Kommentare zu folgendem Beitrag: Impfausweis ohne Smartphone mittels Impfkarte
Sarkasm On
Und bei McDonalds kann ich demnächst dann meinen Perso verlängern lassen?
Sarkasm Off
Welche Informationen gehören zu den Gesundheitsdaten?
In der DSGVO (Art. 4 Nr. 15) sind diese erläutert:
„Gesundheitsdaten“ sind demnach personenbezogene Daten,
„die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“.
Gesundheitsdaten gehören nach dem BDSG und auch nach der EU-DSGVO zu der besonderen Kategorie personenbezogener Daten. Hier hat sich durch die EU-DSGVO nicht viel an der Definition geändert. Neu hinzugekommen sind allerdings genetische Angaben und biometrische Daten zur eindeutigen Identifikation einer Person. Für alle Daten dieser Kategorien, also auch für Gesundheitsdaten, gilt eine besondere Schutzbedürftigkeit.
Hieraus ergibt sich ein grundsätzliches Verbot der Verarbeitung dieser Daten. Die Verarbeitung ist nur unter bestimmten Vorrausetzungen möglich (Art. 9 2a-j DSGVO). Entweder willigt die betroffene Person ein oder es bestehen gesetzliche Rechtfertigungsmöglichkeiten. Beispielsweise finden sich im genannten Artikel Erlaubnistatbestände für das Gesundheitswesen.
5 Schritte für den EU-DSGVO-konformen Datenschutz
Was müssen Einrichtungen im Sozial- und Gesundheitswesen, wie Alten- und Pflegeheime oder Krankenhäuser für den Umgang mit sensiblen Gesundheitsdaten zukünftig beachten?
Erfahren Sie hier die fünf wichtigsten Schritte für den EU-DSGVO-konformen Datenschutz:
Was ist eine Datenschutz-Folgeabschätzung?
Durch das hohe Schutzniveau von Gesundheitsdaten ist nach der EU-DSGVO die Durchführung einer Datenschutz-Folgeabschätzung notwendig. Diese kann ggf. zu mehr Aufwand in Einrichtungen des Gesundheitswesens führen. Hier gibt es Parallelen zu der im Bundesdatenschutzgesetz (BDSG) bekannten Vorabkontrolle.
Zu einer Datenschutz-Folgeabschätzung gehören vier Aspekte, die Sie entsprechend dokumentieren und verschriftlichen müssen:
Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung der Gesundheitsdaten
Gegebenenfalls müssen hier auch die von dem Verantwortlichen verfolgten, berechtigten Interessen hinzugefügt werden. Hierbei sind (technische) Prozesse, IT-Systeme aber auch Datenflüsse und Systemgrenzen im Detail zu bewerten.
Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge
Bewerten Sie die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck der Datenerhebung und Speicherung.
Hier geht es um die Einhaltung des Grundsatzes der Datensparsamkeit. Als Mitarbeiter in Einrichtungen des Gesundheitswesens müssen Sie sich die Frage stellen, ob die erhobenen Gesundheitsdaten wirklich in vollem Umfang für Ihre Arbeit notwendig sind.
Risikobewertung
Bewerten Sie die Risiken für die Rechte und Freiheiten der betroffenen Personen. Wie hoch ist das Risiko der Beeinträchtigung des Rechtes auf informelle Selbstbestimmung der Patienten?
Maßnamenplanung
Dokumentieren Sie die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen. Hier muss auch auf technische Sicherheitsvorkehrungen und Verfahren eingegangen werden, wie etwa Schutz von Passwörtern, Beschränkung der Zugriffsrechte oder Technologien zur Verschlüsselung.
Um die gestiegenen Anforderungen des Datenschutzes nach Anwendung der EU-DSGVO gerecht zu werden, müssen auch die Einrichtungen im Gesundheitswesen den Umgang mit Patientendaten noch einmal überprüfen. Gut ausgebildete Mitarbeiter mit den entsprechenden Fachkenntnissen, sind hier der erste Schritt zu gesetzeskonformen Datenschutz. Und dieser ist wiederum ein Garant für Transparenz und Qualität der Einrichtung.
Und was fällt uns auf ? Richtig, dass ein Online-Shop, der ansonsten Drohnenversicherungen verkauft, wohl kaum die gesetzlichen Grundlagen zur Handhabe von Gesundheitsdaten erfüllt. Da kann die Person gerne 10x ihre Zustimmung geben, der Shop darf es schlichtweg nicht! BTW: Der QR-Code gehört zu diesen schützenswerten Daten dazu…! In den Datenschutzbestimmungen des Shops findet man diesbezüglich auch kein Wort…!
1 „Gefällt mir“
Als ich den Artikel gelesen hatte, hab ich mir direkt gedacht, dass ich niemals solche Daten einer privaten Firma zur Verfügung stellen würde, aber das hast du ja schon schön dargelegt.
In der Zwischenzeit schüttele ich dann weiter ungläubig den Kopf und frage mich: „Warum?“
Ich kann mir auch einfach den Zettel aus der Apotheke, auf dem der entsprechende QR-Code drauf ist Kopieren. Im Zweifelsfall noch einlaminieren. Kostet mich keine 9.99€ plus Verpackung und Versand. Funktioniert sogar ohne meine Gesundheitsdaten an ein Firma für Drohnen (-versicherungen?) zu senden.
Mal ganz abgesehen davon, dass den QR-Code bis jetzt noch niemand gelesen hat, bei mir. Dass sich die Verantwortlichen überhaupt ein Ausweisdokument zeigen lassen, um überhaupt zu wissen, ob auch die richtige Person vor Ihnen steht, ist schon die Ausnahme.
1 „Gefällt mir“
Volle Zustimmung: Ich habe mir die beiden Zertifikate in der Apotheke geholt, kopiert, die beiden QR-Codes dann ausgeschnitten und doppelseitig laminiert. Passen gut ins das Portemonnaie und brauchen keinen Strom 
Warum immer alles kompliziert, digital und teuer machen, wenn es auch klassisch geht …
EU untersucht Leck von privatem Schlüssel zum Fälschen von Covid-Pässen
Der private Schlüssel, der zum Signieren von EU-Digital-Covid-Zertifikaten verwendet wird, ist Berichten zufolge durchgesickert und wird über Messaging-Apps und Online-Marktplätze für Datenschutzverletzungen verbreitet.
Der Schlüssel wurde auch missbraucht, um gefälschte Zertifikate zu generieren, etwa für Adolf Hitler, Mickey Mouse, Sponge Bob, die alle von den offiziellen Regierungs-Apps als gültig anerkannt werden.
Das digitale Covid-Zertifikat oder der „Green Pass“ hilft den Einwohnern der Europäischen Union, nahtlos über die Grenzen zu reisen, indem sie nachweisen, dass sie entweder gegen COVID-19 geimpft wurden, ein negatives Testergebnis erhalten oder sich erfolgreich von COVID-19 erholt haben.
Diese Woche berichteten Benutzer, dass sie den privaten Schlüssel für EU-Digital-Covid-Zertifikate in Messaging-Apps wie Telegram gesehen haben.
Der private Schlüssel wird verwendet, um den „Green Pass“, das Äquivalent eines Impfstoffpasses der Europäischen Union, und/oder den Nachweis eines negativen COVID-19-Status zu unterzeichnen, der Reisenden dabei helfen kann, Grenzen nahtlos zu überschreiten.
„Auf verschiedenen Gruppen (hauptsächlich Telegram) kursieren mehrere gefälschte Green Pass mit gültiger Signatur… Pass-Architektur“ , sagt GitHub-Benutzer Emanuele Laface.
Bedrohungsakteure, die den privaten Schlüssel in die Hände bekommen, könnten leicht digitale Zertifikate oder QR-Codes fälschen, die dann von den offiziellen Regierungs-Apps als „legitim“ erkannt werden können.
Dies ist der Fall für ein gefälschtes Adolf Hitler Green Pass-Zertifikat, das von den offiziellen Verifica C19-Apps als gültig anerkannt wird, so der Penetrationstester reversebrain.
Der Penetrationstester berichtete später, die gefälschten Zertifikate würden von den Verifica C19-Apps der Regierung nicht mehr erkannt , was darauf hindeutet, dass der durchgesickerte private Schlüssel widerrufen wurde.
Heute durchgeführte Tests von BleepingComputer zeigen jedoch, dass sowohl die Android- als auch die iOS-Version der Verifica C19-App den QR-Code für das Adolf Hitler-Zertifikat immer noch als gültig behandeln.
Unsere Tests wurden mit der Verifica C19 App Version 1.1.5 durchgeführt, die am 19. Oktober bei Google Play und am 26. Oktober im Apple App Store veröffentlicht wurde .
Darüber hinaus wurden gefälschte Zertifikate für „Mickey Mouse“, „Sponge Bob“ und andere fiktive Charaktere von der App erfolgreich erkannt, wie von BleepingComputer gesehen.
BleepingComputer beobachtete auch, wie mehrere Benutzer private Schlüssel in unterirdischen Foren veröffentlichten und Methoden diskutierten, um „den EU-Grünen Pass zu machen“.
„Vor kurzem hat die Europäische Union den Green Pass für viele Aktivitäten obligatorisch gemacht. Ich sehe, dass es mehrere Websites gibt, die den QR-Code durch Entschlüsseln perfekt lesen können. Ich wollte wissen, ob jemand in der Lage ist, Daten neu zu verschlüsseln und QR-Codes zu generieren kurz gesagt, einen falschen grünen Pass generieren“, fragte ein Forumsmitglied.
Einige Händler bieten „europäische Covid-Pässe mit der Einreise als in Polen geimpft“ an, jeweils zu einem Preis von 300 US-Dollar.
Die in den digitalen COVID-Zertifikaten der EU enthaltenen QR-Codes enthalten eine digitale Signatur zum Schutz vor Fälschung. Bei der Zertifikatsprüfung mit den offiziellen Apps wird der QR-Code gescannt und die Signatur verifiziert.
Die offiziellen Regierungs docs sagen , dass jeder Emittenten, wie ein Krankenhaus, ein Testcenter, Gesundheitsbehörde, ihre eigenen digitalen Signaturschlüssel hat. Alle diese privaten Schlüssel werden in jedem Land in einer sicheren Datenbank gespeichert.
Es ist jedoch auch nicht klar, ob sich der wichtigste Kompromiss auf jedes einzelne EU-Land oder nur die ausstellenden Stellen ausgewählter Länder auswirkt.
Laut den QR-Code-Daten von BleepingComputer wurden die im Internet zirkulierenden gefälschten Zertifikate aus verschiedenen Ländern ausgestellt – Frankreich, Deutschland, Italien, Niederlande, Nordmazedonien, Polen usw.
EU-Regierung ist sich der „böswilligen Handlung“ bewusst und untersucht sie
BleepingComputer hat sich an CERT- Teams verschiedener EU-Staaten gewandt und es scheint, dass das Problem untersucht wird:
„Wir sind uns der mutmaßlichen betrügerischen Manipulationen des QR-Codes des EU-Covid-Zertifikats bewusst und haben die Berichte gesehen“, sagte ein EU-Sprecher gegenüber BleepingComputer.
„Als Priorität verfolgen wir die Entwicklungen dieses Vorfalls genau und stehen in Kontakt mit den zuständigen Behörden der Mitgliedstaaten, die untersuchen und Abhilfemaßnahmen ergreifen.“
„Wir verurteilen diesen böswilligen Akt, der eine Einmischung in einen sensiblen und strategischen Bereich darstellt, zu einer Zeit, in der die Gesundheitsdienste in allen Mitgliedstaaten unter Druck stehen, um die Pandemie zu bekämpfen, aufs Schärfste.“
„Der Vorfall hat keine Auswirkungen auf die Sicherheit und Integrität des von der Kommission verwalteten EU-Gateways“, schließt die Kommission in ihrer Erklärung an uns.
Die Tatsache, dass jeder kryptographisch gültige COVID-Zertifikate fälschen kann, stellt die Echtheit sogar legitimer Zertifikate in Frage, die von EU-Regierungsbehörden ausgestellt wurden.
Sollte dies der Fall sein, müsste der private Schlüssel von den Regierungsbehörden für die gesamte EU gesperrt werden, wodurch sowohl gefälschte als auch legitime COVID-Zertifikate ungültig werden.
Daher müssen Inhaber legitimer EU-Digital-Covid-Zertifikate sehr wahrscheinlich neue Grüne Pässe generieren, bis die Situation gelöst ist und die privaten Schlüssel zurückgesetzt werden.