Hundertprozentige Sicherheit gibt es bei digitalen Daten nicht
Zentrale Fragen zu Datenschutz und Datensicherheit sind im elektronischen Gesundheitssystem noch ungeklärt
Die Digitalisierung im Gesundheitswesen verlangt Patient:innen vor allem eines ab: Vertrauen in Institutionen und Technik, dass ihre sensiblen Gesundheitsdaten sicher sind. In kaum einem Bereich ist Datenschutz so essenziell wie bei Gesundheitsdaten. Werden Bankdaten oder Passwörter gestohlen, ist das für die Betroffenen unangenehm und oft mit finanziellem Schaden verbunden. Doch Bankdaten und Passwörter kann man wechseln. Gesundheitsdaten gelten jedoch ein Leben lang.
Eine chronische Erkrankung wird man nicht los, eine einmal vorgenommene Behandlung kann man nicht rückgängig machen, genetische Daten sind unveränderbar. Sind diese Informationen einmal in falsche Hände geraten, gibt es für die Betroffenen kein Zurück. Gesundheitsdaten listen gegebenenfalls auf, ob jemand zum Beispiel unter Depressionen leidet, einen Schwangerschaftsabbruch hat vornehmen lassen oder geschlechtsangleichende Operationen, und solche Informationen könnten zum Anlass werden für Diskriminierung. Arbeitgeber:innen könnten Bewerber:innen vor der Anstellung auf Erkrankungen checken.
Das Interesse am Datenschutz steht dem Interesse an der Datennutzung entgegen
Um Menschen und Daten bestmöglich zu schützen, bedarf es eines hohen technischen Schutzniveaus. In der Theorie sollte der Gesetzgeber alle Akteur:innen im Gesundheitswesen, die mit dem Speichern von Gesundheitsdaten befasst sind, zu den höchsten IT-Sicherheitsstandards zwingen und dafür auch entsprechende Mittel zur Verfügung stellen. In der Praxis läuft das Interesse am Datenschutz aber oft dem Interesse an der Datennutzung zuwider. Außerdem vernachlässigt das Gesundheitssystem die IT-Sicherheit wegen finanzieller Engpässen sträflich.
Schon jetzt greifen Hacker:innen immer wieder die IT-Infrastruktur in Krankenhäusern an und legen Notaufnahmen lahm – eine direkte Bedrohung für die Sicherheit der Patient:innen. Ende des vergangenen Jahres hackten Kriminelle eine australische Krankenkasse und veröffentlichten Gesundheitsdaten von Millionen Versicherten im Netz. 2020 stahlen Hacker:innen in Finnland die Daten eines Psychotherapiezentrums und veröffentlichten Therapieprotokolle von Zehntausenden Patient:innen – offen einsehbar für Angehörige, Arbeitgeber und die interessierte Öffentlichkeit.
Sicherheitslücken kann es immer geben
Digitale Angebote wie die elektronische Patientenakte senken nicht automatisch die Datensicherheit im Gesundheitswesen. Völlige Sicherheit kann es bei digitalen Daten ohnehin nicht geben. Software-Entwickler:innen können immer eine Sicherheitslücke übersehen haben, die dann von Kriminellen oder Geheimdiensten ausgenutzt wird. Doch schon jetzt liegen viele Gesundheitsdaten in digitaler Form vor – auf den Rechnern der einzelnen Krankenhäuser und Arztpraxen, die im Zweifelsfall viel weniger gut gegen Angriffe gewappnet sind als eine Dateninfrastruktur, für die mehr Mittel vorhanden und einheitliche Standards vorgegeben sind.
Diese kann im Zweifelsfall auch besser garantieren, dass die Daten jederzeit und überall verfügbar sind, sobald sie im Falle einer Erkrankung oder eines Unfalls gebraucht werden. Gleichzeitig würde sich eine Sicherheitslücke in einem System, in dem die Daten zentral an einem Ort gespeichert sind, viel gravierender auswirken, da die Daten aller Patient:innen auf einmal verloren gehen würde.
Erzwungene Weitergabe
Bedenken gibt es auch bei der Bereitstellung der Gesundheitsdaten für die Forschung. Versicherte können nicht verhindern, dass ihre Abrechnungsdaten an das Forschungsdatenzentrum (FDZ) weitergegeben werden und dort ohne Anonymisierung gespeichert werden. Ein verfassungswidriges Gesetz, meinen Datenschützer:innen und gehen juristisch gegen die erzwungene Datenweitergabe vor. Das Urteil des Berliner Sozialgerichts steht noch aus.
Die Befürchtung: Da das Forschungsdatenzentrum beim Bundesinstitut für Arzneimittel und Medizinprodukte, einer Behörde des Bundesgesundheitsministeriums, angesiedelt ist, können die Entscheidungen über die Nutzung der Daten nicht unabhängig von der Politik getroffen werden. Denn was mit „Forschung“ gemeint ist, ist gesetzlich nicht genau festgelegt. Grundsätzlich räumt die Datenschutz-Grundverordnung der Forschung besondere Rechte für die Nutzung von Daten ein. Doch unter dem Aspekt der „Forschung“ könnten auch das Bundesgesundheitsministerium, die Krankenkassen, Verbände und andere Akteure Zugriff auf die Daten erlangen.
Datenschutzorganisationen kritisieren mangelnde gesetzliche Vorkehrungen
Gegen die Nutzung zu anderen Zwecken seien die Gesundheitsdaten gesetzlich nicht ausreichend geschützt, meinen Datenschutzorganisationen. Es gebe kein Gesetz, das es beispielsweise Strafverfolgungsbehörden verbiete, die Daten zu beschlagnahmen. Forscherinnen und Forscher haben kein Zeugnisverweigerungsrecht, wenn sie in einem Gerichtsprozess zum Inhalt der Daten, an denen sie forschen, befragt werden. Beim europäischen Gesundheitsdatenraum könnte die verpflichtende Datenweitergabe für die Forschung nicht nur für Abrechnungsdaten, sondern auch für Daten aus der elektronischen Patientenakte gelten. Auf EU-Ebene wird derzeit verhandelt, wie die Datenspende geregelt werden soll.
Obwohl hundertprozentige Sicherheit weder technisch noch gesetzlich garantiert werden kann, gibt es im deutschen Gesundheitssystem noch viel Verbesserungspotenzial für digitale Prozesse – seitens des Gesetzgebers und der Akteur:innen im Gesundheitswesen. Digitalisierung, Technologie und Forschungsdaten haben das Potenzial, das Gesundheitssystem besser zu machen. Um die Risiken für Patient:innen so gering wie möglich zu halten, muss ein Datenverlust so unwahrscheinlich wie möglich gemacht werden.