piwik no script img

Ungeschützte PatientendatenMy body, my data

Die Gesundheits-IT ist jetzt schon leicht angreifbar, wie ein Hack des Chaos Computer Clubs zeigt. Bald sind die Daten noch schlechter geschützt.

Fragwürdig: Unklar ist, wer künftig Zugang zu Daten von Patient:innen hat Foto: Karl-Josef Hildenbrand/dpa

Berlin taz | Wie löchrig die verpflichtende IT-Infrastruktur im Gesundheitswesen ist, haben Sicherheitsforscher auf dem aktuellen Jahreskongress des Chaos Computer Clubs nachgewiesen. Ihnen gelang es ohne größeren Aufwand, sich gültige Heilberufsausweise, Praxisausweise, Konnektorkarten und Gesundheitskarten mit den Identitäten Dritter zu verschaffen. Mit diesen lässt sich dann auf die Daten von Versicherten zugreifen. In Reaktion darauf, teilte die zuständige Gematik-Gesellschaft mit, dass die Ausgabe von Praxis- und Arztausweisen gestoppt worden sei.

Bei dem Angriff geht es um die Telematik-Infrastruktur. Der müssen sich bereits jetzt alle Praxen anschließen – sonst droht den Ärzt:innen Honorarabzug. Sichtbarer Teil dieser Infrastruktur ist für Patient:innen die elektronische Gesundheitskarte, die seit einigen Jahren für gesetzlich Versicherte Pflicht ist. Doch dahinter steckt ein Netzwerk aus zahlreichen Geräten – von Konnektoren bis Kartenlesern.

Über dieses Netzwerk müssen Ärzte ab 2021 auch die elektronische Patientenakte anbieten. Darin sollen Befunde wie Blutwerte oder MRT-Scans zentral gespeichert werden, sodass mehrere behandelnde Ärzte darauf zugreifen können. Befürworter der elektronischen Patientenakte argumentieren, dass dadurch der Datenaustausch zwischen Ärzten erleichtert und Patient:innen besser behandelt werden könnten.

Bereits im Dezember wies der IT-Sicherheitsberater Thomas Maus in der Computerzeitschrift c’t zahlreiche Schwachstellen der Telematik-Infrastruktur nach. So werden beispielsweise zwei zentrale Elemente nur nach dem Sicherheitsniveau 3+ geprüft. Zum Vergleich: Auf dem Markt erhältliche vernetzte Stromzähler werden üblicherweise nach 4+ geprüft – eine korrekte Stromrechnung scheint also wichtiger als die Sicherheit von Gesundheitsdaten.

Die elektronische Patientenakte

Ab 2021 müssen gesetzliche Krankenkassen ihren Versicherten die elektronische Patientenakte anbieten. Darin werden beispielsweise verordnete Medikamente, Impfungen und Diagnosen festgehalten. Die Daten sollen auf Servern zentral gespeichert werden. Ärzte, Apotheken und Krankenhäuser müssen sich an die dafür notwendige Telematik-Infrastruktur anschließen. Ärzte, die sich verweigern, bekommen aktuell 1 Prozent ihres Honorars abgezogen, ab März 2020 werden es 2,5 Prozent sein. Patienten sollen nach dem aktuellen Stand selbst entscheiden können, ob sie eine elektronische Patientenakte wollen oder nicht.

Weitere Daten-Begehrlichkeiten

Und auch auf einer weiteren Ebene werden die Daten von gesetzlich Versicherten demnächst schlechter geschützt. Denn im kommenden Jahr wird die Umsetzung des frisch vom Bundestag beschlossenen Digitale-Versorgung-Gesetzes Form annehmen. Darin enthalten ist ein schwerwiegender Eingriff in die Rechte von 73 Millionen gesetzlich Versicherten: Deren Abrechnungsdaten sollen künftig zentral gespeichert der Forschung zur Verfügung stehen – und das in pseudonymisierter Form.

Pseudonymisierung lässt jedoch Rückschlüsse auf Personen zu – hier könnte das etwa eine seltene Krankheit sein. Datenschützer:innen fordern daher, dass die Versicherten dieser Speicherung zumindest widersprechen können sollten. Das ist in dem Gesetz von Gesundheitsminister Jens Spahn aber nicht vorgesehen.

Dafür gab es, noch bevor das Digitale-Versorgung-Gesetz überhaupt verabschiedet war, weitere Begehrlichkeiten. Aus dem Wortprotokoll zur Anhörung des Gesetzes geht hervor, dass die Industrie schon mit den Füßen scharrt – sie hätte ebenfalls gern Zugriff auf die Daten. So sagte der als Sachverständige geladene Sebastian Zilch vom Bundesverband Gesundheits-IT, es sei „extrem bedauerlich, dass die Industrie vom Zugang zum Forschungsdatenzentrum komplett ausgeschlossen ist“. Das müsse „unbedingt angepasst werden“.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Mehr zum Thema

3 Kommentare

 / 
Kommentarpause ab 30. Dezember 2024

Wir machen Silvesterpause und schließen ab Montag die Kommentarfunktion für ein paar Tage.
  • epetitionen.bundes...etition_98780.html

    Die zentrale Zwangsspeicherung der Gesundheits- und Sozialdaten von 70 Millionen gesetzlich Krankenversicherten verstösst nicht nur gegen das im Grundgesetz verankerte Recht auf informationelle Selbstbestimmung, sondern auch gegen die DSGVO und gegen die ärztliche Schweigepflicht. Deshalb verweigern viele Ärztinnen und Ärzte den Zwangsanschluss an die TI und nehmen Honorarkürzungen und ggf weitere Sanktionen in Kauf - und das sind gar nicht so wenige! Wer etwas tun möchte, unterzeichne die Online-Petition 98780 des Bundestages.

    • 7G
      75064 (Profil gelöscht)
      @Maghein:

      Das kann ich nur unterstützen!

  • 7G
    75064 (Profil gelöscht)

    Das ist offensichtlich kein großer Aufreger in unserer Ich-habe-ja-nichts-zu-verbergen-Gesellschaft. Nur wenige Artikel in einigen Zeitungen, die eine oder andere Petition von kritischen Ärzten/Therapeuten und das war es auch schon.



    Läuft!