IT im Gesundheitswesen braucht keine zentralisierten Strukturen. Bei der vermeintlichen Verbesserung der Kommunikation unter den Beteiligten wird der Patient immer wieder vergessen und die Nutzen-Risiko-Bewertung vernachlässigt. So ist mein Fazit dieses Gesprächs.

Erst einmal einen ganz herzlichen Dank an Henning für seine unermüdliche Arbeit: Einfach nur toll!

Auch wenn das Gespräch mit Herrn Saatjohann schon eine Weile her ist, möchte ich ein paar Eindrücke und Gedanken hier noch loswerden. Uneingeschränkt positiv fand ich übrigens den zwischenmenschlichen Aspekt dieses Gesprächs. Im Gegensatz zu vielen Politikern und Funktionsträgern hatte ich bei ihm den Eindruck, dass Herr Saatjohann die Dinge so sagt, wie er sie meint und (fast) nicht taktiert: Danke an ihn.

Vorweg zum Verständnis: Der Sicherheitsbegriff

Was wir zuerst uns klar machen müssen: In der IT gibt es keine absolute Sicherheit, alles ist mehr oder weniger sicher oder unsicher. Und das ist auch keine feste Eigenschaft, sondern ändert sich kontinuierlich. Ein Programm, ein Betriebssystem, eine Verschlüsselung etc. hat ein bestimmtes Sicherheitsniveau nach dem (heutigen) Stand der Technik.

Daraus folgt:

• Der mitunter inflationär benutzte Begriff „sicher“ („sichere Verbindung“, „sichere TI“, „Gematik: Wir vernetzen Deutschland. Sicher.“) ist irreführend und heißt eigentlich nur „nach aktuellem Stand wahrscheinlich sicherer als …“. Und hier ist i.d.R. auch nur die Zugriffssicherheit und nicht die Ausfallsicherheit gemeint.
• Daran ändert auch der ebenso inflationär benutzte Begriff „Vertrauen“ („Trust“) nichts. Das sind in der IT technische Begriffe für Regeln, nach denen Prozesse ablaufen dürfen – oder auch nicht: „Zero-Trust“.
  Als vor kurzem in der Post von der Psychotherapeutenkammer die Rede von einem „Vertrauensdienstleister“ war, dachte ich zuerst, wir Psychotherapeuten seien gemeint, falsch gedacht.

Ein „Stand-alone“-Rechner, der keine Verbindung zum Internet hat und bei dem der Zugang physisch reglementiert ist (nur bestimmte Personen, abgeschlossener Raum etc.) ist wahrscheinlich jetzt und in Zukunft die sicherste IT! (Back-Ups für die Ausfallsicherheit vorausgesetzt).

1. Zentrale Datenspeicherung: Der Traum von der Cloud:

Viele kennen die Faszination einer funktionierenden Cloud-Technologie: Ich mache Fotos mit meinem Handy und kann diese direkt anschließend auf meinem Tablett herumzeigen. Oder der Text, den ich zu Hause am PC angefangen habe, lässt sich auch auf der Zugfahrt oder im Büro weiter bearbeiten und auch an andere weitergeben. Ich brauche jeweils nur ein Zugangsgerät und habe alle meine Daten, Texte, Bilder, Termine, Adressen etc. jederzeit und überall verfügbar ohne mich um Datensicherung, -sicherheit, -speicherung, -transport zu kümmern.

Können wir das mit unseren medizinischen Daten nicht genauso machen? Die zentrale Speicherung von „Gesundheitsdaten“ – ein ähnlicher Euphemismus wie „Sicherheit“ und „Vertrauen“ in der IT – hat als Idee genau die Vorteile, die wir uns von einem fortgeschrittenen „Cloud Computing“ erhoffen: Ständige, weltweite Verfügbarkeit meiner Daten mit professioneller Sicherheit durch einen „renomierten“ Anbieter. Ich weiß genau, was andere über mich wissen. Als „König Kunde/Patient“ übermittle ich meinem Arzt, meiner Versicherung, meinem Arbeitgeber die und nur genau die Daten über mich, die ich übermitteln möchte.

In einer idealen Welt ginge das. In einer Welt, in der es weder technische oder menschliche Unzulänglichkeiten noch Interessensgegensätze gäbe, ginge das. In einer Welt, in der ITler u.a. realisieren, wie menschliche Unzulänglichkeiten durch technische Lösungen aufgefangen werden, ginge das vielleicht. In der Realität von heute geht das nicht und es wird höchst wahrscheinlich auch nicht stabil und dauerhaft in der Realität von morgen gehen.

Das „Warum nicht?“ kann ich hier nicht und vor allem nicht abschließend beantworten, nur so viel:

Die Telematik-Infrastruktur soll einfach zu vieles auf einmal:

• gute und leichtere Versorgung der Patienten bei verbesserter Selbstbestimmung und Verantwortlichkeit,
• Arbeitserleichterung, -effektivität und –sicherheit für Ärzte und Kliniken,
• Risikokalkulierbarkeit und erweiterte Geschäftsmodelle für Krankenkassen,
• Planbarkeit für Politik und Verwaltung, Kostenkontrolle,
• Daten für Grundlagenforschung incl. Big-Data-Ansätze,
• Daten für Versorgungsforschung,
• Daten für medizinische Versorgungs- und Geschäftsinnovationen

u.a.m..

Je mehr Interessen und Funktionen berücksichtigt werden sollen,

• -> desto komplexer sind die Anforderungen und desto höher ist die Zahl der Beteiligten (Verantwortung, Konstruktion, Umsetzung, Zugriff),
• -> desto höher ist die Fehleranfälligkeit und desto mehr Angriffspunkte sind vorhanden,
• -> desto mehr Sicherungsmaßnahmen und Sicherheitsmechanismen müssen eingesetzt werden,
• -> desto geringer wird die Praktikabilität (für die ITler, die Praxen und Kliniken, die Patienten),
• -> desto unübersichtlicher wird das Projekt für Benutzer und Betreiber (Anwendungsfehler, Ineffektivität),
• -> desto weniger wahrscheinlich wird der beabsichtigte Nutzen für alle erzielt
• und desto wahrscheinlicher wird es irgendwann zu kleinen oder größeren Systemzusammenbrüchen kommen (kleiner Vorgeschmack im Sommer 2020)

(s. hierzu: Komplex und eng vernetzt: Das ist das einfache Rezept für eine Katastrophe: https://www.europahelden.eu/Daten_oder_Freiheit.pdf ).

2. Verschlüsselung

Wenn schon die höchst persönlichen und intimsten Daten nahezu jedes Patienten „ins Internet gestellt“ werden sollen, ist die Kryptographie das, wovon alles abhängt. Natürlich – so wird jeder „Fachmensch“ sagen – wird nichts „ins Internet gestellt“. Aber letztlich geht es um Rechner, die über das Internet Daten austauschen und die über das Internet erreichbar sind. Sowohl die Zugänge als auch die Daten selbst müssen kryptographisch geschützt sein – verschlüsselt. Findet jemand die Wege zu den Rechnern, auf denen die ePA-Daten oder die verschiedensten personenbezogenen Datenbanken (Implantateregister, Krebsregister, Diagnose- und Abrechnungsdatenbanken u.v.m.) gespeichert sind, ist die Verschlüsselung das einzige, was dann noch den Daten-Super-GAU verhindern kann. Tagtäglich gibt es Meldungen über gehackte Patientendaten oder gehackte medizinischen Datenbanken (s. z.B. https://us10.campaign-archive.com/home/?u=9ecc3b14920f915f2ba2800c7&id=9e83f2bd95 ). Gelten diese Risiken auch für die TI und ihre Anwendungen?

Vom Konzept her ist die ePA wohl deutlich sicherer als viele andere Anwendungen angelegt. (s. Hennings Gesprächszusammenfassung) Aber – hier gab es eine kleine Diskussion zwischen Herrn Saatjohann und mir – wenn es aus übergeordneten Gründen (z.B. die benutzten Kryptographie-Verfahren würden geknackt oder aufgrund von weitgehenden politischen Veränderungen) notwendig erschiene, wäre es möglich, die organisatorisch und rechtlich getrennten zwei Schlüssel der ePA zusammenzuführen und die eAkten der Bundesbürger zu entschlüsseln.

An anderer Stelle hat einer der Mitentwickler der ePA (Mark Langguth) davon gesprochen, dass, sollte der Staat entscheiden, doch auf die Inhalte der ePAs zugreifen zu wollen, könne doch jeder Patient vorher seine Daten löschen. Hoffen wir, dass solche Grundrechtsverletzungen rechtzeitig angekündigt werden. Aber: es scheint möglich zu sein!

Und in der täglichen Anwendung? Für den Patienten? Auf dem Handy! Angesichts Pegasus und Quellen-TKÜ. Wenn ein Patient seine Krankengeschichte aus der ePA oder seine Notfalldaten, Verordnungen und Krankschreibung auf seinem Handy öffnet, werden diese Daten dafür entschlüsselt. Jeder, der in dem Moment per Spyware oder Staatstrojaner Zugriff auf dieses Handy hat, hat auch Zugriff auf diese gesamten medizinischen Daten.

3. Nutzen-Risiko-Analyse

Das Röntgenbild vom Zahnarzt macht nach Meinung unseres Gesprächspartners Sinn in der ePA, beim Bericht vom Psychotherapeuten stimmt das Nutzen-Risiko-Verhältnis aber nicht mehr. Selbst die Bundespsychotherapeutenkammer rät Patienten in psychotherapeutischer Behandlung noch davon ab, die ePA zu nutzen. Gleichzeitig ist das Vertrauensverhältnis zwischen Patient und Psychotherapeut besonders sensibel und besonders wichtig. Warum gibt es keine Ausnahmen für Psychotherapeuten?

Natürlich wäre es sinnvoll, das Verhältnis von Nutzen und Risiko in der Vernetzung des Gesundheitssystems zu berücksichtigen. Es sei aber gerade ein angeblicher Vorteil der TI, dass alles über ein System laufen soll. Es soll also keine Ausnahmen geben! „Schlankere Lösungen“, die einfacher, praktikabler, und meist auch sicherer wären, bleiben immer wieder zugunsten der TI auf der Strecke. Auch auf explizites Nachfragen bei der gesundheitspolitischen Sprecherin der Grünen und einer Befürworterin der TI, Frau Klein-Schmeink, konnte sie keinen konkreten Vorteil der TI im Bereich der Psychotherapie benennen. D.h. es liegt die Vermutung nahe, es geht um etwas anderes als nur um die medizinische Versorgung der Bevölkerung. Und insbesondere für jede Versicherung (Kranken-, Renten-, Lebens-, selbst KFZ-Versicherung) ist ein Wissen um die psychische Gesundheit ihrer Mitglieder für die Risikokalkulation wichtig.

An dieser Stelle wurde für mich die Diskrepanz besonders deutlich: Das eher pragmatische Interesse des Patienten (Röntgenbild in der ePA für den nächsten Behandler) hat überhaupt nichts zu tun mit der „Datensammelwut“ des Staates oder welche Interessen hier auch immer federführend sind. Dass die „Datensammelwut“ schon aus verfassungsrechtlichen Gründen begrenzt werden muss (s. Volkszählungsurteil von 1983), wird anscheinend heute bei weitaus fortgeschritteneren Möglichkeiten der Datenverarbeitung unterlaufen.

4. Verantwortungen

Laut Gesetz (§ 307 SGB V n.F. ) gibt es Regeln für die Verantwortung in der TI. Aber: Die Gematik gilt hier nur als „verantwortungsfreier Vermittlungsdienst“ und die Verantwortung wird auf die jeweiligen Betreiber und Dienstleister übertragen und aufgesplittet, obwohl diese den Vorgaben und Zertifikaten der Gematik unterworfen sind. Und es gibt nicht einmal Listen darüber, wer denn jetzt konkret wofür verantwortlich ist. (Falls doch: bitte mir umgehend zusenden! Ich habe bei KVWL, KBV, BMG und Gematik nachgefragt und keine Verantwortlichen genannt bekommen.) Vor allem gibt es niemanden, der für irgendeinen Prozess von Anfang bis Ende verantwortlich ist. Dies alles müsste inklusive der Datenschutzfolgenabschätzung (Art.35 DSGVO) vor Betrieb der TI geregelt sein. Ist es aber nicht.

Die große Angst vieler Praxisinhaber: Im Schadensfall bleiben sie nicht nur auf dem Schaden sondern auch auf der Haftung hängen. Denn: Die Regeln für den sicheren Betrieb eines Konnektors und Kartenterminals sind in der Praxis nicht umsetzbar. Die allgemeineren IT-Sicherheitsregeln der KBV decken nicht einmal den IT-Grundschutz des BSI ab. Der Arzt oder der Psychotherapeut, der sich ans Internet und an die TI anschließt, riskiert hier Ruf und Vermögen, denn irgendeinen Fehler wird man ihm immer nachweisen können. Herr Saatjohann sah das nicht so pessimistisch, da doch auch ein kausaler Zusammenhang zwischen dem Fehler des Praxisinhabers und dem entstandenen Schaden nachgewiesen werden müsse. Ich fand’s wenig beruhigend.

5. Wird das noch was mit der TI?

Auch wenn Herr Saatjohann hier verhalten optimistisch ist, habe ich Zweifel: Es gab zwar große Ankündigungen und Versprechen. Wenn eAU und eRezept und KIM dann real werden sollen, hakte es an allen Ecken, so dass auch bis mindestens nächsten Sommer auch alles weiter auf Papier laufen darf. Die Gematik ist als Kommunikationspartner hier leider vollkommen nutzlos, da sie – aus welchen Gründen auch immer – nur einen Zweckoptimismus verkündet, der fern aller Realität kaum zu ertragen ist. So entsteht keine Basis für eine Zusammenarbeit!

Als Geschäftsmodell gedacht, funktioniert die TI: Es gibt sowohl bzgl. Hardware, Software oder Dienstleistungen immer wieder etwas, dass die Arztpraxen, Kliniken, Apotheken etc. einkaufen müssen, was nach einer gewissen Zeit überholt ist oder was demnächst tolle weitere Funktionen bietet. Der Notfalldatensatz, der eigentlich auf die eGK sollte, wird jetzt doch in die TI verlegt. Vielleicht ist das der Anreiz, dass doch noch ein paar Patienten sich für die ePA interessieren, auch wenn noch kein RTW dafür ausgerüstet ist, dort die Notfalldaten lesen zu können.

In vielen Bereichen wird mehr und mehr IT-Technik eingesetzt, auch die Regressforderungen der Krankenkassen nehmen durch die besseren Kontrollmöglichkeiten zu, ein Gewinn für die Patienten ist eigentlich noch nicht zu erkennen. Auch hier entstand eine kleine Diskussion: Herr Saatjohann haderte mit der deutschen Digitalisierung in der Pandemiebekämpfung und lobte Großbritannien für seine Forschungsmöglichkeiten: Die haben die besseren Zahlen. Ich hielt dagegen, dass sowohl Großbritannien als auch das Digitalisierungsmusterland Estland in der Pandemie deutlich schlechter dastehen als Deutschland. – Aber die haben die besseren Zahlen und die sind für die Forschung und die zukünftige Versorgung wichtig. – Aber wir haben ganz real die bessere Versorgung der Bevölkerung. (Noch!)

Fazit:

Dass Hr. Saatjohann es wichtig findet, dass im Gesundheitswesen und besonders zwischen Ärzten und Patienten Informationen schneller und sicherer ausgetauscht werden sollen, ist nachvollziehbar und dem kann ich (fast uneingeschränkt) zustimmen. IT als neuer Weg der Kommunikation im Gesundheitswesen braucht aber keine zentralisierten Strukturen. Hier könnten und müssen sowohl die Gematik, als auch das BSI, als auch der BfDI, als auch der Gesetzgeber ganz viel tun um Datensicherheit zu verbessern. Um die notwendigen Kriterien von Datensparsamkeit und –transparenz, sowie möglichst schlanke und resiliente Lösungen zu realisieren, müssen allerdings andere Interessen herausgehalten und ggfls. separat berücksichtigt werden. Es darf keinen Wettlauf mit den großen Datenkraken wie Google, Facebook etc. geben, sondern es müssen datenschutzkonforme und datensichere Konzepte ohne eine „hidden agenda“ als Gegengewicht gesetzt werden.

Das könnte funktionieren.

Mit sehr vorsichtigem Optimismus.

L. Seite