Angriffsszenarien
Wege, um Angriffe auf die Vertraulichkeit, Verfügbarkeit, Belastbarkeit und Integrität von Gehirn-Computer-Schnittstellen zu verüben, gibt es genügend. So ist es denkbar, dass der Angreifer bereits den Stimulus beeinflusst, der beim Opfer bestimmte neuronale Signalmuster hervorruft. Während der Aufnahme kann er neuronale Signale stören oder die aufgenommenen Daten verfälschen. Ein Eindringling kann ebenfalls die Verarbeitung der Rohdaten beim Messen der Gehirnaktivitäten oder ihre Klassifizierung manipulieren. Kontrolliert ein Angreifer etwa den Output der Klassifizierung, übernimmt er das mit der Gehirn-Computer-Schnittstelle gesteuerte Gerät: Ein Patient könnte z. B. die Gewalt über die Bewegungsrichtung und Geschwindigkeit seines Rollstuhls verlieren, den er via Gehirn-Computer-Schnittstelle bedient. Auch mithilfe einer Schadsoftware lassen sich Geräte, die ein Patient mit einer aktiven Gehirn-Computer-Schnittstellen steuert, übernehmen.
a) Angriffsziele und -folgen
Die konkreten Spielarten hypothetischer Angriffs- und Schadensszenarien hängen entscheidend vom technischen Design der jeweiligen Gehirn-Computer-Schnittstelle ab – z. B. davon, ob sie „nur“ Gehirnaktivitäten messen und aufnehmen, auch stimulieren, oder ob sie ein Gerät, z. B. eine Prothese, bedienen kann.
Aktive Gehirn-Computer-Schnittstellen und die mit ihnen vernetzten Prothesen erweisen sich als besonders vulnerables Angriffsziel. Übernimmt ein Angreifer z. B. die Kontrolle über eine Armprothese, kann er dem Opfer sowie Dritten erhebliche Schäden zufügen. Im Falle einer stimulierenden Gehirn-Computer-Schnittstelle kann ein Angreifer sogar lebensbedrohliche Folgen auslösen, wenn Neurostimulatoren dem Nutzer elektrische Impulse versetzen.
Generell gilt: Je mehr Funktionen eine Gehirn-Computer-Schnittstelle in sich vereint, desto reichhaltiger ist das Portfolio der denkbaren Angriffsszenarien. Während unbefugte Dritte bei aktiven Angriffen in die Funktion der Gehirn-Computer-Schnittstelle eingreifen, tasten passive Angriffe die Vertraulichkeit an, um private Informationen der Nutzer zu erspähen. Dabei können Angreifer zielgerichtet bestimmte Personen anvisieren oder eine bekannte Sicherheitslücke ausnutzen, um betroffene Gehirn-Computer-Schnittstellen „blind“ zu attackieren (sog. targeted und blind bzw. mass oder opportunistic attacks).
Sollten Schnittstellen es dem Nutzer in Zukunft etwa ermöglichen, nicht nur einen externen Computer zu bedienen, sondern darüber hinaus gleichsam telepathisch mit anderen Personen zu kommunizieren oder kognitive Fähigkeiten, wie das Erinnerungsvermögen, zu verbessern, eröffnen sich zahlreiche weitere Ansatzpunkte für Beeinträchtigungen.
aa) Angriffe auf die Vertraulichkeit
Ein zentraler Angriffspunkt einer Gehirn-Computer-Schnittstelle ist der Neurochip, der die Messdaten verarbeitet sowie mit anderen Computern interagiert und kommuniziert. Er bündelt in der Regel sensible Daten, die Informationen über den Gesundheitszustand des Patienten an das Tageslicht spülen oder Rückschlüsse auf die Identität des Nutzers zulassen.
Der Angreifer kann den Nutzer einer aktiven Schnittstelle auch Stimuli aussetzen, um aus den resultierenden Gehirnaktivitäten Schlüsse auf private Informationen zu ziehen. So haben Forscher in einem Experiment mithilfe frei verkäuflicher EEG-Headsets vierstellige Geheimzahlen (PINs) in Erfahrung gebracht. Künftig können Angreifer auf diese Weise womöglich Informationen über die politische oder religiöse Ausrichtung, Erinnerungen oder emotionale Reaktionen extrahieren sowie Lügen detektieren – es entstünde eine „Brain Spyware“. Das macht Daten, die Gehirn-Computer-Schnittstellen zutage fördern, für viele Anwendungen attraktiv – bis hin zu Maßnahmen der Terrorismusbekämpfung oder Strafermittlung.
Die Informationen, die ein Angreifer erlangt, lassen sich auf vielfältige Weise missbrauchen, insbesondere monetarisieren. Gesundheitsbezogene Informationen kann der Angreifer bspw. verwenden, um den Nutzer bzw. Patienten zu erpressen oder um sie im Darknet feilzubieten. Je nach Art der Informationen können sie für einen Identitätsdiebstahl oder Krankenversicherungsbetrug bzw. -missbrauch zum Einsatz kommen. Zudem lassen sich z. B. umfangreiche Aktivitätenprofile der betroffenen Person erstellen.
Nicht zuletzt könnte der Angreifer in „Lauschangriffen“ die Kommunikation zwischen verschiedenen Komponenten der Gehirn-Computer-Schnittstelle „abhören“ und aufzeichnen. Denkbar ist es bspw., Menschen unbefugt zu scannen, um festzustellen, ob sie Implantate in sich tragen und welches Modell sie nutzen. Dadurch lassen sich Rückschlüsse auf den Gesundheitszustand einer Person ziehen oder passgenaue Angriffsszenarien entwickeln. Hat ein Angreifer etwa die Modell- oder Seriennummer des Geräts erspäht und bereits bekannte Sicherheitslücken ausfindig gemacht, kann er weitere (auch aktive) Angriffe auf die Gehirn-Computer-Schnittstelle leichter durchführen.
bb) Angriffe auf die Verfügbarkeit und Belastbarkeit
Angriffe auf die Verfügbarkeit eines Systems beeinträchtigen die Funktionsfähigkeit einer Gehirn-Computer-Schnittstelle. Die Neuroprothese eines beinamputierten Menschen funktioniert dann beim Gehen nicht mehr, der Nutzer stürzt und verletzt sich; eine stimulierende Schnittstelle kann einen Epilepsieanfall nicht mehr verhindern oder abmildern. Ein Angreifer kann bspw. die Gehirn-Computer-Schnittstelle mit massenhaften Anfragen überlasten (sog. Denial-of-Service[DoS]-Angriffe), um sie gezielt unter der Last der Anfragen kollabieren zu lassen. Dann kann sie legitime Anfragen und Prozesse nicht mehr durchführen. DoS-Angriffe können ebenfalls die Belastbarkeit einer Gehirn-Computer-Schnittstelle strapazieren: Das Gerät ist dann nicht hinreichend robust, um Gefahrenlagen zu bewältigen; insbesondere kann es die notwendige Leistungsfähigkeit nicht länger aufrechterhalten oder zügig wiederherstellen.
cc) Angriffe auf die Integrität
Die wohl schwerwiegendsten Attacken auf Gehirn-Computer-Schnittstellen sind solche, die auf ihre Integrität zielen: Ein Angreifer manipuliert in diesem Fall die Informationen bzw. die Kommunikation mit anderen Geräten oder beeinträchtigt die Funktionsfähigkeit des Systems insgesamt. So lassen sich Geräteeinstellungen, Befehle oder Daten verändern sowie von Angreifern manipulierte Updates injizieren, um die Steuerung einer Prothese zu übernehmen (Hijacking bzw. Brainjacking) oder ein fehlerhaftes Feedback an die Schnittstelle zu übermitteln. Besonders brenzlig wird es, wenn Angreifer in neurologische Abläufe eingreifen und dadurch Schmerzen, Emotionen oder einen Verlust der Impulskontrolle herbeiführen, die empfindliche Schäden nach sich ziehen. In ferner Zukunft könnte es gar möglich sein, dass ein Angreifer die Gedanken eines anderen Menschen beeinflusst und ihn so zu bestimmten Handlungen verleitet.
b) Angriffsvektoren und häufige Schwachstellen
Besonders groß sind Angriffsflächen für Cyberattacken, wenn Geräte drahtlos vernetzt sind. Viele medizinische Implantate sind zwingend auf eine drahtlose Verbindung angewiesen, weil sie im Körper eingepflanzt und nicht effektiv auf anderen Wegen ansteuerbar sind.
Um die Informationen, die ein Implantat erhebt, speichern und analysieren zu können (z. B. um das Implantat auf seine Funktionsfähigkeit hin zu überprüfen oder den Therapieerfolg zu überwachen), interagiert die Schnittstelle mit einem PC oder Smartphone. Veraltete Software, insbesondere nicht mehr aktuelle Betriebssysteme, können dann als Einfallstor dienen, um Geräte zu attackieren. Zahlreiche Medizinprodukte senden Daten an einen Home-Monitor, der diese sammelt und drahtlos in ein Repositorium hochlädt, sodass der behandelnde Arzt diese auf einer Webseite einsehen kann. Bei Deep Brain Stimulation kommt das Gerät, das die Abgabe des elektrischen Pulses zur Stimulierung regelt, im Brustbereich zum Einsatz und kommuniziert mit den Mikroelektroden im Gehirn, die neuronale Aktivitäten messen. Übertragen Medizinprodukte Daten unverschlüsselt, wie etwa einige implantierte Kardioverter-Defibrillatoren, können Unbefugte sie mit einer Funkausrüstung mitlesen.
Wenn Gehirn-Computer-Schnittstellen perspektivisch Daten drahtlos mit einem Smartphone über eine App austauschen, potenziert sich das Risiko. Denn nicht nur von der Schnittstelle selbst gehen dann Gefahren aus, sondern auch von dem mit ihr verbundenen Gerät, z. B. einem Smartphone.
Rechtsrahmen für Gehirn-Computer-Schnittstellen
Die berechtigte Sorge vor Cyberangriffen auf Medizinprodukte ruft allerorten Regierungen und Behörden auf den Plan, effektive und handhabbare Regelungen und Anforderungen für die Cybersicherheit von Medizinprodukten zu entwickeln.
Auf den ersten Blick drängt sich das Strafrecht als Abschreckungswaffe par excellence auf, um Cyberangriffen entgegenzuwirken. In praxi entpuppt es sich jedoch als vergleichsweise stumpfes Schwert. Da Angriffe für die Cybersicherheit örtlich entkoppelt erfolgen können, entziehen sich (international operierende oder sich gekonnt verschleiernde) Akteure bislang typischerweise erfolgreich dem Zugriff der Strafverfolgungsbehörden: Sie agieren meist von Orten aus, in denen sie keine Strafverfolgung fürchten müssen, oder unter der Obhut eines Staates. Bei Gefahren für hochrangige Rechtsgüter wie Leben, Körper, Gesundheit und mentale Integrität, genügt die repressive Konzeption des Strafrechts ohnedies nicht als Schutzinstrument. Es sind zwingend auch präventive Ansätze und Strategien geboten: Wirksame Schutzmaßnahmen müssen Angreifern den Zugriff von vornherein unmöglich machen oder zumindest wesentlich erschweren.
Verfassungsrechtliche Schutzgüter
Ein Regelungskonzept gegen Cyberangriffe muss sich bruchfrei in den verfassungsrechtlichen Rahmen einbetten, den das Grundgesetz zieht. Dieses schützt den Einzelnen gegen den Zugriff Dritter auf seine Gehirn-Computer-Schnittstellen in unterschiedlichen grundrechtlichen Tatbeständen.
Betroffene Grundrechte
a) Schutz der Privatsphäre: personenbezogene Daten und IT-Systeme (Art. 7 und Art. 8 GRCh, Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG); Telekommunikationsgeheimnis (Art. 10 Abs. 1 GG)
Erbeuten Cyberangriffe Informationen zum (neurologischen oder psychischen) Gesundheitszustand oder zu emotionalen Reaktionen, legt das intimste Bereiche der Privatheit des Nutzers offen und tangiert dadurch die informationelle Selbstbestimmung. Diese verbürgt jedem Grundrechtsträger das Recht, grundsätzlich selbst zu bestimmen, ob und innerhalb welcher Grenzen er persönliche Lebenssachverhalte offenbart (Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG bzw. Art. 7 und 8 GRCh und Art. 8 EMRK). Die grundrechtliche Wertung wirkt auch in privatrechtliche Beziehungen hinein. Ihr Schutzgehalt versagt es Dritten, die Persönlichkeit der betroffenen Person zu registrieren, zu katalogisieren und ein umfassendes Persönlichkeitsprofil zu erstellen.
Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (sog. IT-Grundrecht) gewährt einer anderen Komponente des Persönlichkeitsrechts besonderen grundrechtlichen Schutz: Es richtet seinen Schutzradius nicht nur auf einzelne Daten aus, sondern bewahrt das gesamte System davor, dass Unbefugte eindringen und es modifizieren; es schützt sowohl die Unversehrtheit der Daten als auch die Funktionsweise des Systems. Soweit ein IT-System Kommunikationsinhalte an Dritte überträgt, tritt ergänzend das Telekommunikationsgeheimnis als Schutzrecht hinzu: Es verbürgt die Vertraulichkeit der Inhalte und Umstände individueller Kommunikationsvorgänge, solange sie aufgrund des Übertragungsvorgangs erhöhten Zugriffsgefahren ausgesetzt sind.
b) Angriffe auf die körperliche und „mentale“ Integrität
Fügt ein Cyberangriff den Nutzern einer Schnittstelle Schmerzen zu oder verursacht er Schäden im Gehirn, greift dies in die körperliche Integrität und ggf. das Recht auf Leben (Art. 2 Abs. 2 S. 1 GG) ein – ebenso, wenn ein Angreifer auf ein Neuroimplantat einwirkt, auf das ein Patient angewiesen ist.
Manipulationen, welche die „mentale Integrität“ betreffen, lassen sich schwerer in das grundrechtliche Raster einordnen. Sie beeinflussen Gehirnaktivitäten und rufen emotionale Zustände oder sonstige Reaktionen hervor. Auch das Verhalten, die Persönlichkeit oder Identität können sie verändern. Betrachtet man solche Steuerungen der Gehirnaktivitäten rein neurowissenschaftlich, handelt es sich um einen Eingriff in körperliche Vorgänge (Art. 2 Abs. 2 S. 1 GG). Berührt eine Gehirnmanipulation die Grundlage menschlicher Selbstwahrnehmung sowie die Konstituierung des Ichs, erschöpft sie sich nicht in einem körperlichen Eingriff. Sie kann einerseits die Menschenwürde und andererseits das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG) berühren.
c) Autonomie und Handlungsfreiheit
Wer die Kontrolle über seine Gehirn-Computer-Schnittstelle und ggf. über eine hierdurch gesteuerte Prothese verliert, büßt mehr ein als nur seine Daten und körperliche Integrität. Im Extremfall geht er seiner Fähigkeit verlustig, Entscheidungen im Einklang mit seinen Wünschen und Absichten zu treffen und diese selbstbestimmt in die Tat umzusetzen.
Die Kategorie „Autonomie“ ist der deutschen Grundrechtsdogmatik zwar nicht als solche vertraut. Die allgemeine Handlungsfreiheit (Art. 2 Abs. 1 GG) und das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG), das den Geltungsanspruch des Individuums in der sozialen Welt schützt, decken allerdings zentrale Aspekte der menschlichen Autonomie ab. Dies gilt insbesondere für solche Konstellationen, in denen die Gehirn-Computer-Schnittstelle medizinisch notwendig bzw. rehabilitativ ist, der Patient also nur mit ihrer Hilfe überhaupt in der Lage ist, sein Leben selbstbestimmt zu führen. Bei Schnittstellen, die motorische Fähigkeiten wiederherstellen, läuft der Patient bspw. Gefahr, seine Bewegungsfreiheit einzubüßen.
d) Eigentum
Schaltet ein Angreifer eine Gehirn-Computer-Schnittstelle aus oder zerstört ihre Funktionsfähigkeit, beeinträchtigt das ihren Nutzer in seinem Eigentumsrecht (Art. 14 Abs. 1 GG). Das Gleiche gilt, wenn Cyberangriffe die Gehirn-Computer-Schnittstelle mit Anfragen überlasten, bis sie ihre Funktionen nicht mehr erfüllen kann. Auch in diesen Fällen entzieht der Angreifer dem Eigentümer die Nutzungsmöglichkeit.
Reichweite der Schutzpflicht
Das vielschichtige Gewährleistungspotpourri der Grundrechte vermittelt dem Einzelnen nicht nur ein Abwehrrecht gegen staatliche Zugriffe, sondern konstituiert auch eine staatliche Schutzpflicht gegen das Wirken Privater: Kraft der objektivrechtlichen Dimension der Grundrechte ist der Staat verpflichtet, sich „schützend und fördernd“ vor sie zu stellen. Das gilt für die Integrität und Vertraulichkeit von IT-Systemen in besonderer Weise: Der Staat kann diese nur dann angemessen gewährleisten, wenn er dem Schutzgehalt auch gegenüber Privaten zur Wirksamkeit verhilft.
Seinem Ausgestaltungsauftrag ist der Gesetzgeber im Ansatz bspw. durch die Strafvorschriften für unbefugtes Ausspähen (§ 202a StGB) und Abfangen von Daten (§ 202b StGB) sowie durch die Tatbestände der Datenveränderung (§ 303a StGB) und Computersabotage (§ 303b StGB) nachgekommen. Mit Blick auf die elementaren Risiken, die von Angriffen auf Gehirn-Computer-Schnittstellen ausgehen, ist die Rechtsordnung jedoch auch aufgerufen, hohe Anforderungen an die Cybersicherheit zu stellen, um dystopische „Brainhacks“ möglichst zu verhindern, oder wenigstens zu erschweren bzw. schnellstmöglich zu unterbinden. Das Datenschutz- und IT-Sicherheitsrecht bis hin zu den Vorgaben im Medizinprodukterecht sind Ausdruck dieses Schutzauftrags.
Die staatliche Schutzpflicht ist aber nicht grenzenlos. Sie stößt an ihre Schranken, wenn sich Nutzer einer Gehirn-Computer-Schnittstelle eigenverantwortlich selbst gefährden, um die eigene Leistungsfähigkeit zu optimieren (sog. Neuroenhancement). Die Freiheitsrechte (und damit die Schutzpflicht des Staates) sind nicht als ein aufgedrängtes Schutzgut konzipiert, das den Einzelnen vor sich selbst schützt: Der Staat darf sie dem Einzelnen nicht ohne Weiteres aufnötigen, soweit die Selbstgefährdung nicht zugleich die Allgemeinheit intensiv beeinträchtigt, z. B. weil sie dem Gemeinwesen hohe Gesundheitskosten aufbürdet. Dem Einzelnen bleibt es deshalb im Grundsatz unbenommen, sich selbst durch Neuroenhancement zu gefährden oder zu schädigen sowie in Einwirkungen einzuwilligen. Das Recht, Neuroenhancement zu betreiben, ist Teil des Schutzgehalts der allgemeinen Handlungsfreiheit.
Umgekehrt darf das Gemeinwesen seine Hilfe dem Einzelnen nicht ohne Weiteres deshalb vorenthalten, weil er sich zum Zwecke der Selbstoptimierung selbst gefährdet hat. Wer sich selbst in Gefahr gebracht hat, den darf der Staat nicht gleichsam fallen lassen und ihn seinem Schicksal überlassen. So greift die staatliche Schutzpflicht auch für denjenigen, der Drogen konsumiert oder sich einer nicht medizinisch indizierten Schönheitsoperation unterzogen hat. Die Schutzpflicht endet erst, wenn der sich selbst Gefährdende wider besseres Wissen handelt und auf die Hilfe anderer spekuliert.
Als Ausdruck seiner Schutzpflicht ist der Staat im Ergebnis gehalten, bei nichtmedizinischen Neurotechnologieprodukten, welche die Gesundheit beeinträchtigen können, durch Regulierung für ein hinreichendes Maß an IT-Sicherheit zu sorgen. Wenn der Einzelne die Risiken seiner Selbstgefährdung durch sog. „Do-it-yourself“-Produkte, die Privatpersonen zusammenbasteln und anwenden, zu spät erkennt und sich von den Folgen befreien möchte, hat der Staat ihm ein Hilfsangebot zu machen.
Einfachrechtliche Anforderungen
Ein spezifisches einfachgesetzliches Rechtsregime für Gehirn-Computer-Schnittstellen hat der Gesetzgeber bislang nicht entfaltet. Das Datenschutzrecht (1.), das Medizinprodukterecht (2.) als auch allgemeine Vorschriften des IT-Sicherheitsrechts (3.) stecken jedoch einen groben normativen Rahmen ab.
Das Datenschutzrecht als allgemeiner IT-sicherheitsrechtlicher Überbau
a) Verarbeitung personenbezogener Daten
Gehirnsignale, die Gehirn-Computer-Schnittstellen aufnehmen, machen eine Person identifizierbar. Als personenbezogene Daten (Art. 4 Nr. 1 DSGVO) unterliegen sie dem Regelungsanspruch der DSGVO. Sie gehören zudem einer besonderen Sensibilitätskategorie des Datenschutzrechts an. Denn sie geben typischerweise Auskunft über die körperliche und geistige Gesundheit einer natürlichen Person und sind damit Gesundheitsdaten (Art. 4 Nr. 15 DSGVO), die den besonders hohen Rechtfertigungshürden des Art. 9 Abs. 1 DSGVO unterliegen. So werten manche Apps oder Spiele, die mit Gehirn-Computer-Schnittstellen interagieren, bspw. Informationen zum Stresspegel aus und schließen hieraus auf die (psychische) Gesundheit des Nutzers. Selbst bei Geräten, die nicht im medizinischen Bereich zum Einsatz kommen, können neurologische Daten ggf. Informationen über den gegenwärtigen oder künftigen körperlichen oder psychischen Gesundheitszustand des Nutzers preisgeben. Darüber hinaus lassen sich Gehirnaktivitätsmuster als physiologische Merkmale einsetzen, um Personen automatisiert zu identifizieren und zu authentifizieren. Auch die Verarbeitung solcher biometrischer Daten (Art. 4 Nr. 14 DSGVO) muss sich an Art. 9 Abs. 1 DSGVO messen lassen.
b) Datensicherheit
Der Regelungsanspruch der DSGVO erschöpft sich keineswegs in datenschutzrechtlichen Geboten. Sie formuliert vielmehr auch Anforderungen an die Datensicherheit: Der Verantwortliche muss (ebenso wie der etwaige Auftragsverarbeiter) geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Sicherheitsschutzniveau zu gewährleisten (Art. 32 Abs. 1 DSGVO). Er hat insbesondere die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der datenverarbeitenden Systeme sicherzustellen (Art. 32 Abs. 1 Hs. 2 lit. b). Nach einem Zwischenfall muss der Verantwortliche ferner in der Lage sein, die Verfügbarkeit der Daten rasch wiederherzustellen (lit. c). Er muss (ähnlich der Datenschutzfolgenabschätzung nach Art. 35 DSGVO) ein Konzept zum Datensicherheitsmanagement erarbeiten. Dieses Schutzkonzept hat er im Anschluss regelmäßig zu überprüfen (lit. d). Das einzuhaltende Schutzniveau muss sich an dem Risiko ausrichten, das sich mit der Verarbeitung verbindet.
Da Gehirn-Computer-Schnittstellen in der Regel hochsensible biometrische und Gesundheitsdaten verarbeiten, geht von ihnen selbst dann ein hohes Risiko aus, wenn die Wahrscheinlichkeit eines Angriffs gering ist. Sie müssen daher höchsten Ansprüchen genügen, um Zugriffe möglichst zu vermeiden. Die zu ergreifenden Maßnahmen müssen dem Stand der Technik entsprechen, d. h. auf gesicherten Erkenntnissen der Wissenschaft und Technik beruhen, die sich in der Praxis bewährt haben. Seine Anforderungen entwickeln sich im Gleichschritt mit technologischen Innovationen dynamisch fort. Einen ersten Konkretisierungsversuch wagen etwa die ISO 27000-Normenreihe sowie das IT-Grundschutz-Kompendium des BSI.
aa) Verschlüsselung
Eine Basismaßnahme, um sicherzustellen, dass eine Gehirn-Computer-Schnittstelle mit anderen Geräten vertraulich kommuniziert, ist deren Verschlüsselung: Daten sind während der Übertragung („in motion“) und im ruhenden Zustand („at rest“) mit einer geeigneten Verschlüsselungsmethode zu schützen (Art. 32 Abs. 1 lit. a DSGVO).
bb) Authentifikationserfordernis und Zugriffsverwaltung
Um einen unbefugten Fremdzugriff zu verhindern, sollte das System den Zugriff auf eine Gehirn-Computer-Schnittstelle nur nach vorheriger Authentifikation ermöglichen. Eine Benutzerzugriffsverwaltung sollte den Berechtigten (restriktiv) Privilegien und Befugnisse einräumen.
Während bei EEG-Headsets häufig eine individuelle Nutzername-Passwort-Kombination ausreicht, ist bei Neuroimplantaten und Neurostimulatoren eine Zwei-Faktor-Authentifizierung geboten. Wer seinen Rollstuhl per Gehirn-Computer-Schnittstelle lenkt, sollte sich nicht einfach via Bluetooth „koppeln“ können, sondern diesen z. B. durch seine Gehirnwellen in Verbindung mit einer Smartphone-App ansteuern können.
cc) Angriffserkennung
Um die Gefahren zu minimieren, die von dem Gerät ausgehen, das mit der Schnittstelle verbunden ist, sollten Anbieter die Gehirn-Computer-Schnittstelle mit einer Detektions-Software ausstatten. Auf diese Weise lassen sich untypische Aktivitäten oder Schadsoftware erkennen. Hilfreich ist es zudem, alle Aktivitäten und Zugriffe auf die Gehirn-Computer-Schnittstelle in einer Logdatei festzuhalten und diese regelmäßig auf Unregelmäßigkeiten zu überprüfen. Insbesondere sicherheitsrelevante Ereignisse sind zu protokollieren. DoS-Angriffe kann die Gehirn-Computer-Schnittstelle bspw. bewältigen, indem sie als Gegenmaßnahme Anfragen filtert bzw. zurückstellt und ihre Kernfunktionen (das Aufnehmen und Auswerten von Gehirnsignalen) priorisiert.
dd) Security by Design
Die Gehirn-Computer-Schnittstelle sollte sich bei ihren Datenzugriffen entsprechend dem Gebot der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) auf die notwendigen Informationen und Verarbeitungsschritte beschränken. Das verkleinert die Angriffsfläche. Bspw. kann die Gehirn-Computer-Schnittstelle neuronale Signale, die für die spezifische Aufgabe erforderlich sind, selbst vorverarbeiten, bevor sie bspw. auf IT-Systeme Dritter übertragen werden (sog. Edge Computing). Rohdaten oder Daten, die nicht explizit für die jeweilige Aufgabe erforderlich sind, muss sie dann nicht übermitteln oder speichern (und sie dadurch Sicherheitsrisiken exponieren). Kraft ihres technischen Zuschnitts („by Design“) sollte die Gehirn-Computer-Schnittstelle so weit wie möglich vermeiden, personenbezogene Daten zu übermitteln: IP-Adressen oder die Modell- bzw. Device-ID sollte das Gerät standardmäßig entfernen, bevor es Daten an eine Plattform übermittelt.
ee) Defense in Depth und Vorfallsmanagement
IT-Sicherheit ist kein Produkt, sondern ein Prozess: Softwaresysteme sind dynamisch und verändern sich stetig. Hacker finden zudem immer neue Schlupfwege in vermeintlich sichere Systeme. Durch technischen Datenschutz allein wird es daher nicht gelingen, Angriffe auf vernetzte Geräte zuverlässig abzuwehren. Kein IT-System genießt überdies absoluten Schutz. Eine gute Sicherheitsarchitektur besteht daher aus vielen, stetig weiterzuentwickelnden Komponenten und Schichten, die einen hinreichenden Schutz sicherstellen (Defense in Depth).
Einem Angreifer genügt bereits eine Schwachstelle. Eine effektive Verteidigungsstrategie muss daher rundum schützen. Die Schutzmaßnahmen sollten auch aus diesem Grund nicht nur unmittelbar an der Schnittstelle selbst, sondern ggf. auch an den mit ihr verbundenen Geräten ansetzen.
Eine entscheidende Rolle bei dem Schutzmaßnahmenpaket kommt dem Vorfallsmanagement zu. Insbesondere Sicherheitsupdates tragen dazu bei, Sicherheitslücken so schnell wie möglich zu erkennen und zu beheben. Ein besonderes Augenmerk sollte dem verwendeten Open-Source-Code und Programmbibliotheken gelten, die Schwachstellen enthalten könnten bzw. unter Umständen einer Aktualisierung bedürfen. Regelmäßige Penetrationstests und Red-Team-Einsätze helfen, die Sicherheitsmaßnahmen zu überprüfen und zu bewerten (vgl. Art. 32 Abs. 1 Hs. 2 lit. d DSGVO).
Ist das Kind der IT-Sicherheit erst einmal gleichsam in den Brunnen gefallen, ist es also zu einem Sicherheitsvorfall gekommen, der Unbefugten Zugriff auf die personenbezogenen Daten eröffnet hat, muss der Verantwortliche dies der Aufsichtsbehörde (Art. 33 Abs. 1 DSGVO, § 65 BDSG) sowie der betroffenen Person (Art. 34 Abs. 1 DSGVO, § 66 BDSG) melden. Er sollte zudem ein Vorfalls- und Notfall-Management einrichten, das darauf gerichtet ist, die Schwachstelle zu untersuchen und zu beheben, um im Ernstfall rasch auf Vorkommnisse reagieren zu können (Art. 32 Abs. 1 Hs. 2 lit. c DSGVO).
c) Adressat der Pflichten
Am zuverlässigsten kann der Hersteller des Produkts ein hohes Sicherheitsniveau der Gehirn-Computer-Schnittstelle verbürgen. Die sicherheitsrechtlichen Pflichten der Art. 32 ff. DSGVO treffen allerdings nicht den Hersteller eines Produkts, sondern alleine den datenschutzrechtlich Verantwortlichen, also denjenigen, der tatsächlich oder rechtlich über die Zwecke und Mittel der Datenverarbeitung entscheidet (Art. 4 Nr. 7 DSGVO).
Verantwortlicher im datenschutzrechtlichen Sinn ist der Hersteller nur dann, wenn er für die Schnittstelle eine App oder eine Cloud vorhält, die Daten auf die Server des Anbieters hochlädt und dort z. B. analysiert, sodass er die relevanten personenbezogenen Daten verarbeitet. Seine Pflichten aus Art. 32 ff. DSGVO erstrecken sich in diesem Fall aber nur auf den Verarbeitungsvorgang selbst, nicht auf die Herstellungseigenschaften des Produkts, insbesondere die technischen Eigenschaften der Schnittstelle. Diese sind nicht Gegenstand des datenschutzrechtlichen Pflichtenradars. Das Regulierungsportfolio der DSGVO hat an dieser wichtigen Stelle eine Lücke: Denjenigen, der die Weichenstellungen für die Gehirn-Computer-Schnittstelle trifft, adressiert sie grundsätzlich nicht. Effektiv anonymisieren, pseudonymisieren sowie verschlüsseln kann aber nur derjenige, dem dafür überhaupt die technischen Möglichkeiten zur Verfügung stehen. Ein App-Anbieter muss seine Software als Verantwortlicher mithin so gestalten, dass sie Datensicherheit gewährleistet, selbst wenn er keinen unmittelbaren Einfluss auf die eingesetzte Hardware hat. Im Bereich der „Do-it-yourself“–Produkte und Analysetools entscheidet dagegen der Nutzer als Verantwortlicher typischerweise selbst, welche Daten seine Gehirn-Computer-Schnittstelle erhebt und verarbeitet.
Medizinprodukterecht
Kommen Gehirn-Computer-Schnittstellen im Gesundheitswesen zum Einsatz, zieht die Medizinprodukte-Verordnung (MPVO) ergänzende normative Leitplanken ein, die Sicherheitsanforderungen etablieren. Seit dem 26. Mai 2021 ist sie in der gesamten EU unmittelbar anwendbar.
a) Gehirn-Computer-Schnittstellen als Medizinprodukte
Die MPVO erstreckt sich grundsätzlich auf Produkte, die für Menschen bestimmt sind und einen spezifischen medizinischen Zweck erfüllen: Sie sollen Krankheiten oder Behinderungen diagnostizieren, überwachen, behandeln oder lindern (Art. 2 Nr. 1 MPVO).
Sofern eine Gehirn-Computer-Schnittstelle eine medizinische Zweckbestimmung aufweist, fällt sie daher typischerweise in den Anwendungsbereich der Verordnung. Diese Voraussetzungen erfüllen etwa dauerhaft implantierte Deep-Brain-Stimulatoren oder andere Neuroimplantate, die Parkinson-Tremores oder Epilepsie behandeln sollen. Auch EEG-Headsets mit medizinischer Zweckbestimmung sind Medizinprodukte. Die dazugehörige Software ist Teil des Produkts, da sie dieses steuert und dessen Anwendungen beeinflusst. Ein eigenständiges Medizinprodukt ist Software demgegenüber nur dann, wenn sie Informationen zu Entscheidungen für diagnostische oder therapeutische Zwecke liefert oder physiologische Prozesse kontrolliert. Dies gilt bspw. für Apps, welche die Funktionen und Anwendungsmöglichkeiten der Gehirn-Computer-Schnittstelle erweitern. Apps oder Anwendungen, die Daten lediglich speichern, archivieren, kommunizieren oder anzeigen, erfasst die MPVO hingegen nicht.
aa) Medizinische Zweckbestimmung
Ob ein Produkt eine medizinische Zweckbestimmung aufweist, bestimmt sich (anders als man auf den ersten Blick vermuten könnte) nicht danach, welchen Zweck die Verbraucher einer Gehirn-Computer-Schnittstelle im Rahmen ihres Konsumverhaltens unterlegen. Entscheidend ist allein die Zweckbestimmung des Herstellers („dem Hersteller zufolge“).
Es verwundert deshalb nicht, dass viele Hersteller ihre EEG-Headsets unter ausdrücklichem Ausschluss einer medizinischen Zweckbestimmung verkaufen. Solche Freizeit- bzw. Verbraucherprodukte, die u. a. dazu dienen, Konzentration oder Stress zu überwachen, sind keine Medizinprodukte i. S. der MPVO. Diese „Wellness“-Sparte von EEG-Headsets, mit denen Nutzer ihre Gehirnaktivitäten (i. S. des „Quantified Self“) ohne medizinische Indikation selbst überwachen, dient der allgemeinen Gesundheitsförderung, die sich auf Lifestyle-Optimierung und kleinere Befindlichkeitsstörungen bezieht.
bb) Produkte ohne medizinische Zweckbestimmung
Auf Gehirn-Computer-Schnittstellen ohne medizinische Zweckbestimmung erstreckt sich die MPVO ausnahmsweise dann, wenn diese das Gehirn (nichtinvasiv) transkraniell (also durch die Schädeldecke hindurch) stimulieren (Art. 1 Abs. 2 MPVO i. V. m. Anhang XVI Nr. 6 MPVO). Damit will der Unionsgesetzgeber den Risiken begegnen, die von einer solchen besonderen Art der Stimulation ausgehen, und Produkte, die manchmal zu medizinischen Zwecken und manchmal für Enhancement zur Anwendung kommen, im Ergebnis den gleichen Anforderungen unterwerfen. Bei ihnen legt es die MPVO also bewusst nicht in die Hand der Hersteller, durch eigene Zweckbestimmung darüber zu befinden, ob die strengen Vorschriften des Rechts der Medizinprodukte zur Anwendung kommen.
Mit Blick auf Produkte, die sich derzeit noch im Forschungsstadium befinden, zeigen sich indes die ersten normativen Lücken der MPVO. So möchte Neuralink ein multifunktionales Neuroimplantat anbieten, das nicht nur neuronale Aktivitäten aufnehmen, sondern auch Neuronen-Cluster stimulieren kann. Solche (futuristischen) Neuroimplantate kämen weder zwingend zu medizinischen Zwecken zum Einsatz noch nähmen sie eine transkranielle (sondern eine intrakranielle, innerhalb des Gehirns erfolgende) Stimulierung des Gehirns vor. Der Normgeber hatte scheinbar nur die (nichtmedizinischen) Stimulierungen durch die Schädeldecke im Blick, nicht aber die invasivere Stimulierung innerhalb des Schädels. Da die Liste in Anhang XVI Ausnahmecharakter hat, lässt sie sich auch nicht durch teleologische Extension um die risikoreichere intrakranielle Stimulierung erweitern.
Anhang XVI Nr. 2 MPVO erstreckt das Regelungsregime der MPVO zwar auch auf solche Produkte, „die dazu bestimmt sind, durch chirurgisch-invasive Verfahren zum Zwecke der Modifizierung der Anatomie […] in den menschlichen Körper eingeführt zu werden“. Implantierte Mikroelektroden, wie sie z. B. Neuralink anvisiert, verändern die Gehirnanatomie oder -struktur jedoch nicht – abgesehen von neuroplastischen Veränderungen bei der Implantation und „Bedienung“ der Schnittstelle, die es erfordert, dass der Nutzer wiederholt bestimmte neuronale Signalmuster erzeugt. Sie sollen Gehirnfunktionen oder -aktivitäten vielmehr messen, um z. B. Computer oder Smartphones „mit Gedanken“ zu steuern.
Spätestens wenn der Markt nichtmedizinischer Neuroimplantate in den nächsten Jahrzehnten breite Teile der Bevölkerung erreicht, sind der nationale und der europäische Normgeber dringend dazu aufgerufen, die regulatorische Lücke zu schließen und die normative Architektur auf kommende technologische Innovationen auszurichten.
b) Allgemeine Anforderungen der MPVO an die IT-Sicherheit von Medizinprodukten und unverbindliche Leitlinien
Anders als etwa Arzneimittel unterliegen Medizinprodukte keiner allgemeinen Zulassungspflicht als Sicherheitsmaßnahme. Die Hersteller sind vielmehr in eigener Verantwortung gehalten, die einschlägigen Sicherheits- und Leistungsanforderungen zu erfüllen. Dazu gehören auch Anforderungen an die IT-Sicherheit der Systeme (Art. 5 Abs. 1, Abs. 2 i. V. m. Anhang I Nr. 1 und Nr. 17 MPVO). Die Verordnung trägt ihnen aber auf, ein Konformitätsverfahren (Art. 52 MPVO) durchzuführen, um sicherzustellen, dass die Medizinprodukte den Sicherheits-, Leistungs- und sonstigen rechtlichen Anforderungen entsprechen. In dessen Rahmen hat ggf. auch eine klinische Bewertung (Art. 61 MPVO) zu erfolgen. Bei dem Konformitätsverfahren wirken sog. Benannte Stellen mit, die von staatlichen Stellen akkreditiert und vom Hersteller beauftragt sein müssen. Sie führen Audits durch und bewerten das implementierte Qualitätsmanagementsystem, insbesondere dessen Umsetzung und die technische Dokumentation. Bei Implantaten ist zudem die Koordinierungsgruppe Medizinprodukte zu beteiligen („Scrutiny Verfahren“, Art. 54 MPVO).
Für die Besonderheiten vernetzter Geräte ist das Medizinprodukterecht indes noch nicht vollständig gewappnet: Die Sicherheits- und Leistungsanforderungen für Medizinprodukte beziehen sich vor allem auf die Produktsicherheit (Safety) – nicht (unmittelbar) auf die Sicherheit des Geräts als IT-System (Security). Dieser Missstand ist ein Relikt aus jener Zeit, als Medizinprodukte über kaum bis keine Softwarekomponenten verfügten und nicht vernetzt waren.
Anforderungen an die Cybersicherheit für Medizinprodukte mit digitaler Komponente gibt die MPVO lediglich durch allgemeine Bestimmungen vor: Neben der Wiederholbarkeit, Zuverlässigkeit und Leistung (Anhang I Nr. 17.1. MPVO) nach Maßgabe der bestimmungsgemäßen Verwendung des Produkts muss der Produzent es „entsprechend dem Stand der Technik entwickelt und hergestellt“ haben. Dabei sind „die Grundsätze des Software-Lebenszyklus, des Risikomanagements einschließlich der Informationssicherheit, der Verifizierung und der Validierung zu berücksichtigen“ (Anhang I Nr. 17.2. MPVO). Der Stand der Technik schließt hinreichend sichere Schutzmaßnahmen gegen Sicherheitsangriffe auf sensible Bausteine ein.
Konkretere Leitlinien zu der Frage, wie ein Hersteller die Anforderungen des Anhangs I der MPVO an Cybersicherheit erfüllen kann, gibt die Guidance on Cybersecurity for Medical Devices der Koordinierungsgruppe Medizinprodukte vor. Sie empfiehlt u. a. Mindestanforderungen zur Gewährleistung der IT-Sicherheit – mit einem klaren Augenmerk auf Cybersicherheitsrisiken, die sich auf die Patientensicherheit auswirken können. Rechtsverbindlich sind diese Leitlinien indes nicht. Sie fungieren vielmehr als Auslegungshilfe für die allgemein gehaltenen Sicherheitsanforderungen der MPVO.
Die Leitlinie gibt den Herstellern von Medizinprodukten insbesondere vor, eine Defense-in-Depth-Strategie zu entwerfen, die den gesamten Produktlebenszyklus abdeckt: Sie soll u. a. Maßnahmen zum sicheren Design und Einsatz, zur Überprüfung und Validierung, zum Sicherheitsmanagement sowie Spezifikationen der Sicherheitsanforderungen enthalten.
Der Anhang der Guidance hält eine Liste mit Maßnahmen und Sicherheitsfunktionen vor, die IT-Sicherheit gewährleisten sollen, z. B. Verschlüsselung, persönliche Authentifizierung, automatisches Abmelden, Hardening („Härten“, also Eliminieren nicht benötigter Funktionen, um die Angriffsfläche zu verkleinern) und Programme, die vor Schadsoftware schützen oder diese erkennen.
Darüber hinaus weist die Guidance aus gutem Grund an, Zugriffsrechte restriktiv zu vergeben und sichere Authentifizierungsmöglichkeiten vorzuhalten. So offensichtlich dies klingt, ist es in der bisherigen Praxis doch keine Selbstverständlichkeit. Manche auf dem Markt vertriebenen Medizinprodukte verfügen über keine oder eine unsichere Methode der Authentifizierung, z. B. Standardpasswörter oder im Klartext auf dem Gerät gespeicherte Passwörter. Es kann außerdem sinnvoll sein, den Zugriff auf ein vernetztes Medizinprodukt auf eine spezifische Raumdistanz zu beschränken, um Fernzugriffe auszuschließen. Alternativ zu einer Internetverbindung ist es etwa möglich, die Gehirn-Computer-Schnittstelle z. B. via Bluetooth mit einem anderen System zu koppeln, um die Sicherheit zu erhöhen.
Zudem gibt die Guidance den Herstellern auf, im Rahmen eines Verfahrens zum Sicherheitsrisikomanagement das Risiko (insbesondere vorhersehbare Schwachstellen) zu evaluieren und mögliche Maßnahmen zu dessen Kontrolle und ggf. verbleibenden Restrisiken in Betracht zu ziehen. Denn dann fällt es den Herstellern im „Ernstfall“ leichter, einem geregelten Verfahren zu folgen, bei dem Zuständigkeiten und Abläufe vorab geklärt sind. Um langfristige Sicherheit zu gewährleisten, haben Hersteller ihre Medizinprodukte zudem fortlaufend zu testen.
c) Pflichten nach Inverkehrbringen
Viele Sicherheitslücken gängiger IT-Systeme treten erst nach einiger Zeit in Erscheinung; fortwährend entstehen bzw. zeigen sich neue Angriffsvektoren. Der Hersteller muss daher den gesamten Lebenszyklus des Medizinprodukts, insbesondere der Softwarekomponenten, auch im Blick behalten, nachdem er es in den Verkehr gebracht hat, um das Restrisiko zu begrenzen. Für stark softwaregesteuerte und ggf. lernfähige Systeme, wie Gehirn-Computer-Schnittstellen, ist dies mit Blick auf die vielen Angriffsvektoren und -szenarien unentbehrlich. Die Hersteller müssen ihre Medizinprodukte überwachen, im Ernstfall die zuständigen Behörden informieren und Präventiv- oder Korrekturmaßnahmen ergreifen (Art. 10 Abs. 12 UAbs. 1, Art. 83 Abs. 4 MPVO). Im Einzelfall können sie auch dazu angehalten sein, ein fehlerhaftes Produkt vom Markt zu nehmen oder zurückzurufen (Art. 95 Abs. 1 MPVO).
aa) Schwerwiegendes Vorkommnis
Im Falle sog. schwerwiegender Vorkommnisse muss der Hersteller Sicherheitskorrekturmaßnahmen im Feld vornehmen, um Schäden abzuwenden und Risiken für Patienten zu verringern (Art. 2 Nr. 68, Art. 83 Abs. 4 MPVO). Dafür kann er bspw. Sicherheitsupdates aufspielen bzw. zur Verfügung stellen. Bei schwerwiegenden Vorkommnissen, die auf Sicherheitslücken der IT-Sicherheit beruhen, ist das BSI zu beteiligen (§ 85 Abs. 5 Nr. 1 Medizinprodukte-Durchführungsgesetz). Darüber hinaus treffen den Hersteller – ähnlich wie den datenschutzrechtlich Verantwortlichen (Art. 33 und 34 DSGVO) – Meldepflichten gegenüber den zuständigen Behörden (sog. Vigilanz, Art. 87 MPVO).
Ein „schwerwiegendes Vorkommnis“ ist eingetreten, wenn eine Fehlfunktion oder Verschlechterung des Medizinprodukts zur Folge haben kann, dass eine Person stirbt, sich ihr Gesundheitszustand vorübergehend oder dauerhaft schwerwiegend verschlechtert oder dass eine schwerwiegende Gefahr für die öffentliche Gesundheit eintritt (Art. 2 Nr. 65 MPVO). Nicht schwerwiegend sind demgegenüber Sicherheitslücken, die es ermöglichen, die Kommunikation eines Medizinprodukts mit einem anderen Gerät abzuhören oder auf dem Medizinprodukt gespeicherte Daten auszuspähen oder zu exportieren. Dies gilt gleichfalls für Konstellationen, in denen die Gesundheit des Patienten nur geringfügig, z. B. durch eine verspätete Behandlung oder langsamere Ausführung, beeinträchtigt ist.
Für Gehirn-Computer-Schnittstellen sind schwerwiegende Vorkommnisse deshalb a priori nur bei Varianten denkbar, die das Gehirn exzessiv stimulieren und schwer schädigen können. Sind dagegen nur leichtere Manipulationen ohne tödliche oder schwerwiegende gesundheitliche Folgen zu gewärtigen, entsteht selbst dann keine Vigilanz-Pflicht, wenn der Patient selbst im Einzelfall die Konsequenzen – vom Vertrauensverlust und Ängsten bis zu leichten Schäden und Schmerzen – als gravierend empfindet.
bb) Einfaches Vorkommnis
Auch bei „einfachen“ Vorkommnissen, die unter der Schwelle des Art. 2 Nr. 65 MPVO bleiben, ist der Hersteller nicht von seiner Verantwortung entbunden, für ein Mindestmaß an Sicherheit zu sorgen. Er bleibt verpflichtet, die Konformität des Produkts im Störungsfall (wieder)herzustellen und Korrekturmaßnahmen vorzunehmen (Art. 10 Abs. 12; Art 83 Abs. 4 MPVO). Er muss die Ursache eines potenziellen oder vorhandenen Konformitätsmangels (oder einer sonstigen unerwünschten Situation, vgl. Art. 2 Nr. 67 MPVO) beseitigen.
Aufsichtsrechtliche Maßnahmen ergreifen die zuständigen Behörden in solchen Fällen nur, wenn Medizinprodukte mutmaßlich ein unvertretbares Risiko auslösen oder aus anderen Gründen nicht rechtskonform sind (Art. 94 MPVO). Dann bewerten sie das Produkt in Hinblick auf die Anforderungen der MPVO und fordern den Hersteller z. B. zu Korrekturmaßnahmen auf. Allerdings muss hierfür ein unvertretbares Gesundheits- und Sicherheitsrisiko für Patienten, Anwender oder andere Personen eintreten (vgl. Art. 95 Abs. 1 MPVO). Insbesondere Schwachstellen, die die Vertraulichkeit von Daten betreffen, erreichen diese kritische Schwelle regelmäßig nicht.
d) Sicherheit durch Datenbanken und Register?
Zu dem Pflichtenheft der Überwachung und Vigilanz gesellt sich im unionsrechtlichen Regulierungsregime eine europäische Datenbank für Medizinprodukte (Eudamed, Art. 33 MPVO; aa) und ein Implantateregister hinzu (§ 1 Abs. 2 Nr. 4 IRegG; bb).
aa) Eudamed
Eudamed hält Informationen über alle Medizinprodukte vor. Die Datenbank ist u. a. mit dem elektronischen System für Vigilanz und für die Überwachung nach dem Inverkehrbringen verknüpft (Art. 33 Abs. 2 lit. f i. V. m. Art. 92 MPVO). Sie speichert u. a. Vigilanz- und klinische Prüfungsdaten sowie wie Informationen über die Hersteller. Ihre Daten sind aber nicht öffentlich zugänglich: Nur die EU-Kommission und die Mitgliedstaaten dürfen auf sie zugreifen (Art. 33 Abs. 5 MMPVO), um auf Sicherheitsrisiken rasch reagieren zu können.
bb) Implantateregister
Anders als Eudamed erfasst das Implantateregister auch Informationen über Patienten mit spezifischen Implantattypen, u. a. Cochleaimplantate und Neurostimulatoren (§ 2 Nr. 1 i. V. m. Anlage IRegG). Der Unionsgesetzgeber will dadurch Implantatrisiken abwehren sowie die Gesundheit und Sicherheit der Patienten schützen (§ 1 Abs. 2 Nr. 1 IRegG). Deshalb muss die Gesundheitseinrichtung, die für die implantatbezogene Maßnahme verantwortlich zeichnet, in Zukunft u. a. technisch-organisatorische Daten zum Versorgungsprozess, implantatrelevante Befunde sowie individuelle Parameter zum Implantat melden (§ 16 Abs. 1 IRegG). Darunter fallen etwa sicherheitsbezogene Änderungen eines Implantats oder Sicherheitsupdates (§ 2 Nr. 4 IRegG). Mithilfe des Registers können verantwortliche Gesundheitseinrichtungen und Hersteller Patienten ausfindig machen, die unsichere Geräte nutzen, und sicherstellen, dass sie verfügbare Updates aufspielen (§ 4 Abs. 4, § 29 Abs. 1 Nr. 1, Nr. 3 lit. c IRegG).
Ob sich das neue Implantateregister als geeignetes Instrument entpuppt, um Reaktionen auf schwerwiegende Sicherheitslücken in Implantaten zu koordinieren und die Gefahren für Patienten abzuwehren, steht derzeit aber noch in den Sternen. Als Crux könnten sich zwei Aspekte erweisen: Bislang ist es Patienten zum einen verwehrt, selbst Probleme mit ihren Implantaten zu melden; weder sie noch ihre Ärzte haben Zugang zu den Daten des Registers. Zum anderen beschränkt sich der Schutz – ähnlich wie die Überwachung nach Inverkehrbringen und die Vigilanz – auf die Gesundheit und (körperliche) Sicherheit der Patienten. Wenn Sicherheitslücken „nur“ eine Einsicht in Daten, die das Implantat erhebt oder verarbeitet, ermöglichen, knüpft sich daran keine Meldepflicht des Herstellers. Dies ist allenfalls dann der Fall, wenn der Hersteller oder die verantwortliche Gesundheitseinrichtung zugleich datenschutzrechtliche Verantwortliche sind (Art. 33, 34 DSGVO).
Mario Martini, Carolin Kemper: Cybersicherheit von Gehirn-Computer-Schnittstellen; International Cybersecurity Law Review; 2022
http://creativecommons.org/licenses/by/4.0/deed.de
Zur einfacheren Lesbarkeit wurden die Quellenverweise und Fussnoten entfernt