Digitalexperte zu den Plänen von Jens Spahn: "Ich nenne das eine Verführung des Bürgers"

Muss man, im Lichte des aktuellen Datendiebstahls, jetzt auch neu über die Pläne zur Digitalisierung des Gesundheitssystems nachdenken? Bis 2021 soll ja eine elektronische Patientenakte flächendeckend eingeführt sein…

Im aktuellen Fall geht es um die Veröffentlichung von persönlichen Daten oder Mailverkehr, der teilweise schon Jahre alt ist. Das ist ärgerlich für die Betroffenen. Aber Gesundheitsakten sind weit sensibler. Wenn jemand etwa an Aids erkrankt ist - das sind in Deutschland mehr als 88.000 - und dessen Patientenakte veröffentlicht wird, kann diesem Menschen ein unglaublicher Schaden entstehen. Und man muss damit rechnen, dass solche Daten irgendwann, aus welchem Grund auch immer, in die Öffentlichkeit gelangen. Zum Beispiel, wenn der Bediener eines Rechners die Verschlüsselung nicht anschaltet oder wenn sie sich gerade im Wartungsmodus befindet. Da reichen einige Sekunden, wo sich die Daten ungeschützt im Internet befinden.

Für die Patientenakte gelten hohe Sicherheitsanforderungen…

Ja, darauf wird immer verwiesen. Es ist dann die Rede von Verschlüsselung und ordentlichen Passwörtern. Aber mir fällt auf, dass kaum über die Qualität dieser Verschlüsselung gesprochen wird. Es gibt internationale Standards, wie man eine Anwendungs-Software zu prüfen hat. Die sind hierzulande kaum bekannt - und ich habe bisher nicht gehört, dass sie bei der Patientenakte zur Anwendung kommen. Und es gibt Sicherheitslücken, die man jetzt vielleicht noch gar nicht erkennen kann. Das heißt: Sie bräuchten einen ausgefeilten Kontrollprozess, ständige Wiederholungsprüfungen auch für eine fertige, bereits getestete Software...

Aber bietet eine digitale Patientenakte nicht trotz aller Risiken noch deutlich mehr Sicherheit als der bisherige Umgang mit Patientendaten, die oft völlig ungesichert herumgefaxt und in Arztpraxen oder Kliniken herumgereicht werden?

Dass das Sicherheitsniveau in Krankenhäusern und Arztpraxen nicht immer sehr hoch ist, mag sein. Wenn das der Fall ist, muss es verbessert werden. Der Vorteil des bisherigen Verfahrens ist aber, dass diese Daten nur dezentral vorhanden sind. Keiner weiß, welcher Arzt die Daten welches Bürgers hat. Das Problem ist die zentrale Speicherung.

Gesundheitsminister Jens Spahn will einen Zugang zur Patientenakte auch über Smartphone und Tablets. Was halten Sie davon?

© privat

Das unsicherste Gerät der Welt ist das Handy. Sie können das natürlich aufwändig absichern – aber das kostet sehr viel und bietet auch keine hundertprozentige Sicherheit. Mobile Geräte werden ja aus gutem Grund nicht vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert. Die wissen genau, wie viele Angriffspunkte es in Handys gibt.

Spahns Argumentation lautet, dass der Smartphone-Zugang zur Patientenakte freiwillig sein solle. Wem das wichtig sei, der nehme dann eben etwas weniger Sicherheit in Kauf.  Was ist dagegen zu sagen?

Ich nenne das eine Verführung des Bürgers. Die Menschen laufen in eine Falle, sie können das Risiko gar nicht beurteilen. Wer nicht die Zeit oder die Kompetenz hat, sich ausgiebig mit dem Thema zu beschäftigen, hat seine Gesundheitsdaten dann plötzlich für alle nachlesbar im Internet. Ich würde jedem empfehlen, seine Patientenakte nicht übers Handy zugänglich zu machen. Ein mobiler Zugang ist dafür viel zu unsicher.

Spahn sagt: Datenschutz ist was für Gesunde. Und vergleicht die Risiken des Zugangs zur elektronischen Patientenakte mit denen des Online-Bankings. Was ist der Unterschied?

Wenn Sie mein Konto knacken, kommen Sie vielleicht an ein bisschen Geld heran, das dort liegt. Und bei einer Veröffentlichung der Kontodaten, ändere ich zeitnah die Nummer und das Passwort. Wenn die Gesundheitsdaten einmal im Netz sind, ist das etwas ganz anderes. Der Schaden ist viel größer, und solche Informationen sind nicht mehr wegzubekommen. Dabei geht es dann nicht um die Gesunden, sondern zum Beispiel um Krebs- oder Aids-Kranke, das sind Zigtausende. Stellen Sie sich vor, es würden Listen aller Menschen in Deutschland veröffentlicht, die an HIV erkrankt sind. Oder jeder würde erfahren, ob und wann sie einmal psychische Probleme hatten, wie sie behandelt wurden, ob es ihnen jetzt wieder besser geht oder nicht. Wenn diese Daten an die Öffentlichkeit kämen, wäre das für die Betroffenen ganz furchtbar. Und wie gesagt: in der IT gibt es keine hundertprozentige Sicherheit!

Professor Hartmut Pohl ist Geschäftsführer einer IT-Sicherheitsberatung und Sprecher des Arbeitskreises „Datenschutz und IT-Sicherheit“ der Gesellschaft für Informatik.