Was macht die Verarbeitung von Gesundheitsdaten so brisant? Foto: © Denys Prykhodov/adobe
Die Sicherheit elektronischer Gesundheits- und Patientenakten sowie von Gesundheits-Apps gehört auf den Prüfstand. Die potenziellen Risiken sind groß, ihre Folgen können bei sensiblen Gesundheitsdaten schwerwiegend sein und sogar Generationen überspannen. Viele digitale Angebote sind zu intransparent, um sie bewerten oder empfehlen zu können.
Beinahe jeder Zweite nutzt sie bereits: Gesundheits-Apps, von denen laut Schätzungen bereits über 100.000 auf dem deutschen Markt angeboten werden. Ihr Einzug in die Regelversorgung wird jetzt beschleunigt. Mit einem neuen Digitalisierungsgesetz sollen gesetzlich versicherte PatientInnen solche Apps fürs Smartphone künftig auf Rezept bezahlt bekommen. Nach den Plänen des Gesundheitsministeriums sollen im gleichen Zuge auch Videosprechstunden eingeführt und die elektronische Patientenakte mit Inhalten befüllt werden.
Gute Neuigkeiten also für eine vernetzte patientenzentrierte Versorgung, gäbe es da nicht zwei grundlegende Probleme: Da ist zum einen der fehlende Nachweis eines Nutzens. Die allermeisten Gesundheits-Apps sind nicht als Medizinprodukt zugelassen und es gibt keinen Nachweis über einen medizinischen Nutzen oder einen positiven Effekt für die Versorgung. Zum anderen kranken die Apps an der Sicherheit. Hierbei ist zuvorderst die Informationssicherheit gemeint, deren Mangel allerdings ganz reale Auswirkungen auf die Patientensicherheit haben kann.
Doch während das Problem fehlender Evidenz zum Nutzen von Gesundheits-Apps langsam angegangen wird – unter anderem über die ab 2020 geltende neue EU-Medizinprodukte-Verordnung – werden Sicherheitsmängel auch weiterhin zu den häufigsten Nebenwirkungen gehören.
Auf dem 35. Chaos Communication Congress des Chaos Computer Clubs (CCC), einer Vereinigung von Hackern, die sich als größte Nichtregierungsorganisation in Deutschland dem Thema Computersicherheit widmen, wurden im Dezember 2018 diese Risiken zuletzt thematisiert. Am Beispiel der elektronischen Gesundheitsakte »Vivy« wurden gravierende Versäumnisse der Informationssicherheit offengelegt: Trotz beworbener Ende-zu-Ende-Verschlüsselung und Zwei-Faktor-Authentifizierung konnte der Austausch von Gesundheitsdaten zwischen App-NutzerInnen und ÄrztInnen von jedermann offen nachverfolgt werden. Zugleich bot die App ein Einfallstor für Angriffe in die Praxen der ÄrztInnen und zu dort verfügbaren Gesundheitsdaten.
Auch bei vielen weiteren Gesundheits-Apps wurden im Umgang mit den sensiblen Gesundheitsdaten Fehler gemacht, die sich ohne tiefere Analyse aufspüren ließen. Zu diesen altbekannten Fehlern gehören die unsichere Speicherung von Passwörtern, der Einsatz unsicherer Verfahren der Daten-Verschlüsselung, die unzureichende Filterung von Benutzereingaben oder auch der fehlende Schutz vor Brute-Force-Angriffen – dem Entschlüsseln beispielsweise von Zugangsdaten durch systematisches Ausprobieren aller Möglichkeiten. Es wurden also sowohl bei der Konzeption als auch bei der Umsetzung Fehler gemacht und damit die Sicherheit teilweise oder gänzlich missachtet.
Weniger greifbar, aber noch umfassender sind die Risiken, die sich aus der Verlagerung der digitalen Datenspeicherung von einzelnen Institutionen und Anbietern hin zu Betreibern von Cloud-Plattformen ergeben. Dazu wurde auf dem 35. Chaos Communication Congress ein Sicherheitsmangel in der Medical Cloud des Anbieters CompuGroup Medical (CGM) vorgeführt, einem börsennotierten Softwareunternehmen für den Medizinbereich mit Sitz in Koblenz. Er gestattete auf einen Schlag unautorisierten Zugang zu dort gespeicherten Gesundheitsdaten aus ePortalen privater Krankenversicherungen, PatientInnendaten aus Praxis-Systemen, Medikamenten-Einnahmeplänen und andere mehr.
Erschreckend, aber nicht neu, ist die Erkenntnis, dass es kein Patentrezept gegen solche Ausfälle zu geben scheint. Allenfalls eine Warnung vor solchen Datenverarbeitungsrisiken scheint möglich. Bei CGM rechnete man bereits 2017 mit einem Jahresschaden von 4 Mio. Euro durch Datenverarbeitungsrisiken, wobei der potenzielle Jahreshöchstschaden mit 19 Mio. Euro angegeben wurde – darunter Schadensersatzansprüche, Bußgelder, Geldstrafen und sonstige Verbindlichkeiten im Falle nicht funktionierender Sicherheits-Features sowie Kosten zur Mängelbeseitigung und für technische Neugestaltungen, um solche Sicherheitslücken in Zukunft zu verhindern.
Wenig betroffen von dieser Erkenntnis zeigt sich bislang die Gematik – die Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH – die für die geplante Einführung der elektronischen Patientenakte (ePA) nach § 291a SGB V verantwortlich zeichnet. Die elektronische Patientenakte gilt dabei als die Königsdisziplin in der vernetzten Versorgung. Gesetzlich Versicherte haben ab dem 1. Januar 2021 einen Anspruch darauf, dass ihre im Rahmen der vertragsärztlichen Versorgung entstandenen Daten in einer solchen Akte gespeichert werden. Mit dem Referentenentwurf eines Gesetzes für eine bessere Versorgung durch Digitalisierung und Innovation (Digitale Versorgung-Gesetz) des Bundesministeriums für Gesundheit sollen auch Hebammen und Entbindungspfleger die Möglichkeit erhalten, nach Freigabe durch den Versicherten auf diese Daten zuzugreifen.
Nach einer Studie der Bitkom, dem Branchenverband der deutschen Informations- und Telekommunikationsbranche, würden zwei Drittel der Versicherten eine solche ePA nutzen. Gegenüber der klassischen papiergeführten Patientenakte beim Arzt oder bei der Ärztin handelt es sich dabei um eine patientengeführte digitale Akte. Die ePA soll lebenslang alle persönlichen Gesundheitsinformationen digital bündeln und so den Datenaustausch erleichtern. Durch die Einbindung in die Telematik-Infrastruktur ist die Dokumentation fall- und einrichtungsübergreifend möglich.
Holm Diening, Leiter für Datenschutz und Informationssicherheit bei der Gematik, ist überzeugt, dass »die ePA nach § 291a SGB V ein völlig anderes Sicherheitsniveau haben wird als die Gesundheitsakten heute«. Ursächlich sei, dass alle Anbieter einer solchen Akte ein vorgegebenes Niveau von Sicherheit und Datenschutz einhalten müssten. In einem Interview mit E-Health-com, einem Fachmagazin für Gesundheitstelematik, Telemedizin und Health-IT, sagte Diening: »Sicherheit und Datenschutz können auf dem Niveau, das im Gesundheitswesen nötig ist, nicht Marktmechanismen überlassen werden. Denn Unternehmen, die freiwillig in so aufwendige Sicherheit investieren, hätten sowohl in Sachen Geschwindigkeit als auch in Sachen Kosten einen Wettbewerbsnachteil, wenn andere nicht denselben Aufwand betreiben«.
Dass Sorgen berechtigt sein könnten, zeigt sich in den Änderungen des Autorisierungskonzepts der geplanten ePA aufgrund immer neuer gesetzlicher Vorgaben. So wurde erst vor wenigen Wochen das bisherige Autorisierungsverfahren durch ein weniger sichereres Verfahren ersetzt, das den Zugang zu den in der ePA gespeicherten Gesundheitsdaten über ein Smartphone oder den heimischen Computer vereinfachen soll. Der geheime Aktenschlüssel, der die Ende-zu-Ende-Verschlüsselung der Gesundheitsdaten in der ePA ermöglicht, wird nun nicht mehr durch einen auf der elektronischen Gesundheitskarte gespeicherten geheimen Schlüssel geschützt – unabhängig davon, ob sich der Versicherte für oder gegen den Zugang per Smartphone entscheidet. Vielmehr darf dieser Aktenschlüssel nach neuesten Vorgaben nun auch mit den gesetzlichen Krankenkassen geteilt werden, damit diese dem Versicherten Dokumente in die ePA einstellen können.
Doch was macht die Verarbeitung von Gesundheitsdaten so brisant? Zunächst einmal sind Gesundheitsdaten nach Artikel 9 Datenschutzgrundverordnung (DSGVO) besonders geschützt und gelten laut Ex-Bundesjustizministerin Sabine Leutheusser-Schnarrenberger als »die sensibelsten Daten, die wir haben«. Eine Verletzung der üblichen Schutzziele der Informationssicherheit wie Vertraulichkeit, Integrität und Verfügbarkeit hat bei Gesundheitsdaten zum Teil erhebliche Folgen. Eine Verletzung der Vertraulichkeit kann für Betroffene Stigmatisierung und Karriereende bedeuten. Eine Verletzung der Integrität, also eine Manipulation von Gesundheitsdaten, kann zu falschen Medikationen und Therapien führen. Ein Ausfall der Verfügbarkeit wiederum kann bedeuten, dass im Notfall keine lebenswichtigen Daten über Medikamentenunverträglichkeiten abrufbar sind.
Auch gegenüber dem eigenen Staat sollten wir Gesundheitsdaten strukturell unzugänglich verwahren. Es gab und gibt in Deutschland immer wieder Initiativen, Behörden einen direkten Zugriff zu gewähren, so zuletzt in Bayern vor Verabschiedung des Psychisch-Kranken-Hilfe-Gesetzes. Im ersten Entwurf war hier die Führung einer Datei mit personalisierten Daten einschließlich Untersuchungsbefunden vorgesehen, die auch an die Polizei übermittelt werden durfte. Die landesweite Schaffung einer Infrastruktur zum Sammeln und Austausch von Gesundheitsdaten darf Begehrlichkeiten keinen Vorschub leisten oder diese technisch ermöglichen.
In einem wichtigen Punkt unterscheiden sich Gesundheitsdaten zudem stark von Finanzdaten, die beispielsweise im Online-Banking anfallen und daher gerne als Vergleich herangezogen werden: Sie sind äußerst langlebig. Erbinformationen geben sogar in zweiter oder dritter Generation Informationen über genetische Belastungen und Krankheiten preis.
Daraus folgt, dass besonders sensible Gesundheitsdaten wie Erbinformationen nicht nur ein paar Jahre, sondern mindestens ein Leben lang geschützt werden müssen. Dies jedoch ist mit den heute eingesetzten Verschlüsselungsverfahren nicht machbar, denn die Rechenkapazitäten von Angreifern werden mit der Zeit immer größer und ihre Angriffe besser. Der Informatiker und Mathematiker Prof. Dr. Johannes Buchmann von der TU Darmstadt sagt: »Alle heute genutzten Verschlüsselungsverfahren werden in den nächsten Jahren und Jahrzehnten unsicher.« Daher entwickeln ForscherInnen der TU Darmstadt gemeinsam mit japanischen und kanadischen PartnerInnen gerade einen technologischen Prototypen, der über den Ansatz des »Secret Sharing« – des Teilens einer Verschlüsselung mit mehreren Personen – eine sichere Speicherung sensibler Patientenakten auch über Jahrzehnte ermöglichen soll. Der Weg vom Prototypen zur Einführung eines solchen Systems ist jedoch weit und oft mit Stolpersteinen gepflastert.
Aktuelle Ereignisse lassen keinen positiven Trend in Sachen Datensicherheit erkennen. Allein dieses Jahr wurden Monat für Monat millionenfache Datenlecks bekannt. Im Januar beispielsweise wurde eine Datenbank mit den Daten aller 14.000 HIV-positiven Menschen in Singapur offengelegt. Im Februar wurde bekannt, dass Aufzeichnungen von 2,7 Mio. PatientInnen-Anrufen in einer großen Datenbank aus Schweden ungeschützt im Internet lagen. Im März wurde eine chinesische Datenbank mit 1,8 Mio. »gebärfähigen« Frauen geleakt. Im April wurde ein Innentäter aus dem Bundesgesundheitsministerium für Datenklau verurteilt. Und im Juni wurde bekannt, dass die personenbezogenen Daten von 12 Mio. PatientInnen aus den USA einem Datendiebstahl zum Opfer gefallen sein könnten.
Nach einer Studie aus den USA von Jay J. Ronquillo und KollegInnen aus dem Jahr 2018 waren in den Jahren 2014 bis 2017 insgesamt 130 Mio. Datensätze von 363 meldepflichtigen sogenannten »Hacking Incidents« betroffen (Ronquillo et al. 2018). Aber auch skandinavische Länder, die hierzulande gerne als Vorreiter der Digitalisierung genannt werden, stehen in Sachen Datensicherheit nicht besser da. Beispielsweise wurden bei einem digitalen Einbruch in Norwegens größter Gesundheitsbehörde im Jahr 2018 die Gesundheitsdaten der Hälfte aller NorwegerInnen offengelegt.
Angesichts solcher Vorfälle lautet die entscheidende Frage, ob und wie in Sachen Informationssicherheit eine Trendwende gelingen kann. Denn ohne entscheidende Fortschritte werden wir mit der Digitalisierung des Gesundheitswesens nicht wie gewünscht vorankommen.
Auch die Studie der Bitkom nennt Datenhoheit und Datenschutz als Grundvoraussetzung für Akzeptanz einer ePA. Diese beiden Anforderungen waren den befragten BefürworterInnen einer E-Akte am wichtigsten.
Als wenig hilfreich bei der Lösung des Problems haben sich Zertifizierungen und Selbstverpflichtungen von Anbietern erwiesen. Unter den auf dem 35. Chaos Communication Congress bemängelten Apps trugen viele Datenschutzsiegel und Zertifikate. Daher wird auch auf Bundesebene über weitere Lösungsansätze diskutiert, darunter eine Meldepflicht für Sicherheitsmängel und erweiterte Produkthaftung, deren mögliche Ausgestaltung jedoch kompliziert ist und auf europäischer Ebene stattfinden müsste.
Angesichts der intransparenten Sicherheit von Gesundheits-Apps bleibt VerbraucherInnen vorerst nur, sich über die unterschiedlichen Risiken bei der Verarbeitung von Gesundheitsdaten bewusst zu werden. Generell sind dabei Apps zu bevorzugen, die bei gleichem Nutzen möglichst sparsam mit Daten umgehen, transparent Auskunft über die verarbeiteten Daten geben und Daten möglichst lokal auf dem Gerät des Nutzers speichern.
Vor der Entscheidung oder der Empfehlung für eine Gesundheits-App kann es zudem hilfreich sein, sich auf unabhängigen Informations- und Bewertungsportalen über Nutzen und mögliche Risiken zu informieren. Portale wie HealthOn.de bewerten Apps anhand von Risikofaktoren wie Sensibilität der Daten oder Intensität der Nutzung und helfen so bei der Entscheidung.
