Avatar Autor:in

DegitalisierungVertrauen ist ein Weg aus vielen kleinen Schritten

Das Gesundheitsministerium hat seine Pläne für die elektronische Patientenakte vorgestellt und am besten soll jetzt alles ganz schnell gehen, ohne viel Gezeter um Datenschutz. Aber wir tun gut daran, Gesundheitssysteme nicht aus Sicht der Mehrheit zu denken, sondern aus Sicht derer, die von solchen Systemen diskriminiert werden könnten, schreibt unsere Kolumnistin.

Symbolbild - Stapel Akten
Symbolbild – Digitalisierungstatus Deutschland CC-BY-NC-SA 4.0 owieole

Vor ein paar Jahren stand ich vor der beruflichen Frage, ob ich einen Job annehmen sollte. Mitten in der Pandemie IT-Systeme für ein Gesundheitsamt bauen. Ich sollte dort helfen, die „Zettelwirtschaft“ abzuschaffen.

An diesem Entscheidungsmoment musste ich kurz innehalten. In mich gehen. War ich doch zuvor eher mit weniger kritischen Systemen betraut. Verantwortung hatte ich durchaus. Aber digitale Systeme zu betreuen, die Daten von Infizierten, Kranken oder sogar Verstorbenen verwalten? In einer Pandemie? Das schien mir dann doch etwas viel Verantwortung. Bestimmt gibt es noch viel professioneller arbeitende Menschen als mich, die an diesen digitalen Systemen arbeiten. So dachte ich.

Seitdem hat sich mein Bild vom Verantwortungsbewusstsein für digitale Systeme stark relativiert. Speziell auch im Gesundheitswesen. Ich habe Systeme Daten leaken sehen, die nicht hätten geleakt werden dürfen. Habe Gruselgeschichten in Code an digitalen Lagerfeuern gehört. Und ja, leider waren diese meist nicht übertrieben, sondern einfach die Realität.

Und damit sind wir mitten im Geschehen dieser Folge von Degitalisierung, die sich mit der Digitalisierung des Gesundheitswesens beschäftigen muss, zwangsläufig wohl. Denn das Bundesgesundheitsministerium hat diese Woche seine neue Digitalisierungsstrategie präsentiert. Nun ja. Für wen eigentlich?

Für wen bauen wir eigentlich digitale Systeme?

Inzwischen habe ich einen durchaus scharfen Blick auf digitale Systeme. Ich frage dann gerne: Wem ermöglichen diese Systeme neue Möglichkeiten? Wer steht im Zentrum eines solchen Systems? Wer hat den meisten Nutzen?

Beim deutschen digitalen Gesundheitswesen bin ich mir nicht so ganz sicher, wem dieses System eigentlich nützt. Ich glaube, es hat eine leichte Schieflage. Seltsamerweise geht es aktuell völlig vorbei an denen, die es doch ins Zentrum stellen sollte: die Patient*innen.

Stand heute ist das deutsche digitale Gesundheitswesen vorwiegend eines für Krankenkassen. Diesen Mangel scheint das Ministerium teilweise erkannt zu haben und erhebt die Nutzerorientierung, also die Orientierung auf die Patient*innen, an erste Stelle (S. 37). Das ist nicht falsch, aber es scheinen doch einige Annahmen darüber vorneweg genommen worden zu sein, wie so eine Patient*in dem digitalen Gesundheitswesen gegenüber steht. Und vor allem, welches Vertrauen sie dem digitalen Gesundheitswesen entgegenbringt – oder auch nicht.

Solche Annahmen findet man zuhauf in der Strategie. Eine elektronische Patientenakte (ePA) gibt es erst mal für alle, außer sie wollen das nicht. Mit den eigenen Daten darf dann auch geforscht werden, außer man will das nicht. Digitale Gesundheitsanwendungen, im Volksmund bekannt als „Apps auf Rezept“, dürfen auch in die Patientenakte schreiben und darin lesen, außer … Spannung … man will das nicht.

Die typische Nutzer*in der zukünftigen ePA hat also ein hohes Vertrauen in quasi alles. Nur ist das etwas idealistisch gedacht. Die gematik, die in Deutschland verantwortlich ist für die technischen Vorgaben bei der Digitalisierung des Gesundheitswesens, hat dazu selbst eine Umfrage gestartet, wie es um das Vertrauen in die Datensicherheit der ePA bestellt ist. Und kommt auf ein eher bescheidenes Ergebnis: Gerade einmal 24 Prozent der ärztlichen Praxen sagten dabei, sie vertrauten der Technik.

Zero Trust versus Gesundheitsdaten als Allgemeingut

Eigentlich finde ich das aus Cybersecurity-Sicht ja durchaus spannend. Das niedrige real vorhandene Grundvertrauen in ein digitales System wie die ePA passt wunderbar in zeitgemäße Sicherheitsmodelle wie zero trust. Vertraue niemals, überprüfe immer alles auf Herz und Nieren. Immerhin hat die gematik sogar verstanden, dass zero trust die Prämisse für Datensicherheit in der Zukunft ist, zumindest rein technisch.

Aber was nützt das, wenn diesem technischen Gedanken auf der anderen Seite eine Vorstellung von „Gesundheitsdaten als Allgemeingut“ gegenüber steht? Denn Teil der Pläne des Ministeriums ist auch, dass die Wissenschaft in Zukunft Zugriff auf alle Daten bekommen soll (in pseudonymisierter Form zwar, aber dennoch). Auch wenn es den kommerziellen Interessen der „industriellen Gesundheitswirtschaft“ dient (S. 7 und weitere). Lassen Sie mich durch, ich bin Arzt.

Schlimmer noch: Das Deutsche Netzwerk Versorgungsforschung weigert sich in einer aktuellen Stellungnahme beharrlich, technische Sicherungsmaßnahmen wie verteiltes Rechnen im Kontext von Forschungsdaten auch nur zu akzeptieren. Beim verteilten Rechnen werden Berechnungen auf Daten von verschiedenen Parteien so untereinander aufgeteilt, dass keine Partei Daten anderer Parteien zu Gesicht bekommt.

Dazu kommt in der Strategie die seltsam anmutende Floskel „ermöglichender Datenschutz“ (S. 23). Das Konzept ist eigentlich bekannt. Es heißt informierte Einwilligung, auf neudeutsch Opt-in. Aber angewendet wird es nicht, zumindest nicht laut den Plänen des Ministeriums.

Stattdessen wird dort Finnland als strahlendes Vorbild genannt (S. 28), ein Land, das seit 20 Jahren erfolgreich Gesundheitsdaten zentral speichert. Wahlweise kommen in der Pressekonferenz auch schiefe Vergleiche aus Estland dazu: Das dortige System X-Road verwendet gar keine Blockchain, wie in der Pressekonferenz behauptet wurde.

Etwas seit 20 Jahren im Digitalen erfolgreich und vertrauenswürdig geschafft zu haben, ist eines. Aber 20 Jahre sind im Digitalen mindestens mehrere Generationen technischer Wandel. Finnland oder Estland hatten eben auch ein paar Jahre Zeit, um Vertrauen in ihre Gesundheitssysteme aufzubauen. In Deutschland versuchen wir das jetzt in weniger als zwei Jahren zu schaffen. Aber von oben herab.

Dabei ist Vertrauen ein Prozess, der maximal in Schrittgeschwindigkeit abläuft. Vertrauen entsteht immer individuell auf Augenhöhe. So wie ganz individuell im vertraulichen ärztlichen Gespräch mit der jeweiligen Patient*in im analogen Leben. Manche Menschen müssen schon sehr genau prüfen, wem sie sich medizinisch anvertrauen, erst recht im Digitalen.

„So etwas wie Sie behandeln wir nicht“

Nun könnte man im Sinne des Wunsches nach einem digitalen Gelingen ja großzügig annehmen, dass die Medizin als solche generell vertrauenswürdig und ohne Benachteiligung sei. Dachte ich auch, bis ich folgendes hörte vor einiger Zeit: „So etwas wie Sie behandeln wir nicht.“

Wer diesen Satz im medizinischen Kontext noch nicht gehört hat, wem wegen seiner persönlichen Identität bisher keine Behandlung verweigert wurde, mag jetzt gerne weiterscrollen bis zur nächsten Überschrift. Für diese nie benachteiligte Gruppe von Menschen funktioniert wahrscheinlich sogar das Versprechen des Gesundheitsministeriums, dass Test- und Trainingsdatensätze „diskriminierungsfrei auf die jeweiligen Zielgruppen angewandt werden können“ (S. 25). (Das Passiv in dem Satz steht da übrigens wirklich genau so und weckt nicht unbedingt Vertrauen.)

Wir sind digitale Individuen, aber mit ganz unterschiedlichen Bedürfnissen an und Vertrauen in digitale Systeme. Und wir tun gut daran, digitale Gesundheitssysteme nicht aus Sicht der Mehrheit zu denken. Sondern aus Sicht derer, die von solchen Systemen diskriminiert werden könnten.

Ein zweiter Warn-App-Moment?

Der Fairness halber muss gesagt werden, dass medizinische Forschung im Sinne des Gemeinwohls sinnvoll ist, speziell wenn diese Erkenntnisse der Allgemeinheit zurückgegeben werden. Aber: Auch wenn die Motive gut sind, schützen sie nicht vor möglichen negativen Folgen.

Und deswegen sei mir zum Schluss noch ein nostalgischer Rückblick erlaubt: Ich fühle mich in diesen Tagen stark erinnert an die Diskussion um Contact-Tracing-Apps im April 2020. Auch damals stand die Einführung von technischen Lösungen für einen Großteil der Bevölkerung bevor, mit möglichen guten wie schlechten Auswirkungen für uns alle. Die strategischen Ziele waren klar, Infektionsketten unterbrechen, der gemeinwohlorientierte Nutzen war auch Konsens.

Nur waren der genaue Weg und die harten Leitplanken dorthin eben nicht so klar. Es wäre jetzt höchste Zeit, sich daran zu erinnern, dass wir damals eine durchaus intensive, aber erfolgreiche digitalpolitische Diskussion darüber geführt haben, wie wir solche Systeme gestalten müssen in unser aller Interesse.

Vertrauen ist ein Weg aus vielen kleinen Schritten – auch wenn das mit der digitalen Zivilgesellschaft manchmal zu nerven scheint. Es werden entweder Zeiten des sehr intensiven Austauschs oder Zeiten des sehr schnellen Scheiterns.

11 Ergänzungen

  1. Ich habe, u.a. auch Bianca Kastl’s, öffentliche Kommentare während der Pandemiezeit (auch besonders hinsichtlich der Luca-App) nahezu täglich mitgelesen.
    Für ihre kritischen Worte damals wie heute: Herzlichen Dank.

    Für mich steht fest:
    Wird die ePA so kommen, wie sie aktuell seitens Min. Laterbauch u.a. propagiert wird:

    Ich will den Sch*** so(!) nicht.
    Ich will diskriminierungsfrei(!) widersprechen dürfen.
    Wann, wo und wie geht das?
    Ich möchte das natürlich auch selbst prüfen können, das über mich keine ePA angelegt wurde/ wird.

  2. Danke 8)

    “Finnland oder Estland hatten eben auch ein paar Jahre Zeit, um Vertrauen in ihre Gesundheitssysteme aufzubauen.“ und leider hat die deutsche Politik die letzten Jahre dazu genutzt, Vertrauen in Digitalisierung zu zerstören. Was man nicht versteht erstmal abzulehnen, weil der Handelnde Übles im Schilde führen könnte ist nicht irrational, wenn es auf entsprechenden Erfahrungen basiert.

    Nur braucht die Gesellschaft Vertrauen, um jenseits einer Autokratie der stärksten zu funktionieren. Durchgehend Zero Trust kann sich nur leisten, wer sich das leisten kann, und das sind sehr wenige auf Kosten aller anderen. Dieses Vertrauen muss sich die Gesellschaft erarbeiten, gegen diese wenigen Stärksten. Wie Peter Thiel so ehrlich sagt: seine Freiheit ist nicht mehr mit einer Demokratie vereinbar. Leider steht auch die SPD auf der Seite von Thiel.

  3. Danke Bianca für diese kluge und differenzierte Betrachtung! In allen Punkten kann ich beipflichten.
    Was mir nur fehlt, ist ein Hinweis auf eine Perspektive, wie die erkennbaren und erahnbaren Schwachstellen behoben werden könnten, BEVOR schlimmeres passiert.
    Was ist mit der informationellen Selbstbestimmung, also der Frage, welcher Arzt welche anderen Befunde zu sehen bekommt?
    Wie soll das System gegen Missbrauch „von innen“ (unbefugte Datenabfragen) geschützt werden?
    Wie soll das System gegen Cybercrime geschützt werden, außer durch gesund beten?
    Wahrscheinlich muss erst ein größeres Datenleck auftreten. Dann werden sich alle Verantwortlichen verwundert die Augen reiben „Oh, das konnte ja niemand ahnen“.
    Wenn ich sehe, wie viel „gewollt“ hier am Werke ist und wie wenig Konzept, wird mir ganz schlecht.

  4. Vertrauen verbietet sich in einem Land, das auch nach dem Regierungswechsel immer noch Edward Snowdens Freiheit auf dem Gewissen hat, – es wäre nicht „Vertrauen“, sondern mangelnde Information.
    Aber eigentlich möchte ich fragen, was Anke Domscheit Berg hier gemeint hat, wieso kann ein Gesundheitsminister das des Bundesdatenschutzbeauftragten entziehen?

    „Für die Akzeptanz der Patientenakte dürfte noch ein weiteres Kriterium wichtig sein: Datenschutz. „Gesundheitsdaten gehören zu den sensibelsten Daten überhaupt“, sagt Linken-Digitalexpertin Anke Domscheit-Berg. Sie kritisiert, dass Lauterbach den Bundesdatenschutzbeauftragten bei der Umsetzung der Pläne entmachtet und ihm ein Vetorecht entzogen habe.

    „Herr Lauterbach vernachlässigt den Datenschutz“, sagt auch Martin Tschirsich vom Chaos Computer Club. Damit wolle der Minister offenbar kurzfristig schneller vorankommen, allerdings sei das zu kurz gedacht.

    ZDFheute hat den Bundesdatenschutzbeauftragten Ulrich Kelber um ein Interview gebeten. Kelber, ebenso wie Lauterbach SPD-Mitglied, lehnt eine Stellungnahme allerdings „aus politischen Gründen“ ab. Das allerdings spricht dann doch Bände.“

    Quelle: https://www.zdf.de/nachrichten/politik/e-patientenakte-digitalisierung-gesundheiteswesen-lauterbach-100.html

  5. Korrektur: wieso kann ein Gesundheitsminister das *Vetorecht* des Bundesdatenschutzbeauftragten entziehen?

    1. In dem er das in das Gesetz schreibt und der Bundestag das beschließt. Die Zuständigkeit und Kompetenz des BfD ist gesetzlich geregelt.

      Dass ein vorgreifendes „Vetorecht“ und ein nachgehendes „Ahnden von DSGVO-Verstössen“ verschiedene Dinge sind, ist klar, oder?

  6. Zu „So etwas wie Sie behandeln wir nicht.“

    Nun gut, ein Zahnarzt behandelt keine Knochenbrüche. Das ist okay. Nicht okay ist der Ausdruck: „So etwas wie Sie“. Woher will der Arzt wissen, was „sowas wie sie“ denn ist. Und selbst wenn er das wüßte, die Aussage hätte lauten müssen: „Gehen sie bitte zum Kollegen xyz. Der kennt sich damit aus“. „Sowas wie sie“ werte ich als dreiste persönliche Negation und Diskreditierung, eine Reaktion auf die eigene Unfähigkeit dieses Arztes oder seines Personals.

    Was mir ein wenig an dem Artikel fehlt ist der Zusammenhang zwischen Digitalisierung und Diskriminierung. Der wird zwar hier in einem gemeinsamen Kontext beschrieben (und ist auch leider sehr real), doch wie gehen wir damit um (siehe Corona-App), wie vermeiden wir Diskriminierung und die daraus folgenden Ungerechtigkeiten? Dazu müsste man die Ursachen diskutieren, die zu einem guten Teil auch technischer Natur und klar formulierbar sind. Man müsste wirtschaftliche Interessen aufzeigen und natürlich auch einen Nutzen nachweisen. Die Aussage der Politik, Daten für Forschung zu brauchen, ist sicher korrekt. Doch das ist eine Binsenweisheit und in dieser Allgemeinheit ein gefährliches pseudo-Totschlagargument, nicht geeignet für eine objektive Abwägung. Die Gefahr des Missbrauchs von Gesundheitsdaten ist mir einfach viel zu groß. Wer nun meint, das sei alles ja anonym, der macht es sich ein wenig zu einfach.

    Ein wenig konkreter hätte ich es schon von der Politik. Die Frage ist nur, wer das dann noch lesen würde oder könnte…

  7. Ein sehr guter Beitrag.
    „…Beim deutschen digitalen Gesundheitswesen bin ich mir nicht so ganz sicher, wem dieses System eigentlich nützt…. Seltsamerweise geht es aktuell völlig vorbei an denen, die es doch ins Zentrum stellen sollte: die Patient*innen.“
    Ja, das trifft es sehr gut. Weil wir Patienten keinen wirklichen Vorteil haben aber sicherlich große Nachteile: Die sensibelsten Daten eines Menschen in der Hand des Staates von der Geburt bis zum Tode – über Generationen hinweg

    Völlig klar, dass da eher die Gesundheitsindustrie und deren „Forschung“ – und vielleicht sogar die Polizei (Blutgruppe, Artzberichte, Psychologeische Gutachten) schon eher ein (sehr großes) Interesse hat.
    Hat Hr. Lauterbach schon gesagt, ob er schon seine Gesundheitsdaten in die ePA hochgeladen hat ? Ach ja … Kassenpatienten zuerst. Wissen die eigentlich alle, was „Opt-In / -Out“ bedeutet ?

    Interessant, dass es früher „Opt-IN“ hieß!
    Die Gematik war wohl auch überrascht, dass es jetzt im Gesetzesvorschlag „Opt-Out“ heißt:
    https://www.gematik.de/anwendungen/e-patientenakte
    Zitat: „Die elektronische Patientenakte als Opt-out-Variante gibt es derzeit noch nicht, sie ist in Planung. Die gematik (!) hat den Prüfauftrag für die „ePA für alle“ erhalten. Was Opt-out heißt, erklären wir im Video. Die hier auf der Seite veröffentlichten Inhalte beziehen sich auf den derzeit aktuellen Status der ePA (Opt-in-Prinzip)“

    Am 09.03.2023 – Tagesthemen 22:15 Uhr:
    Zu Beginn der Aufzeichnung bis zum Kommentar (MEINUNG) hören wir alles über die „schöne neue Welt“ der Digitalisierung des Gesundheitssystem und die Unterschlagung, alle Ärzte würden noch wie in den 50er Jahren ohne Computer arbeiten
    Danach gab es einen ausgezeichneten kritischen Beitrag von Bettina Schön zu diesem Thema, im krassen Gegensatz dazu:
    https://www.audiolibrix.de/de/Podcast/Listen/1986644/09-03-2023-tagesthemen-22-15-uhr
    Der Kommentar / Meinung ab Minute 8:43 zu hören.

  8. Meine eigenen Erfahrungen zum Thema Schutz von personenenbezogenen Daten im Gesundheitswesen lassen mich etwas dran zweifeln, dass mit der Einführung der ePA der Datenschutz geschwächt werden würde.

    „Schicken Sie den Befund Bitte nicht als email.“ – „Richtig, nicht als email“ – 2 Tage später eine Email.

    „Ich hab den Bericht vom Dr. X schon da“ – „Hatte ich die Einwilligung gegeben?“ – „Wollen sie jetzt behandelt werden oder rumzicken?“

    Bekomme eine Rechnung schriftlich, im Umschlag liegt auch noch die Rechnung von jemand anderem …

    Es gibt wahrscheinlich auch Gegenbeispiele.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.