Missing Link: Die neue digitale Verwundbarkeit des Patienten
Die Digitalisierung von Patientenakten und zentrale Speicherung von Gesundheitsdaten schafft nicht nur Vorteile, sondern auch Risiken. Sind wir gewappnet?
Deutschland hinkt bei der Digitalisierung des Gesundheitswesens hinterher und andere Länder seien viel weiter, heißt es immer wieder. Doch ohne eine sichere Basis kann die Digitalisierung im Gesundheitswesen nicht gelingen und ohne einen dauerhaft funktionierenden Schutz auch nicht: Stellen Sie sich vor, Sie erhalten einen Brief von der Post. Darin teilt Ihnen eine Behörde, ein Gesundheitsdienstleister, Ihre Krankenkasse oder Ihr Arzt mit, dass Ihre Daten von Unbekannten gestohlen wurden. Ihre persönlichen Gesundheitsdaten aus der Patientenakte, die für Sie oder über Sie geführt wurde. Diese Geschichte wurde Anfang 2023 bittere Realität für einen Krebspatienten in Schottland, so die Zeitung Daily Record.
Ein anderer Fall: Jemand nimmt mit Ihnen Kontakt auf und erpresst Sie mit Daten, die er aus einer Gesundheitsdatenbank über Sie und Ihre Familie hat. So passiert vor Kurzem in London, wie die unabängige Behörde für die Wahrung von Informationsrechten und Datenschutz in UK berichtet. Ein Mitarbeiter eines Call-Centers, das für Anrufe des National Health Service (NHS) unter der Nummer 111 zuständig ist, hatte seine Zugriffsrechte benutzt, um unberechtigt zielgerichtet die Daten dieser Familie auszuspähen und anschließend missbräuchlich zu verwenden. Beim National Health Service (UK), erreichbar unter der Nummer 111, handelt es sich um das britische Pendant des ärztlichen Notdienstes, in Deutschland ist die 116 117 zuständig. Anlass für das rechtswidrige Verhalten des Call-Center-Mitarbeiters war eine Beschwerde des Familienvaters gegen ihn, nachdem es bei einem 111-Anruf zwischen den beiden zu einer Meinungsverschiedenheit über die Entfernung zu einem medizinischen Zentrum gekommen war.
Der Journalist Brian Krebs berichtet über einen weiteren Fall, der ebenfalls aufhorchen lässt: Am 3. Februar 2023 verhaftete die französische Polizei einen von Europas Most Wanted Fugitives und Finnlands Most-Wanted Hacker. Dem Beschuldigten wird unter eine anderem eine Beteiligung an der Erpressung eines Psychotherapie-Zentrums und dessen Patienten in Finnland vorgeworfen. Im Oktober 2020 hatte es dort ein Datenleck gegeben. Die Täter versuchten in der Folge die Institution zu erpressen und drohten die Veröffentlichung der sensiblen Patientendaten an. Da kein Geld gezahlt wurde, wurde die Erpressung auf einzelne Patienten ausgedehnt. Anscheinend verlief das vonseiten der Täter nicht wie gewünscht: die Therapie-Unterlagen von mehr als 22.000 Patienten wurden online veröffentlicht. Dabei unterlief den Kriminellen ein Fehler, der zur Identifizierung des nun festgenommenen Hackers führte, der bereits eine längere Karriere hinter sich hat.
Fazit dieser Vorfälle: rechtlich ein Datenschutzverstoß und eine Straftat in der Statistik. Für die betroffenen Opfer ein Albtraum.
Größter Datendiebstahl in den USA
Im Gesundheitsbereich gab es in den USA bisher den wohl größten Datendiebstahl weltweit, gemessen an der Anzahl von Betroffenen. Das zweitgrößte Krankenversicherungsunternehmen der USA gab im Januar 2015 bekannt, dass es Opfer eines umfassenden Angriffs auf seine Daten geworden war. Ziel der Täter waren die Datenbankserver. Betroffen von der Attacke waren alle Abteilungen innerhalb des Unternehmens selbst, sowie viele Konzerntöchter. Die Untersuchungen ergaben, dass die Täter zwischen dem 2. Dezember 2014 und dem 27. Januar 2015 die Electronic Protected Health Information (ePHI) von fast 78,8 Millionen Personen gestohlen haben, darunter Namen, Sozialversicherungsnummern, medizinische Identifikationsnummern, Adressen, Geburtsdaten, E-Mail-Adressen und Informationen zum Beruf.
Alle Informationen, die zur Identifizierung eines Patienten verwendet werden können, gelten als "geschützte Gesundheitsinformationen" (Protected Health Information = PHI). PHI in elektronischer Form werden als ePHI bezeichnet – das kann zum Beispiel eine digitale Kopie eines medizinischen Berichts sein. Wegen Verstößen gegen die geltenden Sicherheitsrichtlinien (Health Insurance Portability and Accountability Act HIPAA), die technische, physische und administrative Sicherheitsvorkehrungen für geschützte Gesundheitsinformationen verlangen, musste das Unternehmen eine Rekordstrafe von 16 Millionen US-Dollar zahlen. Dazu kamen im Jahr 2020 noch mal 48,2 Millionen US-Dollar, die das Unternehmen in einem Vergleich an den Staat zahlte, um die Ermittlungen mehrerer Generalstaatsanwälte zu einem Ende zu bringen.
Anschließend kam noch eine Zahlung für die Datendiebstahlsopfer in Höhe von 115 Millionen US-Dollar obendrauf. Ob das Unternehmen die finanziellen Schäden mit seiner Cyberversicherung decken konnte, ist nicht bekannt. Auch ändern diese Strafen nichts daran, dass die persönlichen Daten von fast 80 Millionen Patienten nun in der Hand von Unberechtigten sind. Die Tat wurde später einer chinesischen Hacker-Gruppe zugeschrieben. Abgesehen von Spionage ist auch der Verkauf der Daten ein lukratives Geschäft.
Wissen ist Macht
Vor allem aufbereitete Informationen mit Angaben zu Personen, Vorgängen und Sachverhalten sind wertvoll. Personenbezogene Gesundheitsdaten gehören zu der Kategorie der höchst sensiblen persönlichen Informationen. Der Kreis von möglichen Lesern solcher (analoger) Papierakten war bisher grundsätzlich begrenzt: auf die Arztpraxis und die dort arbeitenden Personen mit Zugriff auf die Akten. Bei einer zentralen digitalen Speicherung kann der Zugriff weit größer ausfallen, als geplant, gedacht und vor allem gewünscht. In Deutschland gibt es nach Artikel 9 der DSGVO besondere Vorgaben, um Gesundheitsdaten zu verarbeiten.
Die zentrale Speicherung von Gesundheitsdaten ergibt ein umfassendes Wissensmonopol – einen Datenschatz, den es so noch nicht gegeben hat. Wissenschaft und Forschung haben ein nachvollziehbares Interesse am Zugriff auf diese zentrale Datenquelle. Die EU plant den Datenaustausch von Gesundheitsdaten für Forschungszwecke zu vereinfachen und will dafür einen gemeinsamen europäischen Gesundheitsdatenraum einrichten.
Begehrlichkeiten auch aus unerwĂĽnschten Ecken
Während in Deutschland noch über die Weitergabe der Abrechnungsdaten 73 Millionen Versicherter an eine zentrale Stelle gestritten wird, werfen wir einen Blick auf eine Reihe von Ereignissen der letzten Zeit, bei denen die Gesundheitssysteme das Ziel von Angriffen waren, personenbezogene Gesundheitsdaten zur Beute wurden oder Daten missbräuchlich verwendet wurden. Aus früheren Fehlern und Erfahrungen lässt sich lernen, um Risiken rechtzeitig zu erkennen, Gefahren abzuwehren und es somit insgesamt besser oder anders zu machen.