Healthcare in Germany – digital first?

The world is becoming digital – internet of things, artificial intelligence, social networking, and the rapid rise of technology have fundamentally changed our private and professional life. But has the German healthcare system successfully found its way into the digital era yet?

The topic of health has never been as vital to Germans as it is today, and digital innovations offer a wide range of possibilities. Health apps, wearables, and special fitness trackers are part of our modern digital world. Founded in the 1880s, the German healthcare system – with its doctors, specialists, and facilities – is one of the best healthcare systems in the world.

According to surveys, many people would be willing to use digital applications in medical care and to provide their own data for this purpose. In the context of the healthcare reform legislation passed in 2003 (Gesundheitsreform 2003), changes with digital notations were incorporated into the German Social Code, Book V, on Statutory Health Insurance Modernization (SGB V – GKV-Modernisierungsgesetz or GMG) [1].Due to the Lipobay scandal the legislature decided to introduce the electronic health insurance card (elektronische Gesundheitskarte, eGK) [2]. An electronic medication plan stored on the eGK was supposed to prevent harmful interactions of medications in the future. This application should be usable by mid 2019. In addition, the GMG established further digital applications for the eGK in the Social Code. These include the emergency data management (Notfalldatenmanagement), an electronic patient record (elektronische Patientenakte), the electronic doctor’s letter (E-Arztbrief), and the electronic patient compartment (elektronisches Patientenfach). In 2015 the E-Health Law implemented concrete deadlines and responsibilities for the introduction of these applications. And so far, the electronic physician’s letter has found its way into the digital everyday life of physicians. The radiological telekonsil, which is based on the E-Health Law, and the video consultation are of marginal importance and only apply if a doctor has already been in contact with the patient before. Continue reading

The future of Cloud Computing before U.S. Supreme Court

A lawsuit currently pending before the US Supreme Court has global implications and leads to concerns among data protectors, companies and associations all over the world. The lawsuit USA v. Microsoft (Case No. 17-2) concerns the extraterritorial effect of a US search warrant.

The US Supreme Court is currently considering whether Microsoft is required by the Stored Communications Act (SCA) to disclose contents from its email customers’ accounts, even if the provider is located outside of US territory.

Continue reading

“Bundestrojaner” in use, what next?

The German Ministry of Interior (BMI) has authorized the use of a new hacking tool for criminal investigations since January, according to recent reports by German daily Die Welt [1]. Like other previously deployed government Trojan programs, it is nick-named “Bundestrojaner”.  The new version, developed by Munich-based IT surveillance company FinFisher GmbH, enables criminal investigators from the German Federal Criminal Police Office (BKA) and state (Länder)  criminal police offices to access individual suspects’ devices and to surveil their real-time communication before it is encrypted by messenger programs such as WhatsApp. Officially, this surveillance procedure is referred to as “source telecommunication surveillance” (“Quellen-Telekommunikationsüberwachung”).

In summer 2017, the Bundestag had passed a law amending §100 of the German Criminal Code and extending the scope of application for surveillance measures and “source communication surveillance” in particular. But the law itself and government hacking more generally remain highly contested. Critics argue that it obstructs individuals’ privacy and harms IT security [2], [3]. The German Federal Constitutional Court might even rule parts of it unlawful. We’ll explore some of the reasons below.

Continue reading

Digitalpolitischer Stillstand? Ergebnisse der Sondierung von CDU/CSU und SPD

In einem 24-seitigen Papier haben CDU/CSU und SPD am 12. Januar die Ergebnisse der Sondierungsverhandlungen zur Bildung einer neuen großen Koalition im Bund vorgestellt. Beide Seiten hatten aus den gescheiterten Jamaika-Verhandlungen gelernt und haben binnen einer Woche und weitgehend ohne öffentliche Begleitmusik ein sehr kondensiertes Regierungsprogramm vorgelegt. Darin hat auch die Digitalisierung ihren Platz: CDU/CSU und SPD wollen, so die Präambel “den digitalen Wandel .. für die Menschen positiv gestalten”. Sehr konkret werden die beiden Partner dabei nicht. Digitale Themen scheinen an vielen Stellen des Textes auf, verharren überwiegend aber bei der Definition allgemeiner Ziele.

Dies wird besonders deutlich bei gesellschaftspolitischen Kernfragen der Digitalisierung, die das Sondierungspapier jeweils nur antippt:

  • Im Bildungswesen soll eine stärkere Unterstützung der Länder durch den Bund bei Investitionen erfolgen, auch in Digitalisierung – was immer das heißt. Der vor der Wahl gescheiterte Digitalpakt zwischen Bund und Ländern findet keine Erwähnung.
  • Im Gesundheitswesen wird nur in allgemeiner Form auf die Notwendigkeit von Digitalisierungsinvestitionen in Krankenhäusern hingewiesen. Kernfragen der Gesundheitsdigitalisierung, die Zukunft der Telematikinfrastruktur oder die Öffnung für Big-Data-Anwendungen, adressiert das Papier nicht.
  • Die Digitalisierung des Arbeitsmarktes soll vor allem im Hinblick auf Clickworker (“Arbeit auf Abruf”) aufgegriffen werden, den Betroffenen “Planungs- und Einkommenssicherheit” verschafft. Wie? Das bleibt offen.
  • Die Digitalisierung im Bereich Mobilität wird vor allem auf das automatisierte Fahren bezogen, dies soll bei Infrastrukturinvestitionen berücksichtigt werden. Sonstige Rahmenbedingungen werden nicht erwähnt.

Konkreter Ankündigungen gibt es im Hinblick auf die Digitalisierung der Wirtschaft: Unternehmensinvestitionen in Digitalisierung sollen durch steuerliche Anreize gefördert werden, ebenso – lange umstritten – die Forschungsausgaben zumindest kleiner und mittlerer Unternehmen. Näheres wird sicherlich in dem noch auszuhandelnden Koalitionsvertrag vereinbart. Wirtschaftspolitisch erwartet worden war die Ankündigung, das Kartellrecht im Hinblick auf die Digitalisierung zu modernisieren. Eine spezielle Aussage zu möglicher Plattformregulierung findet sich nicht.

Naturgemäß greift das Sondierungspapier auch die Querschnittsfragen der Digitalisierung auf, zuvörderst die Infrastruktur. Die Koalition in-spe verabschiedet sich vom 50 Mbit/s-Ziel und strebt nun einen “flächendeckenden Ausbau von Gigabit-Netzen” bis 2025 an. Erlöse aus der Versteigerung von 5G-Frequenzen sollen dafür verwendet werden. Sie werden in einen Fonds eingebracht, der zweckgebunden zum Ausbau der digitalen Infrastruktur gedacht ist. Geschätzt wird ein öffentlicher Finanzierungsbedarf von 10-12 Mrd. Euro für diese Wahlperiode. Offenbar ist nicht daran gedacht, über die Versteigerungserlöse hinaus Mittel des Bundes bereitzustellen; auch die von den Jamaika-Partnern noch ins Auge gefasste weitere Privatisierung der Deutschen Telekom scheint damit vom Tisch.

Für das kurze Papier recht ausführlich sind die Aussagen zur Cybersicherheit, wenngleich nicht sehr konkret:

  • Sicherheitsstandards für “IT-Strukturen und kritische Infrastrukturen” sollen – möglich europaweit – geschaffen werden. Auf was sich das bezieht, wie es sich zu der vorhandenen KRITIS-Regulierung, dem europäischen Vorschlag zur Cybersicherheitszertifizierung und dem geplanten deutschen Gütesiegel verhält – hierzu gibt das Papier keine Hinweise.
  • Sicherheitsbehörden sollen im Internet gleichwertige Befugnisse wie außerhalb des Internets bekommen – eher ein Allgemeinplatz als eine Vereinbarung.
  • Die Zusammenarbeit von Bund und Ländern bei der Cyberabwehr soll ausgebaut und strukturell neu geordnet werden. An dieser Stelle scheint tatsächlich eine konkrete Maßnahme auf. Mit diesem Ziel im Rücken wird eine Neustrukturierung des Cyber-Abwehrzentrums unter Einbindung der Länder und eine Konsolidierung der recht unstrukturierten Landschaft von Bund-Länder-Cyber-Zusammenarbeit unumgänglich. Das wird auch Auswirkungen auf die Diskussion zwischen Polizeien, Nachrichtendiensten und IT-Sicherheitsbehörden über die Aufgabenverteilung bei der Cyber-Abwehr haben.
  • Die zwischen CDU/CSU und SPD eigentlich schon konsentierte Verschärfung der Haftung für IT-Sicherheitsmängel ist in dem Sondierungspapier nur im Kapitel Recht und dort nur sehr am Rande angedeutet. Rechtlicher Änderungsbedarf in Folge der Digitalisierung wird zumindest von den Rechtspolitikern auch bei “haftungsrechtlichen Fragen” gesehen.

Interessant ist, was fehlt: Der in der vorigen Regierung bereits konsentierte Vorschlag des Innenministers, eine Befugnis für aktive Cyberoperationen zu schaffen (“Hack-Back”) wird ebenso wenig aufgegriffen wie das in den Jamaika-Sondierungen geeinigte Thema des Umgangs des Staates mit Schwachstellen.

Aus den verschiedenen weiteren Ankündigungen zu digitalen Themen, etwa die Schaffung eines Bürgerportals, sticht ein Thema heraus: CDU/CSU und SPD wollen ein “öffentlich verantwortetes” Zentrum für Künstliche Intelligenz schaffen, gemeinsam mit Frankreich. Damit soll der Nukleus einer europäischen Initiative gebildet werden.

In der Zusammenschau vermag das Ergebnispapier der Sondierungsrunde digitalpolitisch nicht zu überzeugen. Die meisten Themen werden nur angetippt, gerade bei den großen gesellschaftspolitischen Umbrüchen durch die Digitalisierung – Arbeitsmarkt, Gesundheit, Bildung, Mobilität – sind keine Ideen der neuen “GroKo” zu erkennen. Netzpolitische Kernthemen wie Datenschutz oder die Verantwortung von Plattformen finden überhaupt keine Erwähnung. Das Papier bleibt vom Anspruch an eine moderne Digitalpolitik her weit zurück hinter Koalitionsverträgen der letzten Jahre in Ländern wie Baden-Württemberg oder Nordrhein-Westfalen.

Es ist zu hoffen, dass die nach der Billigung des Papiers durch die drei Parteien anstehenden Koalitionsverhandlungen einen “digitalen Push” für die neue “GroKo” bringen!

ePrivacy-Verordnung: EU-Parlament verabschiedet strenge Regeln für elektronische Kommunikation – Auswirkungen auf die IT-Sicherheit

Das Europäische Parlament hat mit einer knappen Mehrheit von 318 zu 280 Stimmen die Parlamentsfassung der sogenannten ePrivacy-Verordnung verabschiedet. Sie ändert den im Januar 2017 von der Europäischen Kommission vorgelegten Entwurf in zentralen Punkten in Richtung stärkerer Datenschutz- und Sicherheitsvorschriften für elektronische Kommunikation. Nun beginnt im nächsten Schritt der sogenannte Trilog, die Verhandlungen zwischen EU-Parlament, EU-Rat (also Mitgliedsstaaten) und EU-Kommission; mit einer Verabschiedung wird für Sommer 2018 gerechnet. Continue reading

European Commission presents comprehensive proposals on cybersecurity

As part of the State of the Union speech delivered by the President of the European Commission, Jean-Claude Juncker, on 13 September 2017, the European Commission presented extensive and far-reaching proposals to improve cyber security in Europe. The overall package consists of legislative proposals, recommendations, strategy papers and accompanying reports. Continue reading

IT-Sicherheitsgesetz: Anforderung für Gesundheitswesen, Banken, Versicherungen, Verkehr und Logistik in Kraft getreten

Mit dem IT-Sicherheitsgesetz vom 25. Juli 2015 sind in Deutschland umfangreiche Anforderungen an die Betreiber kritischer Infrastrukturen verabschiedet worden, ihre IT-Systeme vor Angriffen zu schützen. Die Betreiber kritischer Infrastrukturen in den Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation (IKT), Gesundheit, Finanz- und Versicherungswesen sowie Transport und Logistik müssen die für kritische Dienstleistungen benötigten Anlagen durch Maßnahmen nach dem “Stand der Technik” absichern sowie Störung dieser Systeme dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Das Gesetz selbst definiert allerdings nicht, welche Dienstleistungen der genannten Sektoren als kritisch anzusehen sind und welche Anlagen hierfür benötigt werden. Das Gesetz ermächtigt das Bundesministerium des Innern (BMI), im Einvernehmen mit weiteren Bundesministerien sowie nach Konsultation der Branchenverbände eine Verordnung zu erlassen, die genauer definiert, welche Dienstleistungen betroffen sind. Insbesondere muss BMI branchenspezifische Schwellwerte definieren, ab denen der Versorgungsgrad einer Dienstleistung als kritisch anzusehen ist. Die Verpflichtung zum Ergreifen der Sicherheitsmaßnahmen und die Meldepflicht treffen den Betreiber kritischer Dienstleistungen erst zwei Jahre nach Inkrafttreten dieser Verordnung, da er erst ab diesem Zeitpunkt absehen kann, welche Maßnahmen in welchem Umfang zu ergreifen sind. Continue reading

Common Challenges in Combating Cybercrime

Combating cybercrime is one of the top priorities of the European digital agenda. For the second time, Europol and Eurojust jointly presented a paper on “Common Challenges in Combating Cybercrime”. As an input to the political debate, it was sent to the Council on March, 13th, 2017. The paper is worth reading to get an overall picture of the challenges, law enforcement agencies in Europe are facing, when trying to deal with current cybercrime cases. Continue reading

Security Implications of Radio Equipment Directive 2014/53/EU

Operating radio equipment in compliant modes is a reasonable thing to do. WiFi and GSM jammers are excellent examples of what might happen if radio equipment is not operated in compliant modes, rendering communication (based on GSM or WiFi in this case) impossible in a certain radius. Things can get even more delicate if GSM baseband firmware is modified so that it violates the GSM protocol in ways that allow for Denial of Service attacks on cell phone towers. Back in 2009, this was one of Apple’s claims on why it would need to take actions against jailbreaking iPhones (1), with a jailbreak being mandatory if users wanted to remove the built-in provider-lock. This unlock, in fact, tinkered with the baseband. Continue reading

Zweites IT-Sicherheitsgesetz: Bundesregierung beschließt NIS-Umsetzungsgesetz

Mit der EU-Richtlinie über Netzwerk- und Informationssicherheit (kurz: NIS-Richtlinie) hatten Parlament und Rat im Sommer 2016 erstmals europäisches IT-Sicherheitsrecht verabschiedet. Die Mitgliedsstaaten haben nun die Pflicht, das europäische Recht bis Mai 2018 in das jeweilige nationale Recht umzusetzen. Deutschland hatte bereits im Sommer 2015 ein erstes IT-Sicherheitsgesetz verabschiedet, das die europäische Rechtssetzung schon ein Stück weit vorweggenommen hatte. Entsprechend gering ist der Umsetzungsbedarf im deutschen Recht. Continue reading