Von Susan Bonath
Unbeeindruckt von allen Warnungen hat Bundesgesundheitsminister Karl Lauterbach (SPD) die elektronische Patientenakte (ePA) vorangetrieben. Am 15. Januar ist sie in die Pilotphase gestartet, schon im Februar soll sie für alle gesetzlich Versicherten gelten, die nicht widersprochen haben. Nun laufen Verbände aus den Bereichen Medizin, Verbraucherschutz und Informatik Sturm. In einem Offenen Brief fordern sie vom Minister, das Projekt zu stoppen, um zuerst gravierende Sicherheitslücken zu beseitigen.
Lauterbach auf Werbetour
Lauterbach, der schon als “Corona-Minister” mit einigen Falschbehauptungen etwa die fragwürdige Impfkampagne (Präparate seien “nebenwirkungsfrei”) vor allem zum Vorteil der beteiligten Pharmakonzerne vorangetrieben hatte, verbrachte den Beginn dieses Jahres vor allem damit, für die ePA zu werben. Alle vorgetragenen Bedenken zu belegten Risiken schlug er erwartbar in den Wind.
Die ehemalige Ethikratchefin und heutige Kuratorin der Bertelsmann-Stiftung, Alena Buyx, sprang ihm dabei wie schon in der Corona-Zeit zur Seite, wie RT DE berichtete. Sie räumte zwar ein, die Akte sei nicht völlig sicher. Sie sei es aber wert, das Risiko einzugehen, beschwichtigte sie und rührte wie seinerzeit für die Corona-Impfungen die Werbetrommel.
Verbände fordern unabhängige Kontrollen
Mediziner, IT-Spezialisten und Verbraucherschützer sehen das nach wie vor ganz anders. Mit einem offenen Brief richteten sich nun 28 Verbände und 17 Einzelpersonen aus verschiedenen Fachbereichen an den Noch-Gesundheitsminister. Vor einem bundesweiten Start der ePA müssten “alle berechtigten Bedenken glaubhaft und nachprüfbar ausgeräumt werden”, fordern die Unterzeichner. Um das sicherzustellen, seien Patienten, Ärzte, IT-Fachleute und zivile Organisationen “substanziell” in die gegenwärtig laufende Testphase einzubeziehen. Ein flächendeckender Einsatz dürfe erst nach einer “gemeinsamen positiven Bewertung der Erfahrungen in den Modellregionen” erfolgen, mahnen sie in ihrem Brief. Auch danach müssten unabhängige Fachleute die Chance haben, die ePA regelmäßig unabhängig auf Sicherheitslücken zu prüfen. “Risiken sind selbst dann nicht ausgeschlossen”, betonen sie.
Angesprochen wird überdies das seit langem kritisierte “Berechtigungsmanagement”. Jeder Mitarbeiter des Gesundheitswesens kann demnach auf sensible Daten der Patienten zugreifen, beispielsweise zu bestimmten psychischen und anderen Erkrankungen sowie Medikationen mit Potenzial zur Stigmatisierung.
“Unsicherer als Online-Banking”
Zu Wochenbeginn hatte der zu den Unterzeichnern gehörende Verein Freie Ärzteschaft dem Bundesgesundheitsministerium (BMG) eine “verantwortungslose Vernebelungstaktik” vorgeworfen. Deren stellvertretende Bundesvorsitzende Silke Lüder berief sich darin vor allem auf die jüngsten Auswertungen durch den Chaos Computer Club (CCC), die erhebliche Bedenken aufgeworfen hätten. Sie sagte:
“Niemand, der sich wirklich mit dem Projekt näher befasst hat, glaubt aber an die Märchen aus dem BMG. Ärztliche Psychotherapeuten und Psychiater, Psychologen, Kinderärzte, Landesdatenschützer, IT-Sicherheitsexperten und auch Bundesärztekammerpräsident Dr. Reinhard warnen oder raten davon ab, die ePA in der jetzigen Form zu nutzen.”
So sei die Sicherheit geringer als beim Online-Banking. Tatsächlich würden die Daten in einer Cloud bei den Privatunternehmen IBM und Rise gespeichert, die mit Entwicklung und “Datensicherheit” betraut worden waren. Es existiere nicht einmal eine sogenannte “Ende-zu-Ende-Verschlüsselung”. Der Zugriffsschlüssel für alle Daten sei “einfach nur die Karte”, beschrieb Lüder das Problem.
Ihr zufolge genügt es für Betrüger etwa, im Besitz von Namen, Geburtsdaten und Versichertennummern zu sein, um sogar selbst Karten fremder Identitäten zu erhalten. Damit könne man dann auf die gesamten Krankengeschichten der jeweiligen Patienten zugreifen. Lüder verwies auf einen jüngeren Vorfall: “Kürzlich standen 300.000 Versichertendaten dieser Art frei im Internet, nach dem Hacking eines Krankenkassendienstleisters.”
Jeder Angestellte kann reingucken
Die vom CCC untersuchten Möglichkeiten, sehr leicht Daten beliebiger Versicherter illegal abzugreifen, seien allerdings nicht das einzige Einfallstor für Missbrauch. Bereits legal könnten “alle Mitarbeiter sämtlicher Berufsgruppen im Gesundheitswesen” die Daten im erweiterten Umfang einsehen, wie Verbandschef Wieland Dietrich darlegte. Dies seien in Deutschland insgesamt etwa zwei Millionen Menschen. “Das ist ein Unding – und das würde die ärztliche Schweigepflicht künftig abschaffen”, empörte er sich.
Dietrich zufolge kann demnach “jeder Mitarbeiter einer Apotheke oder etwa einer Fußpflegepraxis” nach dem Einstecken der Karte alles über die Krankheitsgeschichte der jeweiligen Patienten erfahren. Woraus sich seiner Meinung nach ein “ungeheuerliches Erpressungspotenzial” ergeben könne. Kein verantwortungsvoller Arzt könne das mittragen. Dennoch würden dann Ärzte künftig “unter Androhung finanzieller Strafen vom Staat gezwungen, die Arztbriefe unserer Patienten faktisch öffentlich zu machen”.
CCC: Freie Bahn für Kriminelle
Sicherheitsforscher vom CCC hatten Ende Dezember vorgeführt, wie Betrüger sich mit geringem Aufwand Gesundheitskarten Dritter, aber auch gültige Heilberufs- und Praxisausweise beschaffen ließen. Auch ohne im Besitz fremder Karten zu sein, ließen sich überdies “relativ einfach” sogenannte Zugriffstoken auf Daten von Versicherten erstellen. “Damit hätten Kriminelle auf einen Schlag Zugriff auf mehr als 70 Millionen Akten”, warnte der CCC.
Grundsätzlich sehen die Computerspezialisten durchaus Vorteile einer ePA. Diese müsse allerdings den individuellen Sicherheitsbedarf berücksichtigen, so der CCC. Risiken seien unabhängig zu bewerten und transparent zu kommunizieren, der Entwicklungsprozess sei offen fortzusetzen. “Vertrauenswürdige digitale Infrastrukturen können nur entstehen, wenn der Entstehungsprozess selbst Vertrauen ermöglicht.”
Widerspruch noch möglich
Ob allerdings der noch unbekannte Nachfolger Lauterbachs nach der Bundestagswahl umschwenken wird, steht in den Sternen. Denn immerhin verdienen auch Privatunternehmen daran mit. Mit diesen wird es sich wohl auch die künftige Politik, egal welcher Coleur, erfahrungsgemäß weniger gern verscherzen als mit einem Teil der Bürger. Noch können letztere der ePA widersprechen.
Mehr zum Thema – Elektronische Patientenakte: Weit offen zum Ausschnüffeln
