Scharfe Abrechnung an der ePA: Kelber kritisiert Sicherheit und Reklamekampagne

Inhaltsverzeichnis

Als unsicher und intransparent bezeichnet der ehemalige Bundesdatenschutzbeauftragte, Prof. Ulrich Kelber, die Digitalisierung des deutschen Gesundheitswesens und insbesondere die elektronische Patientenakte (ePA). In einem Vortrag bei einer Veranstaltung der freien Ärzteschaft warf er der Politik vor, Vertrauen durch oberflächliche Werbung zu verspielen und grundlegende Sicherheitsstandards zu ignorieren.

Reklame statt Aufklärung und hohe Widerspruchsquote

Kelber kritisierte die Kommunikationsstrategie des Bundesgesundheitsministeriums zur ePA scharf. Anstatt Bürgerinnen und Bürger umfassend über Risiken und notwendige Abwägungen aufzuklären, setze das Ministerium auf eine „reine Reklamekampagne“, die das Projekt lediglich als „super und „toll“ anpreise. Wer nur versuche „zu überreden, anstatt zu überzeugen“, so Kelber, der werde auf Dauer nicht vorwärtskommen.

Diese Vorgehensweise führe zu einem Vertrauensverlust, der sich bereits in den Zahlen zeige: Die Widerspruchsquoten gegen die ePA seien mit fünf bis zehn Prozent für ein Opt-out-System ungewöhnlich hoch. Außerdem sei die Gruppe der überzeugten Gegner, die aktiv widersprechen, fast genauso groß oder sogar größer als die Gruppe der überzeugten Befürworter, die sie aktiv nutzen. Die offiziellen Zahlen zur Nutzung schwanken stark zwischen drei und zwölf Prozent. Dies untergrabe laut Kelber auch die Repräsentativität der Daten, die für die Forschung so wichtig sein sollen. Zudem sei die Qualität der Daten, etwa der Abrechnungsdaten, oft unzureichend.

Technische Mängel und instabiler Betrieb

Auch technisch sei das System alles andere als ausgereift. Kelber rechnete vor, dass die offiziell angegebene Betriebsstabilität von 96 Prozent „eine Stunde Ausfall pro Tag“ bedeute. Diese Ausfälle fänden höchstwahrscheinlich nicht nachts, sondern unter Last während der Praxiszeiten statt. Er kritisierte die Haltung der Gematik, die sich zwar unzufrieden zeige, aber auf die Zuständigkeit privater Dienstleister verweise. Das sei „mindestens eine Lücke in dem System“. Bei einem staatlich gelenkten Projekt müsse es wirksame Sanktionsmöglichkeiten gegen unzuverlässige Anbieter geben.

Zusätzlich werde der sichere Zugang für Versicherte systematisch erschwert, nicht nur aufgrund der schwierigen Ersteinrichtung. Die Politik habe dazu ihren Beitrag geleistet. Unter anderem, weil sie es den Krankenkassen durchgehen lasse, die PIN für die elektronische Gesundheitskarte (eGK) nicht zu versenden. „In Wirklichkeit“ lasse sie das Kelber zufolge „auch durchgehen, weil sie auf Dauer das ja gar nicht mehr so haben will“. Gleichzeitig wurde der kostenlose PIN-Rücksetzbrief für den elektronischen Personalausweis aus Kostengründen abgeschafft, was auch diese sichere Alternative unattraktiv mache. Stattdessen würden Nutzer zu unsichereren Methoden wie der biometrischen Anmeldung gedrängt.

Überhasteter Rollout ohne echte Testphasen

Kelber prangerte zudem den grundlegenden Entwicklungsprozess der Digitalisierungsprojekte an. Er forderte, IT-Systeme im Gesundheitswesen endlich so zu entwickeln, wie es professioneller Standard sei. „Pilotieren, evaluieren, eventuell wieder zurückgehen und nur wenn der Evaluierungsprozess gelaufen ist, dann skalieren, also ausrollen.“ Stattdessen gebe es überhastete Einführungen, die als Tests deklariert werden, aber keine sind. Als Beispiel nannte er die Testphase der ePA in den Modellregionen. Direkt danach sollten sie alle nutzen. Ein solches Vorgehen lasse keine Zeit, „die Ergebnisse zu prüfen“ oder Fehler zu korrigieren. Angesichts von 25 Jahren Versäumnis, so Kelber, komme es auf ein weiteres halbes Jahr für eine qualitativ hochwertige Einführung nicht an.

Sicherheitslücken und „Flickenteppich“-Mentalität

Den Kern seiner Kritik bildeten die massiven Sicherheitsbedenken. Die ePA sei in ihrem jetzigen Zustand nicht sicher. Anstatt Sicherheitslücken grundlegend zu schließen, würden sie oft nur notdürftig „gestopft“. Kelber bemängelte, dass die Sicherheitsarchitektur nicht transparent gemacht werde und Angriffe, die mit den „Ressourcen eines Staates“ durchgeführt werden, bei der Prüfung von vornherein ausgeschlossen würden. Das sei ein Unding bei einer Datenbank mit den Gesundheitsdaten von rund 70 Millionen Menschen.

Besonders alarmierend sei, dass die Schlüssel zur Verschlüsselung der Gesundheitsdaten bei den Betreibern liegen. Kelber nannte hier explizit die Anbieter: IBM, die dem US-Recht unterliegt und Daten an US-Sicherheitsbehörden herausgeben muss, sowie die österreichische Firma RISE, „die in Österreich vom öffentlichen Dienst wegen ihrer Beziehung zu Wirecard und den russischen Geheimdiensten keine Aufträge mehr bekommt“. Nach wie vor sei nicht geklärt, „ob das wirklich vollständig gestoppt ist“. Dass solche Anbieter Zugriff auf die Schlüssel haben, sei „überhaupt nicht state of the art“.

Auch die geplante Umsetzung des European Health Data Space (EHDS) in Deutschland sieht Kelber kritisch. Insbesondere die Entscheidung, das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) zum zentralen „Health Data Access Body“ zu machen, hält er für „nicht glücklich“. Das Problem sei ein massiver Interessenkonflikt: Da das BfArM eigene Forschungsinteressen habe, würde es damit gleichzeitig über seine eigenen Forschungsanträge entscheiden. Kelber warnte davor, dass „nicht jemand selber seine eigenen Forschungsanträge in einem Haus bewährt“. Eine klare Trennung von Aufsicht und Forschung sei keine unnötige Bürokratie, sondern essenziell, um Vertrauen zu schaffen.

Als weiteren Beleg für die Aushöhlung des Datenschutzes nannte Kelber das geplante EU-Omnibusgesetz. Dieses Gesetz sei „nochmal gefährlicher“ und ein Beispiel für übereilte Gesetzgebung. Kelber kritisierte den Entstehungsprozess scharf. Der Datenschutzteil sei nach seinem Kenntnisstand „innerhalb von fünf Tagen“ geschrieben worden – ohne Folgenabschätzung, ohne Evidenzprüfung und ohne jegliche Debatte oder Beteiligung von Stakeholdern. Das Ergebnis sei ein Gesetz, das grundlegende Definitionen aufweiche: So sollen Daten, die einmal anonymisiert wurden, selbst dann nicht mehr unter die Datenschutzgrundverordnung fallen, wenn sie von Dritten später wieder re-identifiziert werden könnten.

Zudem werde der Begriff der Gesundheitsdaten aufgeweicht. Während die Behandlungsdaten einer Onkologie-Patientin geschützt blieben, würden ihre bloßen Aufenthaltsdaten im Onkologiezentrum nicht mehr als Gesundheitsdaten gelten – derartige Daten entstehen beispielsweise bei Terminbuchungen. Besonders kritisch sah Kelber, dass Training von KI pauschal zu einer Rechtsgrundlage für Datenverarbeitung werden soll – ohne weitere Abwägung, selbst bei hochsensiblen Daten.

Deutschlands Abstieg zur „dunklen Kraft“

Während der geplante European Health Data Space (EHDS) die EU-Staaten auf ein gemeinsames Mindestniveau bei der Datensicherheit zwinge, liege Deutschland aktuell darunter. Seinen Vortrag schloss Kelber mit einer düsteren Anspielung auf J.R.R. Tolkiens „Herr der Ringe“: Anstatt wie früher ein Vorreiter im Datenschutz zu sein, sei Deutschland durch solche Vorhaben zu „einer der dunklen Kräfte in Mittelerde geworden“, die aktiv versuche, europäische Standards zu senken. Die Reise in die Digitalisierung des Gesundheitswesens sei, so Kelber in Anlehnung an Bilbo Beutlin, „eine gefährliche Sache“, bei der man genau aufpassen müsse, wohin die Füße einen tragen.

(mack)