Diagnose Brustkrebs. Diese Schreckensnachricht ist ein persönlicher Schicksalsschlag. Aber was, wenn Sie gar nicht als erste davon erfahren? Und dann auch nicht vom Arzt ihres Vertrauens, sondern über eine Absage beim Versicherungswechsel oder der Jobsuche?
Es ist noch keine drei Wochen her, dass ein weltweiter Datenskandal mit Patientendaten bekannt wurde. Millionen Datensätze aus MRT-, Röntgen- und Tomographiesystemen wurden aufgrund von unzureichend gesicherten Servern so gespeichert, dass der Zugriff prinzipiell jedem möglich war. Selbst in Deutschland waren 41 Prozent der Server ungeschützt.
Datenschutzmängel bei der TI
Der Vorfall sollte auch die Entscheidungsträger der deutschen Gesundheitspolitik aufhorchen lassen. Gänzlich unerschüttert fassten diese stattdessen einen Beschluss, der erkennbar auf schnellere Entscheidungen in Sachen digitale Gesundheitsversorgung abzielt: Zwei Gremien der gematik werden zu einem gebündelt, das Einstimmigkeitsprinzip wird aufgehoben.
Nun sind langsamere Entscheidungen nicht zwangsläufig gründlichere und für den Datenschutz ist unerheblich, wie viele Gremien sich mit ihm befassen. Dass die Telematikinfrastruktur in Sachen Datenschutz Mängel aufweist, ist jedoch nicht von der Hand zu weisen.
So warnten im Juni 2019 mit MEDI GENO Deutschland, der Freien Ärzteschaft und dem Freien Verband Deutscher Zahnärzte drei Verbände vor Sicherheitslücken in der Telematikinfrastruktur. Sie hatten IT-Experten beauftragt, um die Technologie zu prüfen.
Konnektor: Selbst bei ordnungsgemäßer Installation unzuverlässig
“Bei der Prüfung der Schutzprofile fanden die Experten verschiedene ungeklärte Fragen zur Sicherheit des TI-Konnektors. Insbesondere schützt der Konnektor selbst bei ordnungsgemäßer Installation nicht zuverlässig gegen Angriffe in die Praxissysteme, obwohl das von Seiten der Kassenärztlichen Bundesvereinigung (KBV) gegenüber den Ärzten behauptet wird“, erläutert Dr. Werner Baumgärtner, Vorstandsvorsitzender von MEDI Baden-Württemberg und MEDI GENO Deutschland.
Immerhin hat sich die gematik inzwischen zu den bislang weitgehend ungeklärten Haftungsfragen geäußert und erklärt, bei vorschriftsgemäßer Installation und bestimmungsgemäßem Konnektor-Gebrauch scheide eine Haftung des Leistungserbringers nach der DSGVO wie auch jeder anderen Rechtsnorm in jedem Fall aus. Wo aber die Grenzen einer „vorschriftsmäßigen Installation“ und eines „bestimmungsmäßigen Gebrauchs“ liegen, werden am Ende wohl Gerichte entscheiden. Praxisinhabern bleibt nur das Vertrauen darauf, dass der DvO („Dienstleister vor Ort“) die Hardware vorschriftsmäßig installiert hat.
Besser mit Sorgfalt und Bedacht
Dass viel Zeit vergehen kann, bis Mahner und Warner in Sachen Datenschutz ernst genommen werden, zeigt der eingangs genannte Datenskandal: Schon im Jahr 2016 veröffentlichte Oleg Pianykh, Professor für Radiologie an der Harvard Medical School, eine Studie zu den ungeschützten PACS-Servern. Grund zum Handeln sah bis 2019 niemand. Deutschland befand sich auf Platz sieben der am schlechtesten gesicherten Standorte. Spitzenreiter der traurigen Liste waren Iran, Thailand und Spanien mit jeweils 85, 71 und 48 Prozent ungeschützter Server.
Der Gesundheitsminister und alle weiteren Verantwortlichen wären also gut beraten, die Digitalisierung des Gesundheitswesens mit Sorgfalt und Bedacht voranzutreiben. Projekte wie die elektronische Gesundheitsakte mit der Zielmarke 2021 durchzupeitschen, weil dann die Wahlperiode endet, birgt zu große Risiken. Sicher: Jens Spahn hat jedes Recht, seine politischen Ambitionen zu verfolgen. Aber nicht um den Preis der Sicherheit unserer Patientendaten.
