Stellungnahme auf DPNW-Pressemitteilung

Meine persönliche Stellungnahme zur

Pressemitteilung des Deutschen Psychotherapeuten Netzwerks zu seiner Veranstaltung am 30.11.2019 in Frankfurt

Pressemitteilung kopiert von
https://ddrm.de/neues-buendnis-zum-schutz-von-patientendaten/

Die Sorge um den Schutz sensibler persönlicher Daten sollte uns alle um- und antreiben. Vor diesem Hintergrund ist es ausdrücklich begrüßenswert, wenn sich Patienten sowie Ärzte (hier stellvertretend gemeint für Ärzte, Zahnärzte, Psychotherapeuten und Apotheker) Gedanken darüber machen, ob denn bei den geplanten Vorhaben der Datenschutz hinreichend berücksichtigt wird – und wenn nicht, dass auf diese Missstände aufmerksam gemacht wird.

Damit diese an sich gute Sache funktioniert, sollte sie meiner Meinung nach auf Fakten beruhen und nicht auf nachweislichen Falschaussagen. Diese sind zwar zur Stimmungsmache besser geeignet, erweisen dem Thema an sich aber einen Bärendienst. Denn wenn belegt werden kann, dass die angesprochenen Befürchtungen und Sorgen (scheinbar) ausschließlich auf erfundenen Gefahren und Fehlannahmen beruhen, wird die gesamte Beschäftigung mit dem so wichtigen Thema diskreditiert.

In diesem Sinne würde ich mich persönlich sehr freuen, wenn wir die wichtige Debatte um Digitalisierung im Gesundheitswesen im Allgemeinen und die Debatte um die elektronische Patientenakte im Speziellen, auf Basis belegbarer Fakten sowie validierbarer Prognosen führen würden.
Hierfür möchte ich gerne meinen Beitrag leisten, indem ich die Falschaussagen der obigen Pressemitteilung benenne und ihnen die Faktenlage gegenüberstelle.

“Ärztliche Schweigepflicht über gesetzliche Willkür” – Arbeitsbündnis gegen Datenmissbrauch in der Medizin gebildet

„Frankfurt/Bonn: Am vergangenen Samstag trafen sich in Frankfurt über 20 Datenschutz-Initiativen und zahlreiche kritische Bürger. Eingeladen hatte das Deutsche Psychotherapeuten Netzwerk. Die Teilnehmer einigten sich auf ein gemeinsames Arbeitsbündnis gegen Datenmissbrauch in der Medizin. “Es ist fünf vor zwölf. In einem Jahr sollen alle Daten gesetzlich Versicherter in einer Cloud gespeichert werden und dort nicht nur allen anderen Behandlern eines Patienten, sondern auch der Forschung zugänglich gemacht werden.” so der Netzwerkvorsitzende Dieter Adler.“

Diese Aussage ist in mehrfacher Hinsicht falsch, sowohl hinsichtlich der Datenmenge, der betroffenen Versicherten, der Zugriffsberechtigten als auch der Datennutzung:

Nicht „alle gesetzlich Versicherten“, sondern nur die Versicherten, die sich selbst freiwillig zur Nutzung einer ePA entschließen, erhalten eine ePA. Sie muss durch den Versicherten selbst aktiv beantragt werden, erst dann wird sie angelegt. Vorher können keine Daten für den Versicherten in der ePA gespeichert werden – da sie für diesen Versicherten schlicht nicht existiert!
Nicht „alle Daten“ des Versicherten werden in dessen ePA gespeichert (so er sich denn für diese entschieden hat), sondern ausschließlich die Daten, von denen er selbst möchte, dass diese in seiner ePA gespeichert werden. Und dies auch nicht für Daten allgemein, sondern nur für Daten in Form von Dokumenten. Denn nur Dokumente, nicht Einzeldaten, können in der ePA gespeichert werden. Und der Versicherte entscheidet je Dokumente, ob dieses in der ePA gespeichert werden soll und er kann jederzeit jedes Dokument aus seiner ePA unwiederbringlich löschen, wenn er es nicht mehr in seiner ePA haben möchte.
Die Dokumente der ePA werden ausdrücklich nicht „allen anderen Behandlern eines Patienten“ zugänglich gemacht, sondern nur den Einrichtungen, denen der Versicherte ausdrücklich ein Zugriffsrecht einräumt. Ohne explizit durch den Versicherten erteilte Zugriffsrechte hat niemand außer dem Versicherten Zugriff auf dessen ePA. Und diese Zugriffsrechte sind zeitlich immer begrenzt, der Versicherte entscheidet über die Dauer (von 1 Tag bis 18 Monate).
Die Erteilung eines Zugriffsrechts kann auch nicht erschlichen werden, da für die Erteilung die PIN-Eingabe durch den Versicherten erforderlich ist (bei Zugriffserteilung in der Praxis) bzw. er die Zugriffsrechte selbst an seinem eigenen Smartphone durchführt (bei starker Authentisierung des Versicherten gegenüber seiner App).
Auch darf der Versicherte nicht „alle Behandler“ berechtigen, da die Gruppe derer, denen er Zugriff gewähren darf, gesetzlich eingeschränkt ist auf: Ärzte, Zahnärzte, Psychotherapeuten, Apotheker, Krankenhäuser sowie die Gehilfen dieser Leistungserbringer. Es ist technisch ausgeschlossen, dass er anderen Institutionen Leserechte auf seine ePA gewähren kann.
Es ist ausdrücklich falsch, dass die ePA „auch der Forschung zugänglich gemacht“ wird. Forschungseinrichtungen gehören wie unter 3 beschrieben ausdrücklich nicht zu den Einrichtungen, denen Zugriff gewährt werden kann.
Da die Daten in der ePA versichertenindividuell verschlüsselt sind, kann auf die Daten auch nur zugegriffen werden, wenn der Versicherte hierzu Zugriffsrechte erteilt. Ein „Absaugen“ der Daten im Hintergrund ohne das Wissen des Versicherten wird technisch zuverlässig verhindert.

„Das Deutsche Psychotherapeuten Netzwerk warnt seit Jahren vor den weitreichenden Folgen der Speicherung von Patientendaten an einem zentralen Ort. Aber damit waren sie nicht allein. Viele Initiativen kämpfen in Deutschland für einen besseren Datenschutz der medizinischen Daten und gegen die blindwütige und unüberlegte Zwangsdigitalisierung der Medizin.“

Datenschutz ist sehr wichtig. Wenn „besserer Datenschutz“ verlangt wird, dann ist das löblich. Für eine inhaltliche Debatte ist hierfür jedoch das Ausgangsniveau des Datenschutzes zu betrachten, welches verbessert werden soll. Wenn dann konkrete Schwachpunkte benannt werden, können diese auch nach Möglichkeit verbessert werden.
In Sachen ePA ist für die von der gematik verantworteten Komponenten und Dienste der Datenschutz jedoch schon sehr gut berücksichtigt:

Nur der Versicherte entscheidet, ob überhaupt Daten in seiner ePA gesammelt werden.
Nur er entscheidet, welche Dokumente dort gesammelt werden.
Er hat die volle Kontrolle sowohl darüber, welcher Einrichtung er Zugriff erteilt (oder wieder entzieht) als auch, welche Dokumente in der ePA verbleiben (er kann jedes Dokument jederzeit löschen).
Jeder Zugriff wird protokolliert, Missbrauch ist dadurch für den Versicherten erkennbar.
Nicht nur die Dokumente, auch die Metadaten der Dokumente sowie die Protokolle sind vor unberechtigtem Zugriff geschützt.
Die Mechanismen, die zum Schutz der Informationen zum Einsatz kommen, sind „State-of-the-art“ mit nachgewiesener Wirksamkeit.
Die Herstellerfirmen müssen in aufwändigen formalisierten Prüfprozessen gegenüber unabhängigen Dritten nachweisen, dass ihre Produkte den strengen Sicherheits- und Datenschutzanforderungen genügen. Diese unabhängigen Dritten werden in ihrer Prüfarbeit erneut durch unabhängig Dritte geprüft!
Der stabile Betrieb des Gesamtsystems wird kontinuierlich überwacht, ebenso wie die Informationslage zu neu entdeckten grundsätzlichen IT-Angriffsszenarien. Werden potenzielle Schwächen oder tatsächliche Lücken identifiziert, müssen die Beteiligten diese umgehend melden und nachbessern. Hierfür hat die gematik ein Weisungsrecht. Somit werden nicht nur die sicherstmöglichen Systeme gebaut, sondern es wird auch der Tatsache Rechnung getragen, dass Restfehler menschlich sind und neue Bedrohungen über die Zeit entstehen können. Diesen gezielt und umgehend mit Lösungen zu begegnen ist Bestandteil der ePA- und TI-Lösung und darauf werden alle beteiligten Industriepartner und Institutionen verpflichtet:
Die gematik hat das koordinierende Datenschutz- und Informationssicherheitsmanagementsystem (DSDMS/ISMS) etabliert, an dem die Industriepartner proaktiv beteiligt sind. Zusätzlich überwacht die gematik mittels des eigenen „Computer Emergency Response Team der Telematikinfrastruktur“ – kurz gematik CERT – die Sicherheitslage der TI und ihrer Fachdienste und koordiniert im Schadenfall die Eindämmung und Beseitigung des Schadens.
Gleichzeitig steckt das Bewusstsein über später potentiell aufkommende Sicherheitsschwächen von Beginn an im Design der ePA, um eventuell auftretende Data Breaches in ihrem Umfang zu begrenzen:
In den Systemen eines zugelassenen ePA-Providers werden nicht – wie sonst in anderen IT-Bereichen üblich – alle Daten aller Versicherten in einer großen Datenbank gespeichert. (Eine solche Form der Speicherung ist der Grund, warum heute bei Datenschutz- und Informationssicherheitsverletzungen gleich zehntausende oder Millionen von Daten abfließen.) Vielmehr erhält jeder Versicherte bei dem ePA-Provider seiner Wahl eine eigene Datenbank, in der nur und ausschließlich seine Daten gespeichert sind. Die Verarbeitungsprozesse für seine ePA sind vollständig von den Verarbeitungsprozessen anderer Versicherten-ePAs getrennt. Selbst der Betreiber der ePA hat keinen Zugriff auf die laufenden Verarbeitungsprozesse seiner eigenen Systeme. Würde die ePA des Versicherten dennoch bei diesem Provider gehackt, wären die Daten aller anderen bei diesem Provider aktiven Versicherten davon nicht betroffen.

Vor diesem Hintergrund sollte die Forderung nach „besserem Datenschutz“ sicherlich etwas konkretisiert werden. Denn der Datenschutz der TI und der ePA befindet sich durch obige Maßnahmen bereits auf einem kaum zu vergleichenden, extrem hohen Niveau.

Datenskandale der letzten Jahre, besonders in jüngster Zeit, haben bewiesen, dass die Technologie bei weitem nicht so sicher ist wie versprochen.

Hier werden Äpfel mit Birnen verglichen. Ist bewiesen, dass deutsche Bergwerke unsicher sind, weil es beispielsweise in China immer wieder zu schweren Grubenunglücken kommt?
Wie ich im Abschnitt zuvor ausgeführt habe, werden für die TI und die ePA Anstrengungen hinsichtlich nachgewiesener Sicherheit unternommen, die in anderen „normalen“ gewerblichen Bereichen der IT unüblich, weil „zu teuer“, sind. Dort wird für Datenschutz und Informationssicherheit nicht in gleicher Form investiert, wie bei der TI und der ePA. Wenn Vergleiche mit anderen IT-Systemen angebracht sind, dann eher im hoheitlichen Bereich der Verschlusssachen. Wieviel Datenskandale gab es da in letzter Zeit?

Selbst die für die Gesundheitscloud zuständige gematik GmbH – überwiegend im Staatsbesitz- mußte unlängst zugeben, dass 90% der Arztpraxen unsicher angeschlossen sind – sprich für Hacker angreifbar. Das konnte der Datenschutzexperte Jens Ernst aus Schwerte nachweisen: vor laufenden Kameras des NDR hackte Ernst eine Arztpraxis im Handumdrehen – selbstverständlich mit Testdaten.

Wie schon an verschiedenen anderen Stellen ausgeführt, wurden die Praxen falsch an das Internet angeschlossen. Ja, hierdurch waren die Praxen angreifbar – und dies gänzlich unabhängig von der TI oder der ePA. Datenskandale der jüngsten Zeit über abgeflossene Patientendaten zeigen genau dies: Die bestehenden Praxis-IT-Systeme unabhängig von der TI und der ePA müssen IT-sicherheitstechnisch gestärkt werden.
Ich behaupte: Wird eine Praxis ausschließlich über den Konnektor via Internet an die TI angeschlossen (Reihenschaltung) und nutzt die Praxis für Online-Aktivitäten ausschließlich die Dienste der TI, so ist die Praxis praktisch so sicher, als wäre sie nicht an das Internet angeschlossen. Sicherheitsprobleme entstehen erst, so auch in den Schilderungen und „Tests“ des Herrn Ernst, wenn Ports neben der TI / dem Konnektor offen bleiben oder leichtsinnig Anhänge von E-Mails unbekannter Quellen geöffnet werden und keine Virenscanner in Betrieb sind.

Dass die Patientendaten mit veralteter Technologie gespeichert werden sollen, hatte die Fachpresse schon lange kritisiert.

Eine Mär, die sich schon lange hält. Welche Technologie der TI oder der ePA soll veraltet sein? Die eGK? Denjenigen, die die eGK als veraltete Technologie bezeichnen, sei geraten, sich ihr Smartphone einmal näher anzuschauen. Was müssen sie dort einsetzen, damit sie überhaupt telefonieren und ins Internet gehen können? Genau: Eine SIM ihres Providers. Was ist eine SIM? Eine Smartcard, ebenso wie die eGK. Veraltet? Offensichtlich nicht, wenn es das Mittel der Wahl für Abermillionen von Kunden ist und sich diese überall im Einsatz befindet.
Der Grund ist einfach: Es gib kaum andere Technologien, die die Aufgabe des Schutzes von Schlüsselmaterial für Verschlüsselung und sicheren Identitätsnachweis sicherer erbringen, als Smartcards. Und es gibt keine andere Technologie, die diese Sicherheitsleistung auch nur ansatzweise genauso günstig erbringt wie eine Smartcard. Daher verlassen sich neben den Telefonprovidern beispielsweise auch die Regierungen dieser Welt auf diese Technologie, wenn sie die Personalausweise und Reisepässe mit genau dieser Technologie ausstatten.

Dass die jetzige Version der elektronischen Patientenakte in der Gesundheitscloud (ePA) ein Milliardengrab ist, musste vergangene Woche auch Gematik Chef Dr. Markus Leyck Dieken in einem Interview mit dem ärztlichen Nachrichtendienst eingestehen: “Damit die ePA in den meisten Arztpraxen pünktlich zum 1. Januar 2021 funktioniert, ist eine vierte Variante des Konnektors erforderlich.” Der Konnektor ist ein etwa 2800 Euro teueres Verbindungselement, das den Praxisrechner über das Internet mit dem Cloudserver der Gesundheitscloud verbindet. Der muss jetzt offenbar in vielen Arztpraxen ausgetauscht werden. Auf Kosten der gesetzlichen Krankenversicherungen.

Auch hier wieder drei Fehler:

Es gibt keine ominöse „Gesundheitscloud“. Das Wesen einer Cloud ist es, dass IT-Services über einen zentralen Systemverbund eines Anbieters angeboten werden, und der Kunde diese vorrangig ohne eigene Soft- und Hardware nutzen kann. Die Verarbeitungsvorgänge innerhalb der Cloud sind für den Kunden oft nicht oder nur sehr schwer nachvollziehbar. Dies ist weder bei der TI noch bei der ePA der Fall.
Die ePA selbst ist ein klassisches Client-Server-System. Bei ihr findet die Datenhaltung versichertenindividuell verschlüsselt auf den Servern des ePA-Providers statt, die Datenverarbeitung selbst erfolgt aber zum überwiegenden Teil in dezentralen Komponenten:
* beim Arzt in dessen Konnektor und dessen Primärsystem
* beim Versicherten in dessen lokal betriebenem Versichertenfrontend
Alle Komponenten und Dienste sind benannt, ihre Funktionen beschrieben, die Betreiber zugelassen und die Zulassungen öffentlich einsehbar. Es herrscht volle Transparenz bezüglich der Art und des Ortes der Verarbeitung.
Da die Umsetzungsarbeiten zur ePA erst begonnen haben, ist es unmöglich, dass die „ePA ein Milliardengrab“ ist.
Es ist falsch, dass „Der [Konnektor] jetzt offenbar in vielen Arztpraxen ausgetauscht werden“ muss. Ein einfaches Firmwareupdate reicht aus, d.h. die im Feld befindlichen Konnektoren können mit einem Softwareupdate für die ePA fit gemacht werden. Denn auf diese Form der Nutzenausweitung auf spätere Anwendungen war der Konnektor von vornherein ausgelegt.

Auch Dritte haben jetzt Interesse an den Daten angekündigt. So forderte im Juni der Verband der Betriebsärzte, die Deutsche Gesellschaft für Arbeitsmedizin und Umweltmedizin (DGAUM), die Politik auf, ebenfalls Einblick in die Gesundheitscloud zu bekommen. Damit werden Einstellungs- und Weiterbeschäftigungsuntersuchungen zum “Kinderspiel” – der Arbeitgeber kann alle Krankheiten des Arbeitnehmers lückenlos erfahren. Daten- und Persönlichkeitsschutz wird so Farce: wer dem Betriebsarzt den Einblick verweigert, kann die Einstellung oder Weiterbeschäftigung vermutlich getrost vergessen. Und Schwangerschaften würden auch sofort publik.

Wer den Versicherten zwingt ihm Zugang zu seinen Daten zu gewähren, handelt gesetzeswidrig. Dabei ist es unerheblich, ob er den Versicherten zwingt, ihm Zugang zur ePA zu gewähren, ob er den Versicherten zwingt, seine papiergeführte Akte mitzubringen oder ob er ihn zwingt, ihm Einblick in andere privat durch den Versicherten geführte elektronische Dokumentationen zu gewähren. Durch die ePA ändert sich demnach weder die Gesetzeslage noch die Bedrohungslage für Bewerber oder Angestellte. Um das persönliche Risiko weiter zu minimieren (für den Fall, dass ein potenzieller Arbeitgeber ungesetzlich handeln sollte und ein Bewerber sich gezwungen sieht, darauf einzugehen), kann auf das Speichern von potenziell problematischen Dokumenten in der ePA verzichtet werden. Wie bereits ausgeführt entscheidet nur der Versicherte, welche Dokumente überhaupt in seiner ePA gespeichert werden.
Ferner können technischen Zugriff auf die ePA nur kassenärztlich zugelassene Praxen erhalten. Ein Betriebsarzt kann folglich bereits technisch schon gar keinen Zugriff auf die ePA erlangen – unabhängig davon, ob der Versicherte ihn freiwillig oder gezwungen für einen Zugriff berechtigen will.

In einer repräsentativen Umfrage des Psychotherapeuten Netzwerks wussten 44 % der befragten Versicherten nichts von der Gesundheitscloud. 86% lehnten die zentrale Speicherung ihrer medizinischen Daten in der Cloud ab. Vergessen werden darf dabei nicht, dass in der Cloud brisante Daten gespeichert werden. Mit oft weitreichenden Folgen für Betroffene. Während grippale Infekte oder eine Zahnwurzelbehandlung noch harmlos sind, können Geschlechtskrankheiten, Schwangerschaftsabbrüche, psychotherapeutische Behandlungen und Daten sowie Suchtmittel oder Alkoholabhängigkeit hieraus weitreichende Folgen haben. Nicht zu vergessen: die Daten müssen mindestens zehn Jahre gespeichert bleiben. “Da kann schon mal eine depressive Krise, die bei einem Zwölfjährigen psychotherapeutisch behandelt wurde -vielleicht weil sich die Eltern getrennt haben-, mit 21 noch zum Verhängnis werden: der junge Mensch weiß vielleicht nichts mehr davon – die Akte in der Cloud schon!”

Auch hier wieder eine Reihe falscher oder verfälschender Aspekte:

Wie zuvor ausgeführt, entscheidet der Versicherte – gerne mit beratender Unterstützung seines Arztes – welche Dokumente in seiner ePA gespeichert werden. Potenziell stigmatisierende Dokumente, insbesondere solche ohne große Relevanz für andere Behandlungen, sollten entsprechend nur mit großem Bedacht in der ePA gespeichert werden. Denn der Nutzen des Speicherns von Dokumenten in der ePA, die sich auf die psychische Gesundheit beziehen , ist gering, potenzielle Folgen aber vorhanden.
Nicht vergessen werden sollte dabei auch: Zugriff auf die ePA haben ausschließlich Personen, die der ärztlichen Schweigepflicht unterliegen bzw. von den Ärzten, für die sie arbeiten, auf Verschwiegenheit verpflichtet wurden. Die Weitergabe von vertraulichen Dokumenten – unabhängig davon, ob sie unrechtmäßig über ein PVS oder eine ePA heruntergeladen und dann weitergegeben würden, steht unter empfindlichen Strafen und stellt für die potenziellen Missetäter ein existenzbedrohendes Risiko dar. Da der Versicherte über die revisionssichere Protokollierung sehen kann, welche Einrichtung auf welche Dokumente zugegriffen hat – und die beteiligten Leistungserbringer dies auch wissen – besteht für den Versicherten die Möglichkeit der Missbrauchserkennung – und für die zugriffsberechtigten Leistungserbringer eine entsprechende Sensibilisierung und ein Abschreckungspotential gegen Datenmissbrauch.
Die ePA ist die Akte des Versicherten. Sie ist entsprechend von der ärztlichen Dokumentations- und Aufbewahrungspflicht vollständig entkoppelt. Die zehnjährige Aufbewahrungspflicht der Ärzte spiel in der ePA folglich keine Rolle!
Entscheidet sich der Versicherte auch nur eine Sekunde, nachdem ein Dokument in die ePA eingestellt wurde, dass er das Dokument doch nicht in der ePA haben möchte, kann er es umgehend löschen. Diese Löschrecht hat der Versicherte jederzeit und bezogen auf jedes Dokument in seiner ePA, unabhängig davon, ob es von ihm selbst, einem Arzt oder seiner Kasse einstellt wurde.

Das Arbeitsbündnis gegen Datenmissbrauch in der Medizin spricht sich nicht grundsätzlich gegen die Digitalisierung aus. “Wir alle arbeiten mit Computern, speichern dort die Patientendaten ab. Bisher nur in der Praxis selbst, auf Rechnern, die selbstverständlich nicht am Internet angeschlossen sind. Jetzt sollen wir alle zwangsweise am Internet angeschlossen werden und ebenso zwangsweise die Daten unserer Patienten dort ablegen.”, so der Netzwerk-Vorsitzende Dieter Adler.

Diese Aussage ist schlicht falsch. Richtig ist, dass es sich bei der ePA um die Akte des Versicherten handelt. Nur der Versicherte allein entscheidet, welche Daten in seiner ePA gespeichert werden. Und: Der ihn behandelnde Arzt darf ihn hinsichtlich der Frage, welche Dokumente er denn in seiner ePA speichern sollte, gerne beraten!

Das neugegründete Arbeitsbündnis gegen Datenmissbrauch in der Medizin will die Öffentlichkeit informieren und gleichzeitig mit Behandler- und Patientenvertretern sowie Datenschützern neue Modelle der Digitalisierung entwickeln.

Das Informieren der Öffentlichkeit ist gut, wichtig und richtig! Aber bitte nicht mit diesen Falschaussagen / „Fake News“, sondern mit echten Fakten und einer Beschreibung der realen Zustände. Erst dann ist ein sachlicher und zum Wohle des Patienten / Versicherten zielgerichteter Austausch möglich.

Diesen Artikel teilen auf:

Persönliche Stellungnahme zur Pressemitteilung des Deutschen Psychotherapeuten Netzwerks vom 03.12.2019 bezüglich TI und ePA