Noch ein kleiner Überblick zum Thema "Digitalisierung im Gesundheitswesen". Der Bundesdatenschutzbeauftragte (BfDI), Ulrich Kelber, hat in seinem letzten Tätigkeitsbericht deutliche Kritik an den Plänen zur elektronischen Patientenakte (ePA) von Gesundheitsminister Lauterbach geäußert. Wir laufen da in ein datenschutzmäßiges und technisches Desaster. Inzwischen wurde auch bekannt, dass dieses gesamte Konzept nicht gegen Cyberangriffe geschützt ist, bzw. es gibt keine Konzepte, was passiert, wenn ein größerer Cyberangriff die Strukturen lahm legt.
Anzeige
BfDI kritisiert elektron. Patientenakte (ePA)
Der Beauftragte für Datenschutz in der Informationstechnik (BfDI), Ulrich Kelber, hat wohl seinen letzten Tätigkeitsbericht vorgelegt. Die Politik konnte sich bisher nicht auf eine Verlängerung der Amtszeit von Ulrich Kelber einigen, hat aber auch keinen Nachfolger bestimmt. Kelber ist daher nur noch geschäftsführend im Amt.
Einer der Kritikpunkte, die von der Presse aus dem Tätigkeitsbericht herausgegriffen wurde, betrifft das "Flagschiffprojekt" von Gesundheitsminister Lauterbach, die elektronische Patientenakte (ePA). Diese soll bis 2025 als Opt-out-Lösung kommen – ich hatte ja mehrfach berichtet. Die Tagesschau hat diesen Punkt in diesem Beitrag aufgearbeitet. Das Spannungsfeld lässt sich so umreißen:
- Das von Bundesgesundheitsminister Karl Lauterbach (SPD) auf den Weg gebrachte Gesetz (siehe Gesundheitsgesetze II: Bundestag beschließt Digitalisierung im Gesundheitswesen (GDNG, DigiG)) sieht vor, dass alle gesetzlich Versicherten Anfang 2025 eine elektronische Patientenakte (ePA) bekommen. Wer das nicht will, muss explizit ein Opt-out gegenüber seiner gesetzlichen Krankenkasse erklären.
- Ulrich Kelber fordert, dass es ein automatisches Befüllen der elektronischen Patientenakte nur mit unkritischen Daten geben dürfe. Andere Daten dürften nur nach Einwilligung der Versicherten in der elektronische Patientenakte (ePA) gespeichert werden.
Die Tagesschau zitiert aus dem Bericht: "Dies gilt insbesondere für Daten, deren Bekanntwerden zu erheblichen Gefährdungen für die Rechte der Versicherten führen, etwa, weil sie Anlass zur Diskriminierung oder Stigmatisierung geben können, darunter Daten zu HIV-Infektionen, Schwangerschaftsabbrüchen oder psychischen Erkrankungen." Der Datenschutzbeauftragte begrüßt zwar die Digitalisierung im Gesundheitswesens und in der Pflege. Aber diese Digitalisierung müsse diese datenschutzkonform ablaufen.
Hier stellt Kelber auf eine Befürchtung ab, die mir bereits länger im Hinterkopf herumgeht: Wenn die elektronische Patientenakte nicht datenschutzkonform gestaltet wird – und eine opt-out-Regelung dürfte der DSGVO entgegen laufen, könnte das Ganze juristisch gekippt werden. Dass das Ganze auch technisch wackelig unterwegs ist und bis jetzt kein Datenschutzkonzept öffentlich von der gematik bekannt ist, macht es auch nicht besser.
Die Deutsche Datenschutzkonferenz hatte bereits im Nov. 2023 klar Regeln für den Zugriff der Forschung auf Gesundheitsdaten gefordert, in der Hoffnung, dass der Gesetzgeber das aufgreift. heise hatte das hier angesprochen, passiert ist meines Erachtens nichts. Und in diesem Artikel wird von einem realitätsfernen "Gesundheitsdaten-Bullerbü" bei der Patientenakte im Hinblick auf Datenschutz gesprochen. Geändert hat sich in den letzten Monaten nichts. Im September 2023 wurde bekannt, dass das Gesundheitsministerium per Datengesetz Gesundheitsdaten 100 Jahre zentral speichern will. Zudem liegt mir ein Artikel aus dem Ärztenachrichtendienst vor, dass Gesundheitsminister Lauterbach KI einsetzen will, um Fehlverhalten im Gesundheitssystem aufzudecken. Steckt im Ansatz zur sogenannten Fehlverhaltensbekämpfung im Gesundheitsversorgungsstärkungsgesetz (GVSG). Dazu sollen auch personenbezogene Daten ausgetauscht werden dürfen.
Gesundheitssystem auf Cyberangriffe nicht vorbereitet
Es ist zu beobachten, dass Gesundheitseinrichtungen im In- und Ausland zunehmend Opfer von Cyberangriffen werden. Ich hatte hier im Blog ja häufiger über Vorfälle im Gesundheitswesen und über lahm gelegte Kliniken berichtet. Hier einige größere Vorfälle, die mir erinnerlich sind.
- So gab es im Februar 2024 den erfolgreichen Angriff auf den US-Gesundheitsdienstleister UnitedHealthcare Group (UHG). Bei dessen Tochter Optum war die Change Healthcare-Plattform, die für Abrechnungen zuständig ist, betroffen. Einmal war die Medikamentenversorgung in den USA auf Grund des Cyberangriffs gestört. Und dem BlackCat/AlphV-Ransomware-Angriff sollen auch große Datenmengen erbeutet worden sein.
- Im Februar 2024 gab es auch einen Cyberangriff auf die französischen Gesundheitsdienstleister Viamedis und Almerys, bei dem die persönlichen Versichertendaten von 33 Millionen Franzosen erbeutet wurden (siehe Cyberangriff: Krankenversicherungsdaten von 33 Millionen Franzosen abgeflossen).
- Im März 2023 wurde die BIG Innungskrankenkasse in Dortmund Opfer eines Cyberangriffs. Der IT-Dienstleister Bitmark war gehackt worden, was eine Reihe weiterer Krankenkassen in Mitleidenschaft zog (siehe auch Sicherheits-News: BIG-Krankenkasse, Hülben, Rhein-Pfalz-Kreis, MOVEit, VMware (21. Juni 2023).
In den USA wurden Gesundheitsdaten von Millionen Patienten durch die MOVIit-Lücke geleakt, wie heise hier anmerkt. Auch in Deutschland waren Patienten betroffen. Aus der Ärzteschaft ist mir noch ein Artikel des Ärztenachrichtendiensts zugegangen, der sich mit der Frage befasst, was eigentlich bei einem Cyberangriff auf das deutsche Gesundheitswesen passiert. Christian Ullrich, IT-Bereichsleiter der SBK Siemens-Betriebskrankenkasse (SBK), wird vom Ärztenachrichtendienst in einem nicht öffentlich abrufbaren Artikel dahingehend zitiert, dass das "Gesundheitssystem nicht auf Cyberangriffe vorbereitet sei".
Auch die Siemens-Betriebskrankenkasse war von dem Bitmark-Vorfall betroffen. Dort seien die Systeme für die reguläre interne Kommunikation und Kollaboration 19 Tage lang ausgefallen. Die SBK war sogar 26 Tage für Versicherte regulär, etwa per Telefon, nicht erreichbar. Es gab einen Notbetrieb und erst nach 47 Tagen waren die Arbeitsrückstände vollständig abgearbeitet. Christian Ullrich zieht im Artikel des Ärztenachrichtendiensts ein bitteres Fazit: "Das Gesundheitssystem ist nicht auf Betriebsunterbrechungen infolge von Cyberangriffen vorbereitet."
Anzeige
Laut Ullrich gebe es keine Notfallpläne, die regeln, was im Fall der Fälle zu tun sei. "Wir brauchen Prozesse und Abläufe, wie die einzelnen Akteure in diesen Fällen agieren müssten, damit im Gesundheitswesen eine Leistung weiterhin funktioniert, auch wenn bestimmte Teile des Gesundheitswesens angegriffen werden.", lautet die Forderung des IT-Leiters.
Prof. Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht an der Universität Bremen, wird im Artikel so zitiert, dass vor allem wirtschaftliche Überlegungen und Akzeptanzprobleme eine ernsthafte Auseinandersetzung mit Cybersicherheit verhindert. Bisher galten nur sehr große Krankenkassen als "kritische Infrastruktur" (KRITIS). In diesem Jahr soll dies auch für Kassen ab 500.000 Versicherten gelten. Ob sich aber viel ändert?
Unter dem Aspekt "da war doch was" habe ich in meiner Zettelsammlung gewühlt. heise hat in diesem Artikel ein Interview mit Dr. Christian Ullrich von der SBK zum gleichen Thema "IT-Sicherheit in der Digitalisierung aus Sicht der Krankenkassen" geführt. Das hört sich dort wesentlich entspannter an.
Mir liegt auch dieser Artikel des Redaktionsnetzwerk Deutschland von Anfang Februar 2024 vor, wo die Deutsche Krankenhausgesellschaft (DKG) sich Gedanken um die Cybersicherheit macht. Dort wurde der Ball aber an die Politik gespielt, doch bitte für mehr Cybersicherheit zu sorgen. Da passt der Artikel Sicherheit von Gesundheitsdaten: Politik hört weg von heise von Mitte Januar 2024 gut rein – die Warnungen von Sicherheitsforscher werden durch die Politik ignoriert. Aktuell habe ich das Gefühl, dass da mit "Augen zu und durch" gewurstelt wird.
BSI kritisiert TI-Infrastruktur
Das Bundesamt für Sicherheit in der Informationstechnik deutschlandweit Ärzte zum Thema IT-Sicherheit befragt und ist zu ernüchternden Ergebnissen gelangt, wie heise aktuell hier berichtet. Eine Umfrage ergab, dass lediglich ein Drittel der Befragten 1.600 Ärzte die in der Richtlinie vorgegebenen IT-Schutzmaßnahmen vollständig umgesetzt habe. Zudem seien ein Zehntel (zehn Prozent) der Arztpraxen bereits mindestens einmal von einem IT-Sicherheitsvorfall betroffen gewesen, zitiert heise.
Zudem gibt es vom BSI den CyberPraxMed Abschlussbericht zur Digitalisierung und sicheren Anbindung der Arztpraxen an eine sichere Telematikinfrastruktur (TI). Für den Bericht wurden 16 Arztpraxen ausgewählt, um Cyberrisiken und potenzielle Angriffsmöglichkeiten zu untersuchen. Das BSI stellte schwerwiegende Sicherheitsmängel (unzureichender Schutz vor Schadsoftware, mangelndes Patchmanagement und fehlende Backups) fest. heise zitiert hier aus diesem Bericht, in dem das BSI kritisiert, dass die Praxen den TI-Konnektor zur Anbindung an die Telematikinfrastruktur neben einem gewöhnlichen Router betreiber, was seine Schutzwirkung beeinträchtigt. Auch waren sensible Patientendaten in keiner der Praxen durch Festplattenverschlüsselung geschützt. IT-Sicherheit at it's best, sind ja keine sensiblen Daten … und bald wandert eh alles in die elektronische Patientenakte, das ist sicher.
Ähnliche Artikel:
Gesundheitsgesetze I: EU-Parlament macht Weg für EU Health Data Space (EHDS) frei
Gesundheitsgesetze II: Bundestag beschließt Digitalisierung im Gesundheitswesen (GDNG, DigiG)
Gesundheitsgesetze III: Mit Digitalisierung planlos ins Desaster?
eRezept ab 2024 verpflichtend – Ungereimtheiten führen zum Desaster
Europäischer Gesundheitsdatenraum (EHDS) beschlossen – die Haken für Patienten
Elektronische Patientenakte: nur 6 % der Ärzte nutzten es Mitte 2022
IT-Sicherheit 2023: Nachholbedarf im Gesundheitswesen
Desaster (Zuverlässigkeit, Sicherheit) bei der Telematik-Infrastruktur im Gesundheitswesen
Cybervorfälle im Gesundheitswesen: ESO Solutions; HealthEC
Facebook Tracking Pixel verursacht Datenleck bei US Health Care System, 3 Million Patienten betroffen
2015
Mir wurde schon beim Konzept der TI und dem dahinterstehenden Konglomerat aus Compugroup, Arvato & Co. schlecht. Und die ePA wird mit Sicherheit noch mehr Begehrlichkeiten wecken, natürlich nur zum Wohle der Patienten 😒 Arvato – Big Player in der TI – betreibt auch Scoring. Compugroup hat seinen Breach bis heute nicht vollumfassend offengelegt. Dieses ganze Geflecht führt bei näherer Betrachtung zu mehr als Unwohlsein.
Digitalisierung first – Bedenken second = gar nicht…
Die Idee der ePA ist an sich gut, aber die Umsetzung ist eine einizige Katastrophe. Vermutlich wird jeder, der etwas von IT versteht, vom Opt-Out Gebrauch machen.
"Leider kann diese und jene Behandlung, Terminvereinbarung, Abrechnung usw. nur mit ePA erfolgen, leider, schönen Tag noch."
Und natürlich darf niemand benachteiligt werden, der keine ePA geführt haben möchte, wenn es trotzdem zu Nachteilen kommt, steht der Rechtsweg natürlich jedem jederzeit offen. Nach dem Urteil kann man dann gern wiederkommen für die Behandlung, Terminvereinbarung, Abrechnung …
Benachteiligungen gibt es doch schon reichlich im Gesundheitssystem.
Das fängt schon damit an, wie Termine vergeben werden.
Kassenpatienten bekommen selten einen zeitnahen (d.h. innerhalb weniger Tage) Termin beim Arzt.
Bei Privat versicherten Patienten sieht das anders aus: "Kommen Sie morgen vorbei, wann passt es Ihnen denn zeitlich?"
Und die Politik fördert das noch mit der idiotischen Budgetierung von Ärzten.
Zur ePA:
Opt-Out verstößt gegen die DSGVO, wird sicherlich von den Gerichten kassiert.
Da hat die Politik rein gar nichts aus dem Vorfall mit der geplanten PKW-Maut gelernt. Auch da war es klar, das das so wie geplant nicht rechtskonform ist. Unser sturer Verkehrsminister war da anderer Meinung, das Ergebnis kennt man: Sehr viel Steuergeld zum Fenster hinaus geworfen!
Und genauso wird das mit dem Opt-Out auch enden, spätestens dann, wenn es vor dem EUGH landet.
Und es ist erschreckend, wenn das Gesundheitssystem keine Notfallpläne für einen Cyberangriff (oder auch nur für einen Ausfall des Systems wegen einer technischen Störung) hat.
Und noch etwas fällt mir da ein:
Bei Minderjährigen machen ja die Erziehungsberechtigten das Kreuzchen bei Opt-Out oder auch nicht.
Was passiert, wenn die da kein Opt-Out gemacht haben, also die ePA existiert und der Patient dann volljährig wird und das Opt-Out durchsetzt?
Wird dann die bisherige ePA gelöscht?
Das müsste sie eigentlich.
Oder wird sie nur nicht mehr mit neuen Daten befüllt?
Und wozu sollen die Daten 100 Jahre aufbewahrt werden?
Was nützen die noch, wenn der Patient schon lange tot ist?
Ob diese extrem lange Aufbewahrungszeit auch DSGVO-komform ist, halte ich für fraglich.
Ich frage mich überhaupt, wie man ein Gesetz entwerfen kann ohne die DSGVO zu berücksichtigen?
"Und wozu sollen die Daten 100 Jahre aufbewahrt werden?
Was nützen die noch, wenn der Patient schon lange tot ist?"
Wiewohl man aus med. Sicht über die "100 Jahre" streiten kann sind aus medizinhistorischer und gesundheitspolitischer Sicht wertvolle historische Daten, in denen man z.B. zu jedem späteren Zeitpunkt nach neuen (bisher unbeachteten) Datenpunkten suchen kann.
Inwieweit das die berechtigten Interessen der (ex-)Patienten/-Bürger überwiegen darf ist natürlich eine andere Frage.
Endet der Datenschutz nicht mit dem Tod?
So einfach ist es nicht. Die DSGVO auf EU-Ebene (GDPR) regelt zwar nur den Datenschutz natürlicher Personen – wer verstirbt, ist dann keine natürliche Person mehr. Aber …
– die Daten des Verstorbenen können durch ärztliche Schweigepflicht über den Tod hinaus geschützt sein
– durch die Persönlichkeitsrechte des Verstorbenen geschützt sein
– ggf. durch Verfügungen vor dem Tod (Stichwort: was passiert mit Social Media-Konten) geschützt sein
Zudem gibt es m.W. eine wichtige Einschränkung in der GDPR – die EU-Nationalstaaten können Einschränkungen in Bezug auf Erlöschen der DSGVO bei Tod erlassen, die die Weitergabe der Daten Verstorbener tangieren. Deutschland hat da entsprechende Vorgaben. Ich habe mal einige Links herausgezogen.
Gilt der Datenschutz auch für personenbezogene Daten verstorbener Personen?
Postmortaler Datenschutz: Was geschieht mit Daten, wenn jemand stirbt?
Datenschutz über den Tod hinaus?
Das ist schon grob fahrlässig, was Lauterbach da mit seiner ePA ausgebrütet hat – so stoned kann ja niemand sein, dass man damit den ePA Bockmist entschuldigen könnte.
Unsere Regierung stellt ihre mangelnde Kompetenz ja regelmäßig damit unter Beweis,
dass sie einen Fall nach dem anderen eingestehen muss, wo es zu "Vorfällen" in der IT-/Telko-/Cybersicherheit kam.
Da muss man schon völlig blind, taub, blöd und ignorant sein, wenn man trotz aller bekannten erfolgreichen Cyberangriffe (s.o) noch immer behauptet, dass bei ePA sowas nicht passieren kann!?
Wieso muss eigentlich JEDER für die Schäden haftbar, die er verursacht,
aber wenn fachfremde Politiker mit hirnlosen Ideen und ihrem dumm und dümmer gelaber großen Schaden anrichten, müssen die nie dafür aufkommen…
Klar, wenn Politiker ihr Geschwätz verantworten müssten, wäre von denen nur noch sehr selten was zu hören.
Lauterbach ist Pharmalobbyist im Ministeramt, er tut also das, was für die Pharmaindustrie am Besten ist, Amtseid* hin oder her.
* der Amtseid ist kein Eid, sondern nur eine Floskel ohne rechtl. Bindung.
Untersuchung der "wiss. Dienste des Bundestages"
www. bundestag. de/resource/blob/556790/e5376e768c028f5829e29468e6159383/WD-3-088-18-pdf-data.pdf
"Das ist schon grob fahrlässig, was Lauterbach da mit seiner ePA ausgebrütet hat –"
Halt! Nicht ein/e Minister/in brütet das aus, sondern die niemals wechselnden hoch- od. überbezahlten Mitarbeiter der Ministerien (welche nach jeder Wahl die selben (un)qualifizierten Entwickler u. Zuarbeiter sind).
Da kann die Idee des Ministers/in noch so gut sein, wenn die "Entwickler" keine Ahnung haben od. gar die gute Idee torpedieren. Seht mal was da im einzelnen rauskommt.
Für mich gehören diese Türme spätestens alle 10 Jahre komplett geschlossen und mit neuem Personal neu aufgebaut.
Und wenn das alles an die Wand fahren soll, damit dann als Retter die WHO auftritt und globale Regeln erstellt und ausrollt? Stichwort zur Recherche: Pandemievertrag
Problem: med. Dokument, z.B. als PDF, wird über TI/KIM-Dienst/ePA auf das System gespühlt, ohne vorher zentral auf Malware geprüft worden zu sein !
– das "oblige" dem "Empfänger" (wohl Sichtweise der KBV nach meiner Information)
– hier dann wohl eher "Prüfung" nur mit "Schlagenöl" (Erkennungsraten ?)
– code-Prüfung jedes Dokumentes erscheint wohl eher wenig praktikabel für eine MFA oder einen Arzt
geht´s noch ?
Wie kompromittiert das sendende System ist, kann kein "Empfänger" erahnen oder beeinflussen – bin gespannt, wann es in ganz großen Stil "knallt" :-(
Ist exakt das, was ich mal als stiller Beobachter einen Sitzung einer Kassenärztlichen Vereinigung für Ärzte als Info mitgenommen habe.