Archiv

Digitalisierung des Gesundheitswesens
Probleme rund um die Datensicherheit

Der Bundesdatenschutzbeauftragte drückt den Alarmknopf: Er sieht Mängel bei der Datensicherheit der geplanten elektronischen Patientenakte. Die Digitalisierung des Gesundheitswesens ist generell eine riesige Baustelle – mit vielen ungeklärten Problemen.

Von Peter Welchering |
Gesundheitskarten verschiedener Krankenkassen
Die Digitalisierung des Gesundheitswesen hat viele Baustellen (imago / Norbert Neetz)
"Dass ich mich zusammen mit meinen Kolleginnen und Kollegen aus den Ländern noch im laufenden Gesetzgebungsverfahren an Sie wende, zeigt, für wie schwerwiegend wir die Lage einschätzen. Ich habe während der gesamten Entstehung des Gesetzentwurfes wiederholt und eindringlich auf die Einhaltung der seit vielen Jahren bekannten und vereinbarten Datenschutzanforderungen gedrängt. Umso unbefriedigender ist das Ergebnis in einigen wichtigen Punkten."
So begründete am Mittwoch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, seinen Auftritt in der Bundespresskonferenz. Dort kündigte er Maßnahmen gegen die gesetzlichen Krankenkassen an, sollten sie die elektronische Patientenakte zum 1. Januar 2021 so einführen, wie der Bundestag das beschlossen hat.
Denn das würde, so Kelber, gegen die Europäische Datenschutzgrundverordnung verstoßen. Rund um die elektronischen Akten gibt es also Bedenken.

Welche Wirkungen haben die Warnungen des Bundesdatenschutzbeauftragten auf den Gesetzgebungsprozess?
Das war ein etwas verzweifelter Warnschuss. Die elektronische Patientenakte war der äußere Anlass. Aber eigentlich geht es um etwas Anderes. Seit 15 Jahren gibt es in Deutschland Versuche, das Gesundheitswesen zu digitalisieren - und seit 15 Jahren hören wir immer wieder von Pleiten, Pech und Pannen. Allein das Trauerspiel um die elektronische Gesundheitskarte spricht für sich. Nun stehen wir vor zwei ganz entscheidenden Entwicklungen: Zum einen die Daten von mehr als 60 Millionen Versicherten zentral zu verwalten und zum zweiten eine Kommunikationsinfrastruktur für das gesamte Gesundheitswesen aufzusetzen, die erhebliche Fortschritte in der medizinischen Versorgung ermöglicht, die aber massiv missbraucht werden kann. Bei der elektronischen Patientenakte zeigt sich beispielhaft, dass wir nicht in der Lage sind, eine IT-Struktur für das Gesundheitswesen aufzusetzen, die ausreichend Datensicherheit bietet und die berechtigten hohen Hürden europäischen Datenschutzes umsetzt.
Wie ist Kelbers Warnung generell zu beurteilen?
Das ist ein Versagen auf der fachlichen und der politischen Ebene. Das ist in der Diskussion nach der Bundespressekonferenz mit Ulrich Kelber zu den Problemen der elektronischen Patientenakte überaus deutlich geworden. Deutlich geworden ist auch, dass wir uns jetzt entscheiden müssen: Wie machen wir weiter mit der Patientenakte? Einfach noch ein Neustart, wie das letztlich bei der Gesundheitskarte passiert ist, ist hier nicht drin. Deshalb sind die Weichenstellungen, die jetzt bei der ePA (elektronische Patientenakte) vorgenommen werden, eminent wichtig, vor allen Dingen in technischer Hinsicht. Die ePA ist zum Präzedenzfall für die Digitalisierung des Gesundheitswesens geworden. Das macht die Diskussion über sie so relevant.
Gesucht wird eine Digitalisierungsstrategie für das Gesundheitswesen: Was sind die praktischen Probleme?
"Da Gesundheitsdaten besonders sensibel sind, bestehe ich darauf, dass die Krankenkassen nur nach Nutzung eines nach Stand der Technik hoch sicheren Authentifizierungsverfahrens Zugriffe von außerhalb der gesicherten Telematik-Infrastruktur auf die Gesundheitsdaten der elektronischen Patientenakte erlauben", so begründet der Bundesdatenschutzbeauftragte Ulrich Kelber seine Forderung nach einem besseren Schutz beim Zugriff auf die Daten der elektronischen Patientenakte per Smartphones oder Tablets.
Die bisher vorgesehenen Verfahren für den Zugriff sind hochgradig unsicher. Hinzu kommt, dass die Versicherten zunächst gar nicht und später nur zum Teil die Möglichkeit haben, genau festzulegen, welche Daten in ihrer digitalen Patientenakte die unterschiedlichen Fachärzte, der Hausarzt, Apotheker oder einzelne Therapeuten sehen dürfen.
Symbolfoto zur Telemedizin, Ärztin in einer Praxis, kommuniziert mit dem Patienten über eine Webcam, Patientendaten und Befunde auf dem Monitor
Gesundheitswesen: Der digitale Patient
Daten im Gesundheitswesen sind höchst persönlich und sollten vor Hackerangriffen geschützt werden. Doch Arztpraxen und Apotheken unternehmen nach einer Studie der Versicherungswirtschaft nicht genug zum Schutz von sensiblen Patientendaten. Wie sicher sind sie also vor Cyberattacken?
So möchte ein Versicherter zum Beispiel nicht, dass sein Zahnarzt die Berichte seines Psychiaters einsehen kann. Bis zum Jahr 2022 kann er die Zugriffsrechte aber nicht steuern. Und auch nach dem 1. Januar 2022 sollen das dann nur Versicherte von einem Smartphone oder Tablet aus können, nicht aber vom häuslichen PC oder Laptop aus. Ulrich Kelber dazu:
"Konkret bedeutet das, dass Versicherte, die kein sogenanntes Front-End nutzen können oder wollen, dauerhaft keine ausreichende Kontrolle über ihre Daten haben werden. Stattdessen werden sie zu einer Wahl zwischen Extremen gezwungen. Entweder kann jede von ihnen autorisierte Stelle, Ärzte, Kliniken sämtliche in der elektronischen Patientenakte enthaltenen Informationen einsehen oder überhaupt keine."
Wie beurteilen die gesetzlichen Krankenkassen das?
Die Krankenkassen wollen solche differenzierten Zugriffe ermöglichen. Aber sie werden ausgebremst. Barbara Thiel, Landesbeauftragte für den Datenschutz Niedersachsen, erläuterte das so:
"In Gesprächen hat uns die AOK Niedersachsen mitgeteilt, zusammen mit dem Bundesverband daran zu arbeiten, bereits ab dem 1.1.2021 ein feingranulares Zugriffskonzept anbieten zu können. Das wäre natürlich die Lösung. Allerdings wird es laut Gematik wohl nicht möglich sein, dieses auch rechtzeitig in die gesicherte Umgebung der Telematik-Infrastruktur zu implementieren."
Was bedeuten die Probleme mit der digitalen Patientenakte für die generelle Digitalisierung des Gesundheitswesen?
Es geht vor allem um eine sichere und datenschutzgerechte Digitalisierung des Gesundheitswesens. Mit der elektronischen Patientenakte muss bewiesen werden, dass das möglich ist. Darauf weist auch Stefan Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-Württemberg hin.
"Wir sehen auch als Datenschützer in der Digitalisierung des Gesundheitswesens eine eminente Chance. Wir nutzen die in den Ländern ganz intensiv. Das Fernbehandlungsverbot ist gefallen. In Baden-Württemberg haben wir Angebote wie docdirekt, also Video-Sprechstunden, E-Rezept und ähnliches. Datenschutz und Digitalisierung passen auch im Gesundheitswesen zusammen. Man muss aber eben dafür sorgen, dass das abgestimmt wird und nicht im Ergebnis miteinander kollidiert. Deswegen unser Appell."
Was sind die wichtigsten Digitalisierungsbaustellen im Gesundheitswesen?
Das Digitale-Versorgung-Gesetz mit dem mangelnden Schutz der Patientendaten bei der Weitergabe an Forschungseinrichtungen und der völlig unzureichenden Regelung bei den Gesundheits-Apps, die Aushebelung des Datenschutzes beim Implantateregister-Errichtungsgesetz und die fehlende Kontrolle bei Pannen in der Telematik-Infrastruktur des Gesundheitswesen. Kürzlich hatten wir erst einen wochenlangen Ausfall für viele Praxen, weil die Gematik mit einem eigentlich nicht so schwerwiegenden Problem bei den Zertifikaten nicht zurechtgekommen ist. Wir haben es also mit zwei Problembereichen zu tun: mit einer Gesetzgebung, die entweder Datenschutz- und Datensicherheitsbelange nicht ausreichend berücksichtigt oder sogar regelrecht aushebelt. Zum zweiten mit ganz praktischen Problemen in der Durchführung, weil entweder Zuständigkeiten und Anforderungen nicht sauber geregelt sind oder weil es an Kontrollen fehlt.
Worin besteht die Aushebelung des Datenschutzes beim Implantateregister-Errichtungsgesetz, das seit Januar 2020 in Kraft ist?
Die Experten der Gesellschaft für Informatik kritisieren hier, dass ein Patient, dem ein Implantat eingesetzt wird – ein Herzschrittmacher zum Beispiel –, seine sämtlichen Patientendaten an das Register geben muss. Er hat kein Widerspruchsrecht gegen die Datenverarbeitung. Und das bedeutet, er kann auch nicht festlegen, unter welchen Bedingungen er seine Daten freigeben will. Außerdem werden die Patientendaten nur pseudonymisiert, nicht anonymisiert. So kann aber leicht auf die Identität eines einzelnen Patienten zurückgerechnet werden. An welchen Stellen Patientendaten pseudonymisiert und wo Klardaten verwendet werden, ist zudem bis heute unklar. Auch wer alles Zugriff auf diese Daten hat, ist nur unzureichend geregelt.
Was bedeutet das für das Digitale-Versorgung-Gesetz, bei dem Patienten auch nicht widersprechen können, dass Krankenkassen ihre Daten an die Spitzenverbände weiterleiten?
Zu einen können die Abrechnungsdaten im Forschungsdatenzentrum laut Gesetzeslage unverschlüsselt gespeichert werden. Die Daten selbst sind auch in diesem Fall lediglich pseudonymisiert, nicht anonymisiert. Ungeregelt ist auch, welche Forschungseinrichtungen auf diese personenbeziehbaren Abrechnungsdaten zugreifen dürfen und wie diese Daten dann geschützt werden sollen.
Wer hat denn ein Interesse an diesen Patientendaten?
Zunächst einmal die organisierte Kriminalität. Da hat Peter Bauer von McAfee mit seinem Team nachgeforscht: Der Handel mit Patientendaten ist inzwischen genauso wichtig geworden wie das Marktsegment Wirtschaftsspionage.
25.06.2019, Mecklenburg-Vorpommern, Hohen Wangelin: Krankenschwester Veronica Timm nimmt in einem Sprechzimmer in der Praxis des 74 Jahre alten Landarzt Lothar Kruse bei Patient Günter Ludwig Blutproben ab. Seit 40 Jahren betreut der Allgemeinmediziner in seiner Praxis in Hohen Wangelin Patienten aus der Region. Ende 2019 will Kruse seine Praxis abgeben, suchte aber bisher ohne Erfolg einen Nachfolger. Foto: Jens Büttner/dpa-Zentralbild/ZB | Verwendung weltweit
Elektronische Patientenakte: "Die sensibelsten Daten, die man überhaupt hat"
Silke Lüder von der freien Ärzteschaft hat die Einführung einer elektronischen Patientenakte kritisiert. Sie hält eine dezentrale Speicherung der Daten für sinnvoller. Im Dlf sagte sie, Patientendaten seien weitaus sensibler als Bankdaten und müssten darum ein Leben lang geschützt werden.
Dann sind Unternehmen an diesen Patientendaten interessiert, die die Lebenserwartung eines Menschen genau berechnen. So sollen teure Therapien bei Schwerkranken eingespart werden. Dafür setzen die Datenspezialisten dieser Unternehmen Algorithmen ein, die genau errechnen, wann ein Mensch stirbt. Wer nicht mehr ausreichend lange zu leben hat, soll nur noch bis zum Tod gepflegt werden, aber keine medizinische Therapie mehr erhalten.
Und letztlich sind Pharmafirmen an diesen Patientendaten interessiert, weil sie so auch den Erfolg ihrer Außendienstler besser kontrollieren können. Mit rückgerechneten Daten kann nämlich ermittelt werden, ob ein bestimmter Arzt nach dem Besuch eines Pharmavertreters signifikant öfter ein bestimmtes Medikament verordnet hat. Die Zuordnung zu einem Arzt erfolgt in diesem Fall über die rückgerechneten Patientennamen.