Digitalisierung des Gesundheitssystems

Jens Spahn hat es eilig

Weil in den letzten fünfzehn Jahren wenig vorangegangen ist, will Gesundheitsminister Spahn jetzt bei der Digitalisierung des Gesundheitswesens Tempo vorlegen. Obwohl viel Vertrauen nötig ist, damit Patient:innen die Angebote auch nutzen, lässt Spahns Hast die nötigen Debatten nicht zu. Besonders deutlich wird das bei der elektronischen Patientenakte und dem Streit um den Datenschutz.

Bei einem Sprintstart kommt eine Läuferin zu früh aus dem Startblock
Die Einführung der elektronischen Patientenakte könnte sich als Frühstart herausstellen – und wichtiges Vertrauen verspielen. CC-BY-SA 2.0 Tom Page

Seit der Bundesrat das Patientendaten-Schutz-Gesetz (PDSG) vor einigen Wochen verabschiedet hat, steht fest, dass die elektronische Patientenakte (ePA) zum 1. Januar 2021 eingeführt wird. Mit der ePA will das Bundesgesundheitsministerium den nächsten und wichtigsten Schritt in der Digitalisierung des Gesundheitssystems gehen, um Behandlungen effizienter zu machen und die Versorgung zu verbessern.

Weiter ungeklärt sind allerdings die Datenschutz-Bedenken, die der Bundesdatenschutzbeauftragte Ulrich Kelber und drei seiner Kolleg:innen aus den Bundesländern im Vorfeld geäußert hatten. Ihrer Ansicht nach ist die ePA so, wie sie aktuell geplant ist, nicht mit dem europäischen Datenschutzrecht vereinbar. Bei einer Pressekonferenz im August kündigten die Datenschützer:innen Sanktionen an, falls die Krankenkassen die Akte wie im Gesetz vorgesehen einführen.

Sie hofften auf den Bundesrat, der das Gesetz in den Vermittlungsausschuss hätte überweisen können. Diese Hoffnung war vergeblich, der Rat winkte das Gesetz auf Empfehlung des Gesundheitsausschusses ohne Aussprache durch. Und so ist weiterhin unklar, wie die Einführung zu Beginn des nächsten Jahres funktionieren soll.

Datenschutz durch Freiwilligkeit?

Die Bedenken der Datenschützer:innen beziehen sich vor allem auf das feingranulare Zugriffsmanagement, das erst ein Jahr nach der Einführung der ePA vorgesehen ist. Patient:innen können zu Beginn also nicht einzeln entscheiden, welches Dokument sie welchen Ärzt:innen freigeben wollen. Außerdem zweifeln Kelber und Kolleg:innen an der Sicherheit des Authentifizierungsverfahrens bei den Nutzer:innen. Dieses sei nicht mit der Datenschutzgrundverordnung (DSGVO) vereinbar und erst ab den ebenfalls für 2022 vorgesehenen Änderungen rechtskonform.

Die Einwände der Datenschützer:innen beziehen sich also größtenteils auf Probleme, die mit den geänderten Regeln ein Jahr nach Einführung der ePA nicht mehr bestünden, da die in Frage stehenden Regelungen nur befristet für den Übergang vorgesehen sind. Es entsteht der Eindruck, das Gesundheitsministerium habe es mit der Einführung der elektronischen Patientenakte und der Digitalisierung des Gesundheitssystems eilig – möglicherweise auch mit Blick auf die 2021 anstehenden Bundestagswahlen.

Eine Kleine Anfrage der FDP-Fraktion an das Gesundheitsministerium verstärkt dieses Gefühl. Auf die Datenschutzmängel angesprochen, verweist die Bundesregierung in ihrer Antwort unter anderem auf die Freiwilligkeit der elektronischen Patientenakte. Niemand müsse das Angebot nutzen und dürfe wegen dieser Entscheidung auch bei der Behandlung nicht benachteiligt werden.

Der lange Weg der Digitalisierung im Gesundheitswesen

Diese Aussage steht mit dem angekündigten Nutzen der ePA im Widerspruch. Sie soll das Kernelement des digitalisierten Gesundheitswesens sein. Wenn man sich, um seine Daten zu schützen, gegen die ePA entscheiden muss, werden die erhofften Effizienzsteigerungen und Verbesserungen der Versorgung nicht eintreten. Wenn die ePA wirklich so hilfreich für die Patient:innen ist, wie die Bundesregierung behauptet, ist außerdem schwer vorstellbar, wie eine Gleichberechtigung zwischen den Patient:innen mit und ohne ePA garantiert werden soll.

Die Digitalisierung des deutschen Gesundheitswesens zieht sich schon sehr lange hin. Erste Pläne für eine elektronische Patientenakte gab es schon vor fünfzehn Jahren, damals noch unter Gesundheitsministerin Ulla Schmidt. Der aktuelle Minister Jens Spahn wird nicht müde, in Interviews zu betonen, dass nun endlich mal etwas vorangehen müsse bei der Digitalisierung. An Stelle der jahrelangen politischen Untätigkeit bei der Digitalisierung des Gesundheitssystems scheint nun ein stellenweise überhasteter Aktionismus zu treten, der der Tragweite der anstehenden Entscheidungen oft nicht gerecht werden kann.

Denn auch bei der für 2022 geplanten Einführung des E-Rezepts gibt es Datenschutzbedenken. Jüngst wurde bekannt, dass die Rezepte bei der Übermittlung nicht Ende-zu-Ende-verschlüsselt werden. Das Verschreibungsverhalten der Ärzt:innen wird so auswertbar. Bedenkt man die möglichen Folgen eines Verlusts von Gesundheitsdaten, wirkt Spahns Eile auf viele irritierend.

Gravierende Folgen bei Verlust von Gesundheitsdaten

Fabian Prasser, Professor für Medizininformatik an der Berliner Charité und am Berlin Institute of Health, forscht unter anderem zum Datenschutz in der medizinischen Forschung und hat regelmäßig mit Gesundheitsdaten zu tun. Er weist darauf hin, dass es wenig bekannte Beispiele für konkrete Schäden für Einzelne durch Datenverlust gibt. Die Gefahren seien deshalb abstrakt und teilweise schwer zu vermitteln.

„Man erfährt nicht, warum man plötzlich einen höheren Tarif für eine Versicherung bezahlen muss, warum man einen Job nicht bekommt“, so der Forscher. Die Folgen von verlorenen Daten können sich heimlich und schleichend einstellen, ohne dass man sich dessen bewusst sei.

Solche Datenverarbeitungen seien natürlich mit unserem Recht nicht vereinbar. „Das heißt aber nicht, dass sie nicht trotzdem passieren und die Betroffenen dadurch Nachteile erleiden könnten“, mahnt Prasser. Neben Nachteilen bei Versicherungen oder Bewerbungen seien auch Erpressung oder Identitätsdiebstahl mit den Daten denkbar.

Anders als beispielsweise bei verlorenen Kreditkartendaten habe der Schaden dann auch einen langfristigen Effekt. Gesundheitsdaten gelten lebenslang und sind nicht einfach austauschbar, falls sie mal in falsche Hände gelangen. Umso wichtiger sei also der Schutz dieser sensiblen Daten.

Sicherheitsprobleme bei der Telematikinfrastruktur

Und der scheint bei der Patientenakte, wie sie aktuell vorgesehen ist, nach Einschätzung des Bundesdatenschutzbeauftragten nun einmal nicht gegeben zu sein. Da hilft es auch wenig, wenn die Bundesregierung in ihrer Antwort auf die FDP-Anfrage ankündigt, die Bußgelder für Datenschutzverstöße im Gesundheitssystem zu erhöhen. Denn die Veröffentlichung sensibler Gesundheitsdaten ist nicht mit Geld wiedergutzumachen. Doch nicht nur die vorläufigen Regeln, die die Datenschützer:innen von Bund und Ländern anprangern, werfen Fragen auf. Auch langfristig könnte es mit der ePA Probleme geben.

Die elektronische Patientenakte ist wie die meisten Maßnahmen zur Digitalisierung des Gesundheitswesens in die Telematikinfrastruktur (TI) eingebettet. Diese Infrastruktur soll alle Akteure des Gesundheitssystems, also beispielsweise Arztpraxen, Krankenhäuser, Apotheken und Krankenkassen in einer sicheren Umgebung miteinander vernetzen.

Verantwortlich für die TI ist die gematik GmbH. Sie wurde 2005 gegründet und mit der Vernetzung des Gesundheitswesens beauftragt. Darunter fallen die Infrastruktur selbst, die elektronische Gesundheitskarte und eben auch die geplante elektronische Patientenakte, die innerhalb der TI angesiedelt sein soll.

Eben diese Telematikinfrastruktur mit allen ihren Anwendungen ist seit Jahren wiederholt für mangelnde Sicherheit kritisiert worden. Sowohl die elektronische Gesundheitskarte und der Heilberufsausweis als auch die Konnektoren, die Arztpraxen für den Zugang zur TI benötigen, haben sich in der Vergangenheit als anfällig für Angriffe erwiesen.

Die Gesundheitskarten und die Konnektoren sollen einem Eckpunktepapier aus dem Gesundheitsministerium zufolge bald wegfallen. Ab 2023 soll der Zugang zur TI mittels digitaler Identitäten geregelt werden. Die genaue Ausgestaltung des angekündigten „Digitalisierungsgesetzes“ ist hier noch unklar. Harald Kelter, BSI-Referatsleiter für Cybersicherheit im Gesundheitswesen, sagte dem Handelsblatt, dass man nicht ganz auf Hardware verzichten könne, um die Datensicherheit zu gewährleisten.

Zentrale Speicherung der Daten vorgeschrieben

Obwohl also in absehbarer Zeit die TI nochmal komplett umgekrempelt werden soll, bleibt den Anbietern für die elektronische Patientenakte aber schon heute nichts anderes übrig, als sich mit ihrem Angebot innerhalb dieser Infrastruktur zu bewegen, um von der gematik zugelassen zu werden. Darüber hinaus legt die gematik die Anforderungen an die Angebote der ePA sehr genau fest. Die Daten, die Patient:innen und Ärzt:innen in der ePA ablegen, sind verschlüsselt in einer zentralen Datenbank beim jeweiligen Anbieter zu speichern. Das Schlüsselmanagement ist hingegen dezentral organisiert, den Zugang zu den Schlüsseln bewahren die Nutzer:innen jeweils individuell auf.

Eine dezentrale Speicherung der Daten selbst ist hingegen nicht vorgesehen. Die Diskussion zwischen zentraler und dezentraler Datenspeicherung ist noch von der Diskussion um die Corona-Warn-App im Gedächtnis geblieben. Viele Beobachter:innen hielten die Entscheidung für das dezentrale Konzept für richtig. Die Gefahr eines großflächigen Datenverlusts ist geringer, wenn sie nicht an einem einzigen Ort versammelt gespeichert sind.

Das deutsche Unternehmen Turbine Kreuzberg hat ein alternatives Konzept für eine dezentrale elektronische Patientenakte entwickelt. Daniel Nill, CEO der Firma, hält die TI nicht für zukunftsfähig und setzt deshalb auf die dezentrale Speicherung. Bei seiner Lösung sollen Patient:innen auswählen können, wo Daten gespeichert sind, welchem Server sie also am meisten vertrauen. Die anfällige TI soll mit der dezentralen Speicherung obsolet werden.

Keine kurzfristige Lösung in Sicht

Das heißt aber auch, dass das System die Probleme der ePA nicht kurzfristig bis Beginn des nächsten Jahres lösen kann. Nill merkt zwar an, in Gesprächen sei man bei der gematik nach seiner Wahrnehmung durchaus offen für neue Technologien und das Denken in großen Dimensionen. Wie viel davon dann aber in die konkrete Umsetzung mit einfließt, steht auf einem anderen Blatt.

Außerdem ist die elektronische Patientenakte bei der Datenspeicherung nicht wirklich mit der Corona-Warn-App vergleichbar. Eine komplett dezentrale Speicherung muss nicht bei allen Anwendungen automatisch die bessere Alternative sein; besonders, wenn es um die langfristige Verfügbarkeit von Daten geht. Johannes Braun, der an der TU Darmstadt zu Kryptographie und Komplexitätstheorie forscht, merkt an:

Ein klarer Unterschied ist […] die Langlebigkeit der Kontaktdaten. Diese können bei der Warn-App nach zwei Wochen bedenkenlos gelöscht werden – dann ist die Inkubationszeit nach aktuellem Kenntnisstand vorbei, und weiter zurückliegende Kontakte sind (abgesehen von etwaigen Forschungsinteressen) für den Einzelnen völlig unerheblich. Die Daten in der ePA haben dagegen zumindest teilweise lebenslange Relevanz, oder sogar darüber hinaus.

Bei der elektronischen Patientenakte sei die dezentrale Speicherung also nicht unbedingt die bessere Lösung, da die Daten nicht lebenslang vorgehalten werden müssen. Das derzeitige Konzept der ePA lobt Braun:

Grundsätzlich ist hier […] ein Ansatz gewählt worden, der stark auf die Kontrolle über die eigenen Daten ausgelegt ist. Das ist sehr zu begrüßen. Natürlich gibt es eine Vielzahl von Aspekten, die bei einer abschließenden Bewertung berücksichtigt werden müssten – welche kryptographischen Verfahren tatsächlich zum Einsatz kommen, wie das Schlüsselmanagement beim Nutzer und den jeweiligen Berechtigten realisiert und abgesichert ist, ob und wie etwaige Backups von Schlüsseln gemacht werden, wie die verschiedenen Ansätze tatsächlich in der Applikation umgesetzt sind und vieles mehr.

Wenig Hoffnung auf Datensicherheit aus dem Hause Spahn

Es kommt also auf die genaue Umsetzung und Überprüfung der Vorgaben durch die einzelnen Anbieter an. Auch wenn vieles bei der elektronischen Patientenakte gut durchdacht ist und Lob von Expert:innen einheimst, scheint es doch noch Luft nach oben zu geben – sowohl grundsätzlich beim Konzept als auch bei der Umsetzung.

In der Vergangenheit fielen sogenannte elektronische Gesundheitsakten, im Prinzip Vorläufer der ePA, leider nicht durch besonders durchdachte Sicherheitskonzepte auf. Sicherheitsexperten vom Chaos Computer Club war es wiederholt gelungen, das Schlüsselmanagement und andere Sicherheitsmechanismen der Anwendungen mit einfachsten Mitteln zu umgehen.

Die Gesundheitsapp Vivy, die vor allem wegen Sicherheitsproblemen in der Kritik stand, arbeitet mit zahlreichen gesetzlichen und privaten Krankenkassen zusammen und erhielt in einer Ausschreibung des IT-Dienstleisters der Krankenkassen, BITMARCK, den Zuschlag, als Gesundheitsakte eingesetzt zu werden. BITMARCK will ab 2021 eine eigene Anwendung für die elektronische Patientenakte anbieten und ist hierfür auch schon von der gematik zugelassen worden.

Vertrauen entscheidet über Erfolg

Auch andere Digitalisierungsmaßnahmen aus dem Hause Spahn genügen nicht den Sicherheitsanforderungen. In dieser Woche wurde bekannt, dass eine Anwendung, die Ärzt:innen verschreiben und Krankenkassen nach dem Digitale-Versorgungsgesetz erstatten sollen, gravierende Sicherheitsmängel aufweist und das zuständige Bundesinstitut für Arzneimittel und Medizinprodukte gesetzlich nur angehalten ist, die Plausibilität der Herstellerangaben zu prüfen. Eine eigene Prüfung der Datensicherheit und des Datenschutzes sah das Gesundheitsministerium bislang nicht vor.

Auch hier will Spahn wohl mit dem angekündigten Digitalisierungsgesetz nachbessern. Die Apps sollen in Zukunft vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert werden. Gleichzeitig geht der Gesundheitsminister aber auch hier wieder einen Schritt weiter und will die Erstattung von Apps auf Digitale Pflegeanwendungen ausweiten.

Dabei ist das Vertrauen der Patient:innen in die politischen Maßnahmen für den Erfolg der elektronischen Patientenakte entscheidend, da die Nutzung nicht verpflichtend ist. Die Vorteile sind unbestritten, effizientere Behandlungen und schnellere Kommunikation sind wünschenswerte Ziele. Doch wenn sich die Versicherten nicht darauf verlassen können, dass ihre sensiblen Gesundheitsdaten langfristig sicher und in guten Händen sind, könnte die Maßnahme im Sande verlaufen.

Langfristige Datensicherheit mit „Secret Sharing“

Eben diese langfristige Sicherheit soll ein System gewährleisten, das IT-Sicherheitsexperte Braun gemeisam mit einem Forschungsteam um Prof. Johannes Buchmann im Rahmen des Sonderforschungsbereichs CROSSING an der TU Darmstadt entwickelt hat.

Mittels „Secret Sharing“ sollen heute eingesetzte Verschlüsselungsverfahren ersetzt werden, die Braun unter Umständen für nicht sicher genug hält, um ihnen lebenslang gültige Gesundheitsdaten anzuvertrauen. Beim Secret Sharing werden die Daten in mehrere Teile (Shares) aufgeteilt, die für sich allein keine Informationen enthalten.

Gelingt es also Angreifer:innen, eines dieser Datenpakete zu erbeuten, gibt es allein keinerlei Informationen preis, abgesehen von der Dateigröße. Den Angreifer:innen müsste es gelingen, alle Shares gleichzeitig in die Hände zu bekommen, um verwertbare Informationen zu erhalten. Dem wollen die Forscher:innen mit möglichst vielen verschiedenen Schutzmechanismen der einzelnen Server, auf denen die Shares gespeichert sind, entgegentreten, sodass es sehr unwahrscheinlich ist, dass der Angriff vollständig gelingt. Zusätzlich soll das System die Shares regelmäßig erneuern, sodass die Angreifer:innen sie nicht nach und nach erbeuten können.

In einem Pilotprojekt setzten mehrere Krankenhäuser in Japan die Technologie bereits ein, um sie zu testen. Doch auch dieses System kann keine Abhilfe schaffen, um die ePA zum 1. Januar 2021 datensicherer zu machen. Braun verweist darauf, dass seine Kolleg:innen und er in Darmstadt Grundlagenforschung betreiben würden. „Die Entwicklung einer Anwendung müsste aus der Wirtschaft kommen“, fordert er.

Politik für Sicherheit der Systeme verantwortlich

Auch gibt es bei dem System noch einige Herausforderungen. „Um die Sicherheit des Verfahrens zu garantieren, ist es nötig, dass jedes Share für sich genommen genau die Dateigröße hat, die das zu speichernde Datenpaket insgesamt aufweist. Es sind also große Speicherkapazitäten notwendig, um auch beispielsweise hochauflösende medizinische Bilddateien ablegen zu können.“ Je nach Ausgestaltung des Systems würde das die fünf- bis zehnfache Datenmenge bedeuten.

Außerdem müssten, um nicht nur die Datenspeicherung, sondern auch die Datenübertragung vollkommen sicher zu gestalten, Verfahren wie der Einsatz von Quantenschlüsseln praktikabler werden. Hier sei neben weiterer Forschung auch noch der Ausbau der Infrastruktur nötig, wie zum Beispiel ein flächendeckendes Glasfasernetz, was wir in Deutschland bisher nicht haben, bemerkt Braun.

Die Einführung der ePA 2021 hält Braun für sinnvoll. Die Designer hätten sich viele Gedanken gemacht und sehr viel Wert auf Sicherheit gelegt, zumindest mit den heute verfügbaren Mitteln. Dennoch würde er sich wünschen, wenn Anbieter von der gematik aufgefordert würden, die langfristige Sicherheit in ihre Systeme zu implementieren. Hier sieht Braun auch die Politik in der Verantwortung. Diese müsse den Einsatz innovativer Sicherheitsverfahren vorantreiben, um dafür zu sorgen, dass die Systeme die bestmögliche Sicherheit bereitstellen, wenn sie der Bevölkerung angeboten werden, so der Wissenschaftler.

Eile bei der Gesetzgebung

Die Bedenkenlosigkeit, mit der das Gesundheitsministerium Warnungen der Datenschützer:innen, zum Beispiel bei der ePA, einfach beiseite wischt, scheint nicht so recht zu diesem Appell des Wissenschaftlers zu passen. Denn sie schafft weder das nötige Vertrauen in die langfristige Datensicherheit noch zeigt sie, dass sich Minister Spahn der Brisanz des Themas bewusst ist. Die Verantwortlichen müssten Kosten und Risiko genau abwägen, um das Vertrauen der Patient:innen zu gewinnen. Das erfordert Zeit, Aufklärung und demokratische Kontrolle. Diesen Punkten gibt Spahn mit seiner überhasteten Gesetzgebung zu wenig Raum.

Natürlich darf das Projekt nicht auf die lange Bank geschoben werden. Doch nur weil Gesundheitspolitiker:innen sich seit fünfzehn Jahren erfolglos bemüht haben, die elektronische Patientenakte einzuführen, darf der Datenschutz und die langfristige Datensicherheit der Gesundheitsdaten nicht auf der Strecke bleiben. Denn die Digitalisierung im Gesundheitssystem kann den Versicherten sehr zugute kommen. Sie durch unbedachte, unfertige Konzepte zu gefährden, ist nicht im Interesse der Patient:innen.

10 Ergänzungen
  1. Guter Artikel. Der Satz „Das Schlüsselmanagement ist hingegen dezentral organisiert, die Schlüssel bewahren die Nutzer:innen jeweils individuell auf.“ ist leider falsch.

    Die Patient:innen haben keinen Kryptobestandteil „Schlüssel“, sondern nur ein Zugriffstoken. Könnten Sie das bitte korrigieren?

    Der Artikel erweckt sonst den Eindruck, die Patient:innen hätten eine wirksame Kontrolle über die Verwendung ihrer Daten. Dies ist nur so lange richtig, bis die Politik neue „Berechtigte“ definiert.

    Die Spec. könnten Sie bei Interesse bei der Gematik runterladen.

    1. Wer die Akte nutzen möchte, muss sich Anfang des Jahres aktiv an seine Krankenkasse wenden. Es bleibt Ihnen auch überlassen, welche Dokumente Sie im Falle einer Nutzung speichern möchten und welchen Ärzten Sie Zugriff gewähren. Sie können aber keine einzelnen Dokumente für einzelne Ärzte sperren, zumindest nicht bis 2022.

    1. Ich wette: Die verpflichtende Nutzung der ePA wird kommen. Wohlgemerkt: Nur für gesetzlich Vesicherte! Spahn und Co, heisst PVler, Beamte sind dann fein raus. Die Entwicklung zum Zwang (zwanghafter Entwicklung) zeigt sich bei Einführung des eRezeptes.

      1. Da sind es schon mind. zwei Personen, die davon überzeugt sind :-(
        Wie viele Leute werden wohl Arztbesuche nur noch in Notfällen durchführen, wenn ihre Gesundheitsdaten verramscht werden?
        Der gesundheitliche und wirtschaftliche Schaden dürfte beachtlich werden.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.