Physische, materielle oder
immaterielle Schäden,
finanzielle Verluste,
erhebliche wirtschaftliche
Nachteile:
(ErwG 90 i.V.m
85 DSGVO)
Schadenshöhe: groß | Durch die unbefugte, unrechtmäßige oder zweckfremde Verarbeitung sowie eine unbefugte Offenlegung oder Änderung der in den Komponenten der dezentralen TI verarbeiteten Gesundheitsdaten der Versicherten können Versicherte große immaterielle Schäden erleiden.
Bei einer unbefugten Offenlegung der Gesundheitsdaten ihrer Patienten können Leistungserbringer materielle, immaterielle, finanzielle bzw. wirtschaftliche Schäden erleiden, da Leistungserbringer dem Berufsgeheimnis mit zugehörigen Straf- und Bußgeldvorschriften, insbesondere dem Straftatbestand des § 203 StGB, unterliegen. Zusätzlich können Geldbußen gemäß Artikel 83 DSGVO verhängt werden. Die Nutzung der Komponenten der dezentralen Infrastruktur der TI und die Anbindung an die TI dürfen nicht dazu führen, dass Leistungserbringer gegen das Berufsgeheimnis oder die Vorgaben der DSGVO verstoßen. | EWS: geringfügig - –
- Minimierung der Ver-
arbeitung personen-
bezogener Daten - –
- Schnellstmögliche
Pseudonymisierung - –
- Datensicherheits-
maßnahmen
|
| Betroffene Gewährleistungsziele (SDM):
Datenminimierung, Nichtverkettung, Vertraulichkeit, Integrität | |
Verlust der Kontrolle über
personenbezogene Daten:
(ErwG 90 i.V.m.
85 DSGVO)
Schadenshöhe: groß | Ein Angreifer (insbesondere auch der Hersteller) könnte die Komponenten der dezentralen TI manipulieren, was zu einer für den Versicherten oder den Leistungserbringer intransparenten Datenverarbeitung führen würde. Es könnte das Risiko bestehen, dass eine Verarbeitung von personenbezogenen Daten in den Komponenten der dezentralen Infrastruktur für die Versicherten im Nachhinein nicht erkannt werden kann und dass er nicht in diese Datenverarbeitung intervenieren (z. B. ihr widersprechen) kann.
Betroffene Gewährleistungsziele (SDM):
Transparenz, Intervenierbarkeit | EWS: geringfügig - –
- Transparenz in Bezug
auf die Funktionen
und die Verarbeitung
personenbezogener Daten - –
- Überwachung der
Verarbeitung
personenbezogener Daten durch die
betroffenen Personen - –
- Datensicherheits-
maßnahmen
|
Diskriminierung, Rufschädigung, erhebliche gesellschaftliche Nachteile:
(ErwG 90 i.V.m.
85 DSGVO)
Schadenshöhe: groß | Die Verarbeitung von Daten besonderer Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 DSGVO birgt Risiken einer Diskriminierung oder Rufschädigung für Versicherte, falls Gesundheitsdaten über den Versicherten offengelegt, unbefugt oder unrechtmäßig verarbeitet werden. Dies kann zu erheblichen gesellschaftlichen Nachteilen für den Versicherten führen.
Falls Gesundheitsdaten, die ein Leistungserbringer verarbeitet, unberechtigt offengelegt werden und der Leistungserbringer somit sein Berufsgeheimnis verletzt, kann dies zu einer Rufschädigung des Leistungserbringers führen.
Betroffene Gewährleistungsziele (SDM):
Datenminimierung, Nichtverkettung, Vertraulichkeit, Integrität | EWS: geringfügig - –
- Minimierung der Ver-
arbeitung personen-
bezogener Daten - –
- Schnellstmögliche
Pseudonymisierung - –
- Datensicherheits-
maßnahmen - –
- Überwachung der
Verarbeitung
personenbezogener Daten durch die
betroffenen Personen
|
Identitätsdiebstahl
oder -betrug:
(ErwG 90 i.V.m.
85 DSGVO)
Schadenshöhe: groß | In den Komponenten der dezentralen Infrastruktur der TI werden kryptographische Identitäten von Versicherten und Leistungserbringern verarbeitet. Ein Missbrauch dieser Identitäten durch eine unbefugte oder unrechtmäßige Nutzung muss verhindert werden, um Schäden für den Versicherten oder Leistungserbringer abzuwehren. Hierdurch könnte z. B. unter der Identität des Versicherten oder Leistungserbringers gehandelt werden, um medizinische Daten zu lesen, zu ändern oder weiterzugeben.
Betroffene Gewährleistungsziele (SDM):
Datenminimierung, Nichtverkettung, Vertraulichkeit, Integrität | EWS: geringfügig - –
- Minimierung der Ver-
arbeitung personen-
bezogener Daten - –
- Datensicherheits-
maßnahmen
|
Verlust der Vertraulichkeit
bei Berufsgeheimnissen:
(ErwG 90 i.V.m.
85 DSGVO)
Schadenshöhe: groß | In den Komponenten der dezentralen Infrastruktur der TI werden Daten verarbeitet, die unter das Berufsgeheimnis fallen. Der Verlust der Vertraulichkeit dieser Daten durch eine unbefugte Offenlegung muss verhindert werden, damit Leistungserbringer ihren Geheimhaltungspflichten nachkommen können. Neben einer Rufschädigung können den Leistungserbringer Straf- und Bußgeldvorschriften (insbesondere § 203 StGB) treffen.
Betroffene Gewährleistungsziele (SDM):
Datenminimierung, Vertraulichkeit, Integrität | EWS: geringfügig - –
- Minimierung der Ver-
arbeitung personen-
bezogener Daten - –
- Schnellstmögliche
Pseudonymisierung - –
- Datensicherheits-
maßnahmen
|
Beeinträchtigung/Verlust
der Verfügbarkeit
Schadenshöhe: geringfügig | Eine Beeinträchtigung bzw. der Verlust der Verfügbarkeit der Komponenten der dezentralen TI durch technische Fehlfunktionen könnte dazu führen, dass - a)
- Dienste in der zentralen TI, der Anwendungsinfrastruktur der TI oder eines an die TI angeschlossenen Netzes oder
- b)
- lokale Funktionen (insbesondere Verschlüsselung, Signatur, Authentifizierung)
| EWS: überschaubar
Ein Ausfall einer
Komponente kann nicht ausgeschlossen werden.
Zusätzliche
Abhilfemaßnahmen zur
Verfügbarkeit der
Komponenten der
dezentralen TI sind
aufgrund des geringen Risikos nicht erforderlich. |
vom Leistungserbringer nicht mehr genutzt werden können.
Durch eine beeinträchtige Verfügbarkeit der Komponenten der dezentralen TI ergeben sich nur geringfügige Schäden für Versicherte oder Leistungserbringer, da die Verarbeitungen nicht zeitkritisch sind bzw. es Ersatzverfahren gibt. Es ist zudem nur eine Leistungserbringerumgebung betroffen.
Betroffene Gewährleistungsziele (SDM):
Verfügbarkeit |
