Es ist das Jahr 2019. Ärzte haben nach wie vor ausgedruckte Medikationspläne. Das liegt vor allem an Bedenkenträgern. Datenschutz ist wichtig, keine Frage. Aber Medikationspläne, E-Patienten-Akten oder Notfalldatensätze könnten Menschenleben retten. Ein Plädoyer gegen den deutschen Perfektionismus.
Am 17. September 2018 erblickte Vivy das Licht der virtuellen Welt. Das mediale Echo war groß. Zahlreiche Tageszeitungen und Online-Medien sahen in Vivy sogar eine Alternative zur längst überfälligen elektronischen Patientenakte (ePA) der Betreibergesellschaft gematik. Mehr als 13,5 Millionen Versicherte diverser GKVen oder PKVen hatten plötzlich ein Tool, um mit ihrem Arzt Befunde auszutauschen. Doch Sicherheitsmängel trübten die guten Aussichten.
Gesundheits-App mit Kinderkrankheiten
Bei Vivy liegen alle Daten in einer Cloud. Mit Zustimmung ihres Patienten können Ärzte darauf zugreifen. Einen Tag nach dem Start der App sprach der IT-Experte Mike Kuketz aus Karlsruhe von einer „Datenschutz-Bruchlandung“: Vivy kommunizierte mit zahlreichen Servern in den USA, was laut Datenschutz-Grundverordnung ein No-Go ist. Es handelte sich seinen Analysen zufolge um verschiedene Werbe- und Analytikmodule als Teil von Vivy. Welche Daten hier übermittelt würden, wüssten teilweise nicht einmal die App-Entwickler selbst, schreibt Kuketz. Vivy musste nachbessern.
Schon einen Monat später kam der nächste Aufschrei, und zwar von IT-Sicherheitsexperte Martin Tschirsich. Zur Übertragung der Daten seien lediglich sogenannte Session IDs mit fünf Kleinbuchstaben verwendet worden, so Tschirsich in einem Vortrag. Als Beispiel nennt er https://vivy.com/abcde. Es sei einfach, diese fünf Kleinbuchstaben (hier abcde) zu variieren, um an Dokumente zu gelangen. Wer beim Durchprobieren Erfolg hatte, fand nicht nur medizinische Aufzeichnungen, sondern auch gleich personenbezogene Daten des Versicherten.
Auch gegen Phishing, also gegen das Abgreifen von Zugangsdaten, war Vivy nicht gefeit. Tschirsich fand auch bei der Verschlüsselung Schwächen. Die Kritikpunkte wurden mittlerweile behoben. „Zu keinem Zeitpunkt war ein Zugriff auf die Gesundheitsakte von einem oder mehreren Nutzern möglich“, heißt es in der offiziellen Stellungnahme der Entwickler. Daran zweifelt Tschirsich. Beim Chaos Communication Congress 2018 berichtet er immer noch von Schwachpunkten. So bekommen Patienten über „verseuchte“ Dokumente Zugriff auf den Arzt-Rechner.
Alles weiter wie gehabt
Für Kritiker ist damit klar: Elektronische Strukturen sind noch lange nicht so weit, dass sie sich zum flächendeckenden Einsatz eignen. Mit diesem Totschlag-Argument haben sie seit Jahrzehnten jegliche Entwicklung ausgebremst.
Ein Blick zurück: Nach dem Lipobay®-Skandal im Jahr 2001 wurde klar, wie hilfreich elektronische Patientenakten wären. Damals ließ sich kaum feststellen, wer neben Cerivastatin noch Gemfibrozil eingenommen hatte. Beide Lipidsenker können in Kombination zur Rhabdomyolyse, also zur Zerstörung von Muskelgewebe führen. Man schlug vor, Medikationspläne auf einer Chipkarte zu speichern. Bei Verschreibung eines neuen Medikaments sollten mögliche Wechselwirkungen automatisch analysiert und der Arzt gewarnt werden.
Die geplante Umsetzung einer elektronischen Gesundheitskarte (eGK) zum 1. Januar 2006 scheiterte jedoch an Abstimmungsschwierigkeiten. Zwischen 2007 und 2013 sprachen sich Delegierte bei mehreren Ärztetagen klar dagegen aus. Als Begründung führten sie datenschutzrechtliche Bedenken an. In dem Stil lief es trotz Hermann Gröhes (CDU) hochgepriesenem E-Health-Gesetz weiter. Heute stehen wir vor einem Scherbenhaufen:
Das heißt im Klartext, etwas mehr Mut könnte Menschenleben retten. Wir verzichten auf lebensrettende Tools, weil wir datenschutzrechtliche Bedenken haben. Andere Nationen sind deutlich mutiger.
Deutschland – digitales Entwicklungsland?
Wen wundert es, dass wir bei einer kürzlich veröffentlichten Analyse der Bertelsmann-Stiftung ziemlich mies abschneiden. Digitalisierungsexperten haben die Health-IT in 17 Ländern analysiert und einen Score ermittelt. Spitzenreiter sind unter anderem Estland, Kanada und Dänemark. Die Schweiz (Platz 14), Frankreich (15), Deutschland (16) und Polen (17) erreichten die letzten Plätze. Dr. Thomas Kostera von der Bertelsmann-Stiftung fordert von der Politik, entschlossener zu handeln, Nutzer – nicht deren Standesvertreter – stärker mit einzubeziehen. Er kann sich auch ein nationales Kompetenzzentrum vorstellen, das alle Entwicklung unabhängig von Akteursinteressen bündelt.
„Datenschutz wie im 18. Jahrhundert“
Dorothee Bär (CSU) ist das alles zu wenig. „Tatsächlich existiert in Deutschland aber ein Datenschutz wie im 18. Jahrhundert“, sagt die Staatsministerin für Digitalisierung. „Wir haben in Deutschland mit die strengsten Datenschutzgesetze weltweit und die höchsten Anforderungen an den Schutz der Privatsphäre.“ Sie wünscht sich Abstriche beim Datenschutz, um die Digitalisierung im Gesundheitswesen voranzutreiben. Physische Karten seien nicht zwingend erforderlich, Bär bevorzugt Smartphone-Anwendungen. Karl Lauterbach (SPD) grätscht über Twitter rein: „Wir werden auf keinen Fall den Datenschutz für Patienten lockern. Das Modell Kombi Gesundheitsakte plus Smartphone App basiert ja gerade auf besonders sicheren Daten.“Bildquelle: pixabay.com, pexels