Datenschutz im Gesundheitswesen : "Es wird weiter Sicherheitslücken geben"

Der Bundesdatenschutzbeauftragte Ulrich Kelber über veraltete Betriebssysteme in Kliniken, fehlende Patientenrechte - und Risiken durch Gesundheits-Apps.

Beunruhigt über Sicherheitslücken bei Patientendaten: der Bundesdatenschutzbeauftragte Ulrich Kelber.
Beunruhigt über Sicherheitslücken bei Patientendaten: der Bundesdatenschutzbeauftragte Ulrich Kelber.Foto: Oliver Berg/dpa

Herr Kelber, was halten Sie von dem Satz: Datenschutz ist nur was für Gesunde?

Das ist eine Einschätzung, die ich nicht teile. Gerade kranke Menschen sind darauf angewiesen, dass ihre persönlichen Daten vor Missbrauch geschützt sind. Von Anfang an mitgedacht, verhindert Datenschutz auch keine innovativen Forschungs- oder Versorgungsmodelle.

Die Äußerung stammt aus einem Buch, das ein gewisser Jens Spahn mitverfasst hat. Beunruhigt Sie die lockere Einstellung unseres Gesundheitsministers?

Nicht, solange sich das nicht in Gesetzen niederschlägt.

Ab 2021 haben in Deutschland alle gesetzlich Krankenversicherten das Recht auf eine elektronische Patientenakte. Wie sicher werden diese Daten sein?

Um die IT-Sicherheit im engeren Sinne wird sich das Bundesamt für Sicherheit in der Informationstechnik kümmern. Uns interessiert die Frage: Gibt es grundsätzliche Bedenken zur Sicherheit der Daten? Die sind uns derzeit nicht bekannt. Und dann geht es natürlich um die Ausgestaltung: Die Patientendaten dürfen nur für die jeweiligen Leistungserbringer, also für Ärzte, Krankenhäuser, Apothekern, einsehbar sein – und auch nur so weit, wie für ihre jeweilige Arbeit benötigt. Daher ist für die Patientenakte ein sogenanntes Rechte- und Rollenkonzept nötig.

Was ist darunter zu verstehen?

Es muss geklärt sein, wer genau wann welche Daten einstellen darf und wer sie zu Gesicht bekommt. Vielleicht möchten manche ja nicht, dass ihr Zahnarzt von einer psychotherapeutischen Behandlung erfährt. Vielleicht soll der Hausarzt nichts von einem Aidstest mitbekommen. Oder der Betriebsarzt nicht automatisch auch den letzten Befund der Frauenärztin im Computer haben. Welche Daten wem preisgegeben werden, darf nur der Patient selber entscheiden können.

Bisher gibt es noch keine solche Differenzierungsmöglichkeit. Entweder man gibt dem Arzt Zugang zu sämtlichen Daten oder man lässt ihn gar nicht in die Akte sehen...

Ja, das kann so nicht bleiben. Ein abgestuftes Rechtekonzept muss von Anfang an Bestandteil der digitalen Patientenakte werden. Wir sähen es als hochproblematisch an, wenn das zum Start dieses Projekts noch nicht funktionierte.

Was halten Sie denn von der Möglichkeit, auch per Smartphone auf seine Patientenakte zugreifen zu können? Spahn findet ja, dass das auf freiwilliger Basis möglich sein soll – auch wenn es mit etwas weniger Datensicherheit verbunden ist.

Ein Zugang übers Smartphone ist etwas, das viele Bürger wollen. Sie möchten jederzeit und auch unterwegs an ihre Gesundheitsdaten herankommen. Wir sind allerdings der Meinung, dass man dabei auf jeden Fall mit hohen Sicherheitsanforderungen arbeiten sollte. Der Zugriff sollte beispielsweise auf Geräte beschränkt sein, die über eine gesicherte Zwei-Faktor-Authentifizierung verfügen. Wenn man zur Identifizierung am Handy zusätzlich auch noch seine Gesundheitskarte per NFC-Schnittstelle auslesen lassen müsste, wäre die Gefahr eines Datenmissbrauchs wesentlich geringer.

Im Ministerium heißt es, Deutschland müsse sich bei der Digitalisierung jetzt besonders beeilen "damit nicht Amazon, Apple und Google unser Gesundheitswesen übernehmen“. Droht diese Gefahr tatsächlich? Und darf das ein Argument sein für womöglich auch laxeren Datenschutz?

Es ist auf jeden Fall ein Argument, die Digitalisierung zügig zu betreiben. Wir merken, dass diese Unternehmen tatsächlich in großem Maßstab versuchen, Zugriff auf Gesundheitsdaten zu erhalten. Zum Beispiel, indem sie preisgünstige und auf den ersten Blick oft sogar kostenlose Angebote für die Verwaltung von Daten machen. Teilweise werden, wie in den USA, ganze Klinikketten gekauft, um an bestimmtes Bild- und Behandlungsmaterial zu kommen. Wir sollten aber nicht vergessen: Über viele Jahre war hierzulande doch überhaupt nicht der Datenschutz der Grund dafür, dass die Digitalisierung im Gesundheitsbereich stockte, es waren die Verzögerungen und gegenseitigen Blockaden durch Leistungserbringer, Krankenversicherer und Gesundheitspolitik.
Die Datenschutzkonzepte stehen und sind lange bekannt. Wir wollen, dass Patienten von den Vorteilen der Digitalisierung profitieren – von besseren Versorgungsstrukturen, neuen Diagnosemöglichkeiten und Therapien, dem Verzicht auf unnötigen Doppeluntersuchungen, dem automatischen Abgleich von Arzneiunverträglichkeiten und –nebenwirkungen. Dafür soll aber niemand auf den Schutz seiner sensiblen persönlichen Daten verzichten müssen, auch nicht teilweise und auch nicht vorübergehend.

Bald Medizineralltag: der digitale Zugriff auf Patientendaten.
Bald Medizineralltag: der digitale Zugriff auf Patientendaten.Foto: imago

Erst vor zwei Monaten gab es einen großen Skandal um Patientendaten. 16 Millionen Datensätze kursierten offen im Internet, darunter mehr aus 13.000 aus Deutschland. Kann so was wieder passieren? Und wird diese Gefahr durch elektronische Patientenakten nicht noch größer?

Es wird weiter Sicherheitslücken geben. Unsere Aufgabe ist es, die Zahl massiv nach unten zu drücken und die Auswirkungen zu begrenzen. So könnte man das Gesetz zum Schutz kritischer Infrastruktur auf weitere Teile des Gesundheitsbereichs ausweiten. Es gab ja bereits Krankenhäuser, in denen die Patientenversorgung wegen Hackerangriffen gefährdet war, weil Ärzte nicht mehr auf Behandlungsdaten zugreifen konnten. Wichtig wäre aber auch, dass in den Gesundheitseinrichtungen nicht mit abgelaufenen Betriebssystemen oder unsicheren Cloud-Diensten gearbeitet wird. Ab 2020 ist es möglich, digitale Produkte und Serviceleistungen EU-weit zertifizieren zu lassen. Auch Ärzte und Kliniken wissen dann, ob ihre Verfahren den Sicherheitsstandards genügen.

Minister Spahn will der Forschung die Gesundheitsdaten aller gesetzlich Versicherten zugänglich machen - und zwar auch ohne deren Einverständnis. Ist das in Ordnung?

Die Daten werden bereits seit 2012 zur Forschung genutzt. Neu ist, dass diese Daten nun direkt an das Forschungsdatenzentrum gegeben werden sollen und dass der Umfang der zur Verfügung gestellten Daten etwas steigen wird. Allerdings handelt es sich im Regelfall nicht um konkrete Behandlungs-, sondern um Abrechnungsdaten. Entscheidend ist, dass es dafür ausreichende Sicherungsmaßnahmen gibt. Da hätten wir uns an einigen Stellen doch noch mehr gewünscht.

Was zum Beispiel?

Ich war froh, dass das Parlament die Pseudonymisierung der Daten nun schon vor der Versendung an den Spitzenverband der Krankenkassen verlangt. Und dass die Forscher später nur auf Stichproben oder zusätzlich anonymisierte Daten zugreifen dürfen. Im weiteren Verlauf würden wir uns wünschen, dass das Widerspruchsrecht klarer geregelt wird. Beispielsweise für Personen mit einer sehr seltenen Erkrankung oder in besonders hervorgehobener Position.

Was ist denn der Unterschied zwischen anonymisiert und pseudonymisiert?

Bei anonymisierten Daten ist ein Rückschluss auf bestimmte Personen nicht oder nur mit unvertretbarem Aufwand möglich. Bei einer Pseudonymisierung kann man zwar nicht unmittelbar auf eine bestimmte Person schließen, könnte das aber eventuell durch Hinzuziehung weiterer Daten. Es kann Forschungen geben, für die Zeitreihen wichtig sind. Also etwa die Fragestellung, was über die Jahre mit Patienten passierte, die mit bestimmten Medikamenten behandelt wurden. Ob sich deren
Gesundheitszustand verbessert hat, ob zusätzliche Krankheiten entstanden sind. Für diese Fälle braucht es pseudonymisierte Einzeldatensätze und nicht bloß Gruppendaten. Um die Identität der Patienten zu schützen, ist eine Re-Identifizierung der Datensätze strafbar.

Im Netz wimmelt es von Gesundheits-Apps – demnächst gibt es einige von ihnen sogar auf Rezept. Wie sicher sind solche Anwendungen aus Ihrer Sicht? Lässt sich bei der kaum überschaubaren Angebotsvielfalt hier überhaupt ein wirksamer Datenschutz durchsetzen?

Wir haben tatsächlich inzwischen Hunderttausende von Apps und Websites, die sich mit Gesundheit oder Lifestyle beschäftigen. Wenn sie von den Krankenkassen erstattet werden, muss nicht nur nachgewiesen werden, dass sie tatsächlich einen positiven Effekt auf die Gesundheit haben. Aus unserer Sicht muss durch das Bundessinstitut für Arzneimittel und Medizinprodukte auch auch der Datenschutz mit abgeprüft werden. Diese Apps würden dann den nötigen Anforderungen für IT- und Datensicherheit entsprechen. Das schließt weitere Kontrollen durch uns jedoch nicht aus.

Wie groß ist denn das Risiko, dass persönliche Daten über solche Apps bei Wirtschaft und Werbetreibenden landen?

Dieses Risiko besteht und ist schon eingetreten. Und das gilt insbesondere, wenn bei der Entwicklung solcher Anwendungen sogenannte Tracker eingebaut wurden, über die sich das Interesse und Leseverhalten bestimmter Nutzer nachvollziehen lässt. Betroffen davon sind auch Gesundheitsportale oder Online-Artikel. Es muss dann noch nicht einmal das konkrete Gesundheitsdatum später weitergegeben werden. Es reicht schon, wenn dieses Datum zusammen mit anderen Daten Grundlage für ein Scoring wird, das ein Datenhändler anbietet. Keiner wüsste mehr, was die Quelle dieser Information war und wer die illegale Datennutzung ursprünglich zu verantworten hatte.

Worauf können Nutzer achten?

Sie sollten nicht einfach nur schnell klicken, sondern sich vorher über den Hersteller informieren und dessen Datenschutzerklärung lesen, gerade bei Gesundheitsdaten. Und wenn sie die Möglichkeit haben, sollten sie nur Betriebssysteme oder Software verwenden, mit denen sie sich schützen können – etwa indem sie Tracker blockieren oder den Zugriff auf Standort und persönliche Kontakte unterbinden. Ansonsten kann man sich fragen, ob man wirklich 20 Lifestyle-Apps benötigt. Vielleicht ist da weniger am Ende mehr.

Welche Sanktionsmöglichkeiten haben Sie denn gegenüber Firmen, die sich nicht um Datenschutz scheren?

Die Bußgelder für fehlenden Datenschutz können zwei bis vier Prozent des weltweiten Jahresumsatzes eines Unternehmens betragen. Und das bezieht sich auf die komplette wirtschaftliche Einheit, also auch den des Mutterkonzerns. Es wird also nicht billiger, wenn der Verstoß nur von einer kleinen Tochterfirma begangen wird. Die britischen Datenschützer verhängten die bisher höchste Geldbuße gegen Marriott und British Airways, sie sollen 110 beziehungsweise 200 Millionen Euro zahlen. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit belegte vor kurzem die „Deutsche Wohnen“ mit einer Geldbuße von 14,5 Millionen Euro, weil sie Daten früherer Mieter nicht gelöscht hatte. Wir selbst haben gerade eine Geldbuße von 9,5 Millionen Euro ausgesprochen.

Sie haben fürs nächste Jahr 67 neue Stellen bewilligt bekommen. Wie viele ihrer dann mehr als 300 Mitarbeiter werden sich um den Schutz von Gesundheitsdaten kümmern?

Die Digitalisierung und die Gesetzgebung verlangt von uns in vielen Bereichen mehr Aufmerksamkeit. Wir müssen die Aufsicht über die Sicherheitsbehörden forcieren und auch stärker in internationalen
Gremien mitarbeiten. Aber wir werden auf jeden Fall auch unsere beiden Referate verstärken, die sich schwerpunktmäßig mit Gesundheits- und Telematik-Anwendungen beschäftigen. Die Gesundheitsdaten der Bürgerinnen und Bürger müssen unbedingt geschützt bleiben.

Mehr lesen? Jetzt E-Paper gratis testen!