Elektronische Patientenakte: Keine Gesundheitsdigitalisierung ohne Vertrauen​

Inhaltsverzeichnis

Spätestens seit der Coronakrise wurde deutlich: Deutschland braucht einen neuen Rechtsrahmen, um Gesundheitsdaten zu wissenschaftlicher Forschung nutzen zu können – damals war man mangels hinreichender Regelungen im nationalen Infektionsschutzrecht bei der Beurteilung der pandemischen Lage häufig auf Daten aus dem Ausland angewiesen, was die verlässliche Beurteilung vor Ort erschwerte. Doch die Probleme im Gesundheitswesen zeigen sich auch an vielen anderen Stellen, so bei der Nutzung von Krebsregisterdaten, Labor- und Versorgungsdaten sowie im überkomplexen Sozialrecht und vor allem auch im Umgang mit der Sekundärdatennutzung.

Nicht ganz zu Unrecht kritisierten Wissenschaftlerinnen in der Vergangenheit deshalb immer wieder, dass medizinische Forschungsvorhaben nicht durchgeführt werden konnten, obwohl sie fachlich geboten gewesen wären. Dennoch müssen wir in diese Interessenabwägung im Mindesten genauso einstellen, dass Gesundheitsdaten hochsensibel sind und deshalb besonders strenger Anforderungen an Datensicherheit und Datenschutz bedürfen. Aktuell wird das deutsche Gesundheitswesen im Zuge verschiedener gesetzlicher Änderungen deutlich umgestaltet – welcher Faktoren jedoch bedarf es, um die Gesundheitsdigitalisierung in Deutschland nachhaltig voranzutreiben?

Gesundheitsdigitalisierung qua Gesetz

Um dem bisherigen Problem fehlender einheitlicher Datenstrukturen im Gesundheitswesen zu begegnen, hat der deutsche Gesetzgeber mit dem Gesundheitsdatennutzungsgesetz (GDNG), das Ende März 2024 in Kraft getreten ist, einen neuen nationalen Rechtsrahmen zur Nutzung von Gesundheitsdaten zu gemeinwohlorientierten Forschungszwecken und zur "datenbasierten Weiterentwicklung des Gesundheitswesens" geschaffen. Ergänzt wird das GDNG durch das Digitalgesetz (DigiG) für die schnellere Digitalisierung des Gesundheitswesens, das unter anderem die Opt-out-Lösung der Versicherten bei der elektronischen Patientenakte (ePA) vorsieht – das bedeutet, dass dem Versicherten bei fehlendem Widerspruch von der Krankenkasse eine ePA bereitgestellt wird. Das soll die Digitalisierung des Gesundheitswesens schneller und zukünftig flächendeckend vortreiben – auch aufgrund der Vermutung, dass sich die ePA in Deutschland ansonsten nicht durchsetzen könnte. Aktuell versenden die Krankenkassen an ihre Versicherten Briefe, die den Opt-out regeln.

Mehr digitale Möglichkeiten, aber auch Risiken

Wo nun einerseits gesetzlich angeordnet mehr digitalisiert und vernetzt wird, wachsen andererseits auch die Herausforderungen ganz deutlich, denn es geht nicht nur um die Verarbeitung einer Vielzahl besonders sensibler Daten, sondern auch um deren Verknüpfungsmöglichkeit mit pseudonymisierten Daten des Forschungsdatenzentrums (FDZ) Gesundheit. Wie so oft sind in einer zentralen Datenhaltung deutlich größere Risiken für die Datensicherheit zu sehen, indem das FDZ Gesundheit schon jetzt die Abrechnungsdaten aller gesetzlich Versicherten in Deutschland enthält.

Mit der ePA werden künftig zusätzlich pseudonymisierte Gesundheitsdaten an das FDZ übermittelt. In der Gesundheitsdatenforschung wird dabei bereits seit Längerem diskutiert, welche rechtlichen und technischen Anforderungen an eine pseudonyme und anonyme Datenverarbeitung anzulegen sind – Fakt jedoch ist, dass die De-Anonymisierung von personenbezogenen Daten technisch nicht ausgeschlossen werden kann und somit die Verarbeitung von lediglich pseudonymisierten Daten deutlich größere datenschutzrechtliche Risiken birgt, wenn diese im FDZ Gesundheit künftig eine noch stärkere Bündelung erfahren. Hinzu treten die derzeit in ihrer praktischen Umsetzung größtenteils noch unbestimmten Möglichkeiten der Sekundärdatennutzung im künftigen EHDS, bei dem es nicht nur um Forschungsförderung, sondern auch um Politikgestaltung und Regulierung geht.

Von anderen Staaten lernen

Wie vulnerabel der Gesundheitssektor nach wie vor tatsächlich ist, belegen die mittlerweile gefühlt am laufenden Band stattfindenden Cyberangriffe mehr als eindrucksvoll – so jüngst auf die Server der Johannesstift Diakonie in Berlin. Deshalb ist es auch verständlich, dass Patientenvertreter die Opt-out-Lösung für die ePA kritisieren: Zum einen, weil dadurch das Prinzip der informationellen Selbstbestimmung in das Gegenteil verkehrt wird, zum anderen aber auch, weil der Widerspruch gegen die Gesundheitsdatennutzung nicht feingranular genug erklärt werden kann, so zum Beispiel beschränkt auf einzelne Forschungsvorhaben. Immer wieder zeigt sich dabei, dass die Sorge um den Missbrauch von Gesundheitsdaten gerechtfertigt ist. So erlebte der britische staatliche Gesundheitsdienst NHS im Jahr 2024 infolge eines Cyberangriffs einen massiven Databreach, der Millionen Patientendaten umfasste.

Doch auch in Deutschland ist die Telematikinfrastruktur (TI) in der Vergangenheit keineswegs so cybersicher gewesen, wie man es sich gerne gewünscht hätte. Der Chaos Computer Club (CCC) fand beispielsweise schon 2019 Sicherheitslücken in der TI und für die ePA kritisierte er in der Vergangenheit ebenso, dass die Speicherorte von Patientendaten nicht hinreichend cybersicher seien. Nicht zuletzt war in den letzten Jahren die Cybersicherheit in den Arztpraxen selbst auch immer wieder ein Problem. Dies belegt jüngst ein Fall, bei dem in Hamburger Arztpraxen scheinbar gezielt IT-Systeme entwendet wurden, die die Gesundheitsdaten von über 100.000 Patientinnen enthielten. Zwar ist dem deutschen Gesundheitswesen ein Vorfall wie in Großbritannien bislang erspart geblieben – eine Gewähr für die Zukunft ist damit jedoch nicht verbunden und zumindest das Interesse von Cyberangreifern steigt, je mehr Daten zentralisiert gespeichert werden und je größer die technischen Zugriffsmöglichkeiten sind.

Vernünftige Cybersicherheit wichtig

Um diesen Herausforderungen gerecht zu werden, hat die Gematik für den Betrieb des Aktensystems mittlerweile verbindliche ePA-Spezifikationen veröffentlicht, die sich auch mit dem Datenschutz und der Datensicherheit befassen und regelmäßig aktualisiert werden. Vor Kurzem hat das Fraunhofer SIT außerdem einen Prüfbericht (PDF) für das Sicherheitskonzept der Gematik veröffentlicht, der auch die unterschiedlichen Angriffsvektoren und Täterprofile analysiert.

Dazu gehören Innentäter, Außentäter, zu denen APT-Gruppen, Cyberkriminelle, aber auch Hacktivisten mit der Angabe des Ziels "Hacking for fame" gehören. Als Innentäter denkbar wären auch die Betreiber der Dienste. Auch wenn der Bericht zu dem Ergebnis gelangt ist, dass die ePA bereits den Schutz gegen zahlreiche Cyberbedrohungen bietet, zeigt er jedoch ebenso auf, dass noch mehrere Schwachstellen – insgesamt 21 an der Zahl – vorhanden sind, davon vier sogar mit einem hohen Schweregrad. Diese kritischen Schwachstellen betreffen das Backup der Masterkeys, Angriffe auf die Verfügbarkeit durch Innentäter, die Gewährleistung sicherer Entwicklungsprozesse und die Bewertung von Schwachstellen.

Für letztgenannten Aspekt wird eine klare Handlungsempfehlung gegeben: Nicht nur der Analysezeitraum sollte künftig verringert werden, sondern es muss ebenso ein Notdienst zur Bearbeitung von Schwachstellenmeldungen eingerichtet werden. Das macht Sinn, denn auch der im Oktober 2024 beschlossene EU Cyber Resilience Act (CRA) enthält klare Vorgaben für ein Meldewesen, aber auch zum Umgang mit sicheren Entwicklungsprozessen. Für die ePA zu berücksichtigen sind in diesem Zusammenhang deshalb nicht nur die Risiken für die Datensicherheit, sondern ebenso für die Verfügbarkeit, da kritische Gesundheitsinfrastrukturen nicht durch DDoS-Attacken lahmgelegt werden dürfen.

Patientenvertrauen als entscheidender Erfolgsfaktor

Wenn wir somit nun einerseits den deutschen Gesundheitssektor weiter digitalisieren wollen, müssen wir andererseits auch den dadurch neu entstehenden Gefahren angemessen Rechnung tragen – denn einen britischen Vertrauensverlust der Patienten à la NHS können wir uns hierzulande nicht leisten und eine sichere und nachhaltige Digitalisierung im Zeitraffer kann es nicht geben. GDNG und DigiG adressieren zwar bereits verschiedene dieser Herausforderungen, so unter anderem auch durch neue Vorgaben zur IT-Sicherheit in der vertragsärztlichen Versorgung, in den Krankenhäusern und bei den gesetzlichen Krankenkassen selbst.

Überdies werden Forschende mit erweiterten Datenzugriffsrechten nicht nur privilegiert, sondern unterliegen auch neuen strafbewehrten Geheimhaltungspflichten. Hinzu tritt, dass manche der bislang kritisierten Vorgaben auch zugunsten von Patienten getroffen wurden, so etwa die Neugenerierung von Schlüsselpaaren, da Versicherte regelmäßig dazu neigen, ihre elektronische Gesundheitskarte (eGK) zu verlieren oder zu verlegen – wenngleich man auch hier sicherlich trefflich über alternative technische Lösungswege streiten könnte.

Durch das GDNG und DigiG steigen die Möglichkeiten zur Gesundheitsdatenverarbeitung, aber damit zwangsläufig auch die Risiken. Die neuen gesetzlichen Regelungen adressieren Datensicherheit und Datenschutz deshalb an verschiedenen Stellen – einmal mehr, einmal weniger konkret. Fakt aber ist: Jede gesetzliche Regelung ist letztlich nur so gut wie ihre Umsetzung – und wenn wir einerseits bei der hierzulande als rückständig kritisierten Gesundheitsdigitalisierung aufholen wollen, so müssen wir dies mindestens im gleichen Maße auch in Sachen Datensicherheit und Datenschutz tun, denn niemand wird ein nur allzu zügig aufgebautes digitales Gesundheitswesen haben wollen, das uns später mit einem Datensicherheitsdebakel wieder auf die Füße fällt. Sicherlich ist das in den kommenden Jahren eine Herausforderung, aber keine Unmöglichkeit, wenn Wissenschaft, Zivilgesellschaft und Staat an einem Strang ziehen und gemeinsam tragfähige Lösungen für eine nachhaltige Gesundheitsdigitalisierung in Deutschland entwickeln.

Hinweis: Prof. Dr. Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht und Vorsitzender des Digitalbeirats der Gematik.

(mack)