzfreundliche Alternativen zu reCAPTCHA wurden bereits in einem anderen Blogbeitrag auf dieser Seite aufgeführt). Weiterhin besteht vor allem hinsichtlich der Informationspflicht Nachholbedarf: Die erforderlichen Hinweise zur Datenverarbeitung sowie die Verlinkung auf die Datenschutzhinweise im Webformular sind ebenfalls leicht zu realisieren. Das Thema HTTPS-Verschlüsselung von Webformularen ist längst Stand der Technik; eine nicht vorhandene Umsetzung dieser Vorgabe ist äußerst fahrlässig. Alles in allem konnten knapp über 90% der hier betrachteten Webformulare die von mir untersuchten Anforderungen an Datenschutz und Sicherheit nicht erfüllen.

Ich hoffe, Webseitenbetreiber und Verantwortliche (insbesondere Ärzte) davon zu überzeugen, die entsprechenden Maßnahmen zum besseren Schutz von Webformularen sowie der Erfüllung der datenschutzrechtlichen Anforderungen zeitnah umzusetzen – gerade vor dem Hintergrund der sich weiter verschlechternden IT-Sicherheitslage, sowie den besonderen Anforderungen an die Verarbeitung von Gesundheitsdaten. Es kann davon ausgegangen werden, dass ähnliche Ergebnisse in anderen Berufszweigen und Branchen zu finden sind.