zum Hauptinhalt
Vertrauensverhältnis. Auch Ärzte speichern immer mehr Daten über ihre Patienten – doch viele schützen ihre Systeme nicht ausreichend vor Hackern.

© Getty Images

Datenschutz in der Arztpraxis: Wer schützt unsere Gesundheitsdaten?

Die Sicherheit persönlicher Gesundheitsdaten wird gerade wieder intensiv diskutiert. Dabei geht oft einiges durcheinander. Ein Überblick

Es ist mittlerweile eine Woche her, dass der Bundestag das bislang wohl ambitionierteste Projekt von Bundesgesundheitsminister Jens Spahn (CDU) auf den Weg brachte: das „Digitale-Versorgung-Gesetz“, kurz DVG. Doch war das nur ein erster Schritt, weitere Digitalgesetze werden folgen, um zum Beispiel endlich den Weg zu ebnen für eine elektronische Patientenakte (ePA). Diese soll nach bisherigem Fahrplan im Jahr 2021 allen Mitgliedern der Gesetzlichen Krankenversicherung (GKV) die Möglichkeit bieten, auf ihre Gesundheitsdaten per App, online oder in der Arztpraxis zugreifen zu können.

Und schon ist man mitten in der Diskussion, die unter Gesundheitspolitikern gerade tobt und viele Patienten verunsichert. Sie fragen sich, wer denn noch alles Zugriff auf ihre Daten hat – ihr Arzt, alle Ärzte, die Krankenversicherungen, die Regierung, Google?

Dass in den zurückliegenden Tagen und Wochen immer wieder über unsichere Gesundheitsdaten und einen Google- Skandal berichtet wurde, trug nicht zur Versachlichung der Debatte bei. Dabei wäre die geboten. Im Sinne derer, die ihre Daten geschützt sehen wollen genauso wie derer, die sich berechtigte Hoffnungen machen, mit der Auswertung von Daten medizinische Fortschritte zu erzielen, von denen sie vielleicht selbst noch profitieren können.

Dürfen die Kassen Abrechnungsdaten weitergeben?

Auf den letzten Metern hatte im DVG- Gesetzgebungsverfahren ein schon lange vorher bekannter Passus plötzlich für erhöhte Aufmerksamkeit gesorgt, ausgelöst durch Proteste von Grünen und Datenschützern. Es ging um die Pläne, Abrechnungsdaten von Patienten über die einzelnen Kassen an ein Forschungsdatenzentrum weiterzuleiten. Die Proteste änderten nichts am Plan an sich, wohl wurde das DVG aber noch in dem Sinne abgeändert, dass nun nicht mehr wie ursprünglich geplant Daten ohne Pseudonymisierung weitergeleitet werden. Es geht dabei um Abrechnungsdaten: Alter, Geschlecht, Wohnort und Diagnose-Codes.

Damit wäre es unter anderem möglich, Aussagen über Strukturen in der Versorgungslandschaft zu treffen – wo also bestimmte Patientengruppen, etwa Diabetiker, bessere medizinische Strukturen brauchen. Auch jetzt schon fließen GKVDaten in diese „Versorgungsforschung“ ein, allerdings nur wenige. Kritiker des Datenzentrums monieren, dass nun alle Patienten ohne Widerspruchsmöglichkeit zur Forschung herangezogen würden, ohne dass der Gesetzgeber den Missbrauch der Daten ausschließe.

Wenige Tage nachdem das DVG vom Bundestag verabschiedet wurde (es muss nun noch durch den Bundesrat), schreckte Datenschützer dann eine Meldung auf, die die schlimmsten Befürchtungen zu bestätigen schien. In den USA hatte sich offenbar Google in Kooperation mit dem Gesundheitsdienstleister Ascension ohne Zustimmung der Patienten Zugriff auf Millionen Daten verschafft. Und zwar auch weit sensiblere Informationen als beim geplanten Forschungsdatenzentrum der GKV in Deutschland: zum Beispiel Befunde, Laborergebnisse und Diagnosen. Das sind Daten, die in Deutschland ab 2021 auf der elektronischen Patientenakte abgespeichert werden sollen. Wie diese Daten zu Forschungszwecken zugänglich gemacht werden können, darum kümmert sich die Medizininformatik-Initiative des Bundesforschungsministeriums in Abstimmung mit Datenschützern. Bis jetzt ist aber nicht einmal klar, wie genau die elektronische Patientenakte aussehen soll.

Wie kommt Google an Gesundheitsdaten?

Auch wenn die Rahmenbedingungen beim Google-Datenabgriff gänzlich andere sind als beim geplanten Datenforschungszentrum, werden in beiden Fällen die gleichen Ängste vieler Patienten angesprochen. Darüber hinaus stellt sich die Frage, ob Google nicht auch bald tatsächlich über Umwege Zugang in das deutsche GKV-System bekommen könnte. Denn das gerade verabschiedete Datengesetz von Jens Spahn hat ein zentrales Anliegen: Ärzte sollen vermutlich ab Mitte 2020 Apps auf Rezept verschreiben können. Allerdings ist auch hier noch nicht so recht klar, auf welchen Wegen Patienten an diese Apps kommen. Und sehr wahrscheinlich wird es zunächst nur über die App-Stores von Apple und Google möglich sein – beide bieten zudem auch eigene Apps an.

Die Grünen-Politikerin Maria Klein-Schmeink sieht hier Gefahren. Man müsse davon ausgehen, dass bei Google auch die Daten gesetzlich Versicherter von großem Interesse seien könnten, sagte sie dem Tagesspiegel. Sie gehe zwar nicht davon aus, dass im kommenden Jahr Google- oder Apple-Apps GKV-erstattungsfähig würden. Die Mühen einer Zertifizierung als Medizinprodukt würden die Konzerne meiden und sich auf den nicht reglementierten Gesundheitsmarkt fokussieren. Allerdings müsste der Gesetzgeber nun sicherstellen, dass keine Daten von GKV-Apps abfließen können. Etwa indem staatliche Stellen „Entwickler-Frameworks“ zur Verfügung stellten, sodass Anbieter medizinischer Apps nicht auf Angebote wie Google Analytics zurückgreifen müssten.

Das Gesundheitsministerium wies in einer Stellungnahme darauf hin, dass das ihm unterstellte Bundesinstitut für Arzneimittel und Medizinprodukte ein „besonderes Augenmerk auf Datenschutz und Datensicherheit“ lege. Betont wird vom Ministerium immer wieder grundsätzlich die Sicherheit des Netzes, über die in Deutschland zwischen Kliniken, Ärzten und den Krankenkassen Patienten- und Gesundheitsdaten ausgetauscht werden, also der Telematikinfrastruktur (TI) – diese ist über „Konnektoren“ in den Praxen und eine spezielle Verschlüsselung abgesichert und nicht mit einem gewöhnlichen Internetanschluss vergleichbar.

Was aber, wenn eine Arztpraxis über das Internet parallel angeschlossen ist und es damit einen Zugang für Hacker in die Praxis-IT gibt? Genau diese Frage stellte sich diese Woche, als zu lesen war, dass 90 Prozent aller Arztpraxen über so einen Parallelanschluss verfügten – und offenbar einige von ihnen den Internetanschluss nicht mit einer Firewall absicherten, wie es eigentlich vorgeschrieben ist.

Die Kassenärztliche Bundesvereinigung (KBV) widersprach zwar ersten Meldungen, dass dies in 90 Prozent der Praxen der Fall sei – wies aber gleichzeitig darauf hin, dass alle Ärzte sich um eine ausreichende Absicherung ihres privaten Netzwerks kümmern müssten. Am Freitag nahm die KBV nun eine Hotline für Mitglieder, die sich über das Thema informieren wollen, in Betrieb. Unsicherheit über die Sicherheit von Gesundheitsdaten gibt es also nicht nur bei Patienten, sondern auch bei vielen Ärzten.

Zur Startseite