„Es ist ein Leichtes, unbefugt auf Daten zuzugreifen“

Interview Svenja Bergt

taz: Herr Kelber, bekommen Google, Meta, OpenAI und Co in Zukunft auch noch unsere Gesundheitsdaten?

Ulrich Kelber: Das ist möglich. Sie müssen natürlich einen entsprechenden Antrag stellen. Aber die Gesundheitsdaten aus den elektronischen Patientenakten, die pseudonymisiert an das Forschungsdatenzentrum fließen, können dort auch von Privatunternehmen für medizinische Forschung genutzt werden.

taz: Alle gesetzlich Versicherten, die nicht widersprochen haben, bekommen eine elektronische Patientenakte – die ePA – von ihrer Krankenkasse eingerichtet. Die Ärz­t:in­nen müssen diese Akten dann mit den Gesundheitsdaten der Versicherten befüllen. Was kommt hier auf die Versicherten zu?

Kelber: Auf alle Fälle eine große Verantwortung. Denn jede und jeder muss entscheiden: Glaubt man, dass für einen selbst die Vorteile überwiegen, wenn alle Ärzte auf die eigenen Gesundheitsdaten zugreifen können? Gibt es vielleicht einzelne Befunde oder Diagnosen, die man verbergen möchte? Oder schätzt man das Risiko insgesamt so hoch ein, dass man lieber ganz widerspricht?

taz: Wie hoch schätzen Sie das Risiko ein?

Kelber: Die ePA 3.0, die jetzt kommt, hat definitiv in einigen Bereichen niedrigere Standards in Sachen Sicherheit als ihr Vorgänger. Und ihr fehlen wichtige Funktionen, zum Beispiel um zu steuern, wer auf welche Inhalte zugreifen darf.

taz: Der Vorgänger, das ist die ePA, die sich die Versicherten schon in der Vergangenheit freiwillig einrichten lassen konnten, wenn sie das bei ihrer Krankenkasse beantragt haben. Die hat nur kaum jemand genutzt.

Kelber: Beim Vorgänger wurde zum Beispiel jede einzelne ePA noch mal separat verschlüsselt. Das fällt jetzt weg und das ist sicher eine Verschlechterung.

taz: Wird jetzt vielleicht mehr Wert auf Komfort und einfache Bedienbarkeit gelegt und das geht zu Lasten der Sicherheit?

Kelber: Komfort ist kein Argument für weniger Sicherheit. Heutzutage ist es möglich, hochsichere Systeme zu bauen, die trotzdem gut bedienbar sind. Nein, hier wurde die Sicherheit und der Schutz der Patientendaten einfach an vielen Stellen überflüssigerweise vernachlässigt.

taz: Bei der Verschlüsselung also, an welchen Stellen noch?

Kelber: Nehmen wir zum Beispiel die Zeitspanne, in der etwa Ärzte auf die Daten zugreifen können. Hat die Patientin einmal ihre Krankenkassenkarte bei einer Arztpraxis eingesteckt, dürfen alle Mitarbeitenden dieser Praxis 90 Tage in deren ePA lesen und schreiben. In einer Apotheke sind es immer noch drei Tage. Das ist beides zu lang. Warum soll die Apotheke, nachdem eine Kundin dort war, noch drei Tage auf die Daten zugreifen können? Und zwar nicht nur auf den Medikationsplan, sondern auch auf andere Gesundheitsdaten. In einer Apotheke können Dutzende Menschen arbeiten, in einer Versandapotheke auch mal Hunderte. Da wäre es ein Leichtes, unbefugt auf Daten zuzugreifen. Oft ohne, dass sich hinterher nachvollziehen lässt, wer das war. Denn dokumentiert wird in der ePA nur, welche Einrichtung auf die Daten zugegriffen hat und nicht, welche Person. Dazu kommt: Patienten können nicht mehr einstellen, dass ein Dokument, zum Beispiel das Ergebnis einer Blutuntersuchung, vom Hausarzt eingesehen werden kann, aber von der Zahnärztin nicht. Gerade Patienten mit sensiblen Diagnosen, zum Beispiel HIV, oder bei einem Schwangerschaftsabbruch, befürchten zu Recht Stigmatisierung. In der freiwilligen ePA ließen sich Dokumente noch arztbezogen verbergen. Nun werden solch sensiblen Daten ohne Not schlechter geschützt.

taz: Welche Folgen kann das konkret haben?

Kelber: Es gibt schon Fälle, in denen Menschen erpresst werden, weil medizinische Daten in falsche Hände geraten sind. Ein Fall aus Finnland: Hier sind die Daten des Anbieters, der die meisten psychotherapeutischen Behandlungen durchführt, an Unbefugte gelangt. Die Betroffenen wurden erpresst.

taz: Wer würde denn hierzulande in solchen Fällen haften?

Kelber: Das wird wohl erst vor Gericht entschieden werden – genauso wie mögliche Schadensersatzansprüche. Aber der Fall aus Finnland zeigt: Längst nicht alles landet vor Gericht. Denn wenn die Betroffenen nicht wollen, dass ihre Depression öffentlich wird, dann werden sie wohl kaum eine Anzeige erstatten, die dann in ein öffentliches Gerichtsverfahren mündet.

Ulrich Kelber (SPD) war von 2019 bis 2024 Bundesbeauftragter für den Datenschutz und die Informationsfreiheit. Als solcher hat der Informatiker die Einführung der elektronischen Patientenakte begleitet.

taz: War es ein Fehler, auf Opt-out umzustellen, also darauf, dass alle die ePA bekommen, die keinen Widerspruch einlegen?

Kelber: Es wäre jedenfalls das Mindeste gewesen, das Opt-out anders umzusetzen. So, dass weniger Daten automatisch in die Akte fließen. Zum Beispiel nur die verordneten Medikamente oder Daten für Notfallzwecke. Bei allen anderen Informationen hätten die Versicherten dann aktiv entscheiden müssen, ob diese in die ePA sollen. In Idealfall wäre das gemeinsam mit dem Arzt passiert – sodass Behandelnde und Patienten Vor- und Nachteile gemeinsam abwägen. So wie es jetzt ist, wird die Verantwortung auf die Versicherten abgewälzt. Die müssen laufend reinschauen in ihre ePA-App und sich überlegen: Wer soll welche Daten sehen dürfen? Welches Risiko gehe ich hier ein? Und gerade für die älteren Patienten, für die diese zentrale Akte ja die größten Vorteile bringen soll, und die zu Teilen gar kein Smartphone nutzen, ist das überhaupt nicht praktikabel. Ich halte das alles für nicht gut durchdacht.

taz: Auf dem Kongress des Chaos Computer Clubs wurden neue Lücken vorgestellt, mit denen Unbefugte auf die Akten von Pa­ti­en­t:in­nen zugreifen können. Wie groß ist das Problem?

Kelber: Das ist groß. Hier geht es teils auch um Lücken, auf die bereits die Datenschutzbehörden vor Jahren hingewiesen haben. Nämlich, dass es vergleichsweise leicht ist, sich einen Heilberufsausweis samt entsprechendem Schlüssel zu verschaffen – die braucht man, um auf die Akten von Patienten zuzugreifen. Und, noch gravierender: Die CCC-Experten haben gezeigt, dass es möglich ist, Zugriffs-Tokens für die Patientenakten beliebiger Versicherter zu erstellen. Damit lässt sich potenziell Zugriff auf die Daten aller Versicherten erlangen – ohne dass deren Karten eingelesen werden müssen.

taz: Am 15. Januar ist die ePA in Modellregionen in Franken, Hamburg und NRW gestartet, ab 15. Februar soll sie laut Plan für alle kommen. Sollten die Pa­ti­en­t:in­nen in den Modellregionen jetzt schnell widersprechen?

Kelber: In den Modellregionen ist das Risiko nicht so hoch. Denn hier dürfen nur die teilnehmenden Praxen und Apotheken auf die Daten zugreifen, da kann sich niemand von außen so einfach reinmogeln. Aber vor dem bundesweiten Start müssen solche Lücken geschlossen werden. Denn 70 Millionen gesetzlich Versicherte – das ist der Daten-Honeypot in Europa.

taz: Was raten Sie Versicherten?

Kelber: Pauschal zu- oder abraten kann ich nicht. Das Wichtigste ist, sich gut zu informieren und auf dieser Basis eine Entscheidung zu treffen. Für manche Menschen kann es richtig sein, die ePA zu nehmen – für andere, ihr zu widersprechen.

taz: Und wie haben Sie sich selbst entschieden?

Kelber: Ich habe keine Krankheiten, deretwegen ich Stigmatisierung befürchten müsste. Ich erwarte auch keine Nachteile im Job oder wenn es darum geht, eine Versicherung zu bekommen. Daher werde ich der ePA Stand jetzt nicht widersprechen.