Datenschutzprobleme sind im Gesundheitswesen immer wieder ein sehr ernstes Thema: Erst kürzlich hat eine Recherche des Bayerischen Rundfunks und von ProPublica aufgedeckt, dass sensible Gesundheitsdaten von weltweit Millionen Patienten ungeschützt im Internet abrufbar waren. Auf dem vergangenen Chaos Communication Congress hat der IT-Sicherheitsanalyst Martin Tschirsich in einem vielbeachteten Vortrag unter dem Titel „All Your Gesundheitsakten Are Belong To Us“ aufgezeigt, wie leicht angreifbar Gesundheits-Apps und andere digitale Dienste sind. Wir haben ihn gefragt, wie gut es um den Datenschutz bei derartigen Apps und die Datensicherheit bei den Digitalisierungs-Plänen von Bundesgesundheitsminister Jens Spahn (CDU) steht.

MedWatch: Welche Möglichkeiten und Vorteile sehen Sie durch Forschungsdatenbanken mit Gesundheitsdaten der Bevölkerung?

Martin Tschirsich: Oft wird auf skandinavische Länder wie Dänemark verwiesen, wo es eine nationale Gesundheitsplattform gibt und viele Gesundheitsdaten darüber für die medizinische Forschung zugänglich sind. Einer solchen großen Datensammlung kann tatsächlich ein Nutzen entspringen. Aber es geht um Nutzen und Risiken, letztere müssen transparent bewertet und reduziert werden. Nur so können wir auch die Akzeptanz von Nutzern sicherstellen, die ihre Daten zur Verfügung stellen.

MedWatch: Bundesgesundheitsminister Jens Spahn hat Datenschutz ja etwa in seinem Buch „App vom Arzt“ als nebensächlich hingestellt. Wie wichtig ist der Schutz von Gesundheitsdaten aus ihrer Sicht?

Tschirsich: Herr Spahn hat im Vorwort seines Buchs die These „Datenschutz ist was für Gesunde“ vertreten, er und seine Koautoren haben es aber später im Buch etwas relativiert. Die These finde ich gefährlich, da sie suggeriert, dass jemand, der krank ist, kein Interesse am Schutz seiner Daten hat. Gerade Menschen, die krank sind, sind darauf angewiesen, dass ihre Daten korrekt und vollständig sind. Denn auf Grundlage dieser Daten soll ja, ganz im Sinne der datengetriebenen Medizin, eine Diagnose und eine Therapieentscheidung gründen. Und vollständige Daten bekommen wir insbesondere, wenn wir die ärztliche Schweigepflicht als therapeutisches Prinzip und damit die Vertraulichkeit dieser Daten glaubwürdig zusichern können. Akzeptanz in die Datensammlung auch zur personalisierten Vorsorge setzt Vertrauen voraus – und das gibt es nur, wenn wir den Datenschutz sicherstellen. Die Basis für Datenschutz ist die Datensicherheit, wie sie auch in der DSVGO vorgeschrieben ist. Und Datensicherheit, also die Verfügbarkeit und Integrität dieser Daten, betrifft kranke Menschen ebenfalls ganz besonders. Integrität bedeutet, dass Daten nicht ungewollt verändert werden. Eine Verletzung der Integrität der Daten wäre auch, wenn etwa nach einem fehlgeschlagenen medizinischen Eingriff Daten in der Patientenakte verändert werden, um Probleme zu verschleiern. Nur wenn Datenschutz und Datensicherheit glaubwürdig zugesichert werden, stellt der Patient die Daten bereit, denen die datengetriebene Medizin und die medizinische Forschung einen so großen Wert beimessen.

MedWatch: Der Datenschutz wird ja oft als Grund angegeben, warum es etwa bei der Gesundheitskarte nicht voran geht.

Martin Tschirsich (Foto: privat)

Tschirsich: Die Verzögerungen bei der Gesundheitskarte liegen nicht im erhöhten Datenschutz, sondern in der gegenseitigen Blockade beteiligter Organisationen. Natürlich aber stellen die vielen Anforderungen die Industrie vor Herausforderungen, da sie keine schlüsselfertigen Standardlösungen verkaufen kann. Gerade für die bundesweite elektronische Patientenakte müssen eigene Lösungen entwickelt werden – das ist aus meiner Sicht aber auch notwendig. Es gibt eine Studie, nach der in den USA mit solchen Lösungen jährlich 30 Millionen Datensätze aus elektronischen Gesundheitsakten in unberechtigte Hände gelangen. In Deutschland versuchen wir, mit sehr viel höheren Sicherheitsstandards neue Maßstäbe zu setzen. Leider aber, so muss man sagen, verfehlen wir dieses Ziel momentan trotz der vielen Ressourcen, die wir dafür einsetzen. Bei der Patientenakte wurde das Sicherheitsniveau durch Anpassungen in der letzten Minute drastisch reduziert, indem wir die exklusive Hoheit des Versicherten über den Schlüssel zur Patientenakte wieder in Frage gestellt haben. Auch bei Verlust des Schlüssels soll auf die Daten zugegriffen werden können – die Sicherheitskonzepte wurden dazu wieder aufgeweicht.

MedWatch: Ein Problem ist ja offenbar auch, dass Patienten nicht ausreichend steuern können, welche Informationen Ärzte einsehen können.

Tschirsich: Richtig. Es ist in der ersten Ausbaustufe der kommenden Patientenakte nicht möglich, Zugriffsberechtigungen für einzelne Dokumente zu vergeben: Wenn man Ärzte berechtigt, auf die Akte zuzugreifen, können sie gleich den gesamten Datenbestand einsehen. Es ist eine alles-oder-nichts-Regelung, die nicht dem entspricht, was wir unter individuellen Berechtigungen verstehen.

MedWatch: Würden Sie selbst die Akte denn nutzen?

Tschirsich: So, wie sie in der ersten Ausbaustufe geplant ist, würde ich sie nicht nutzen, obwohl ich im Moment nicht davon ausgehe, dass ich persönlich einem großen Risiko aussetzt bin. Meine Forderung an die Patientenakte ist, dass es eine echte Ende-zu-Ende-Verschlüsselung gibt: Die Daten müssen unter meiner Kontrolle sein. Es muss zudem einen rechtlichen Schutz vor Beschlagnahme geben: Die elektronische Gesundheitskarte ist von Beschlagnahmung ausgenommen, genauso wie Berufsgruppen wie Ärzte nicht gezwungen werden dürfen, Daten von Patienten preiszugeben. Die elektronische Patientenakte hat diesen Schutz noch nicht – damit dürften diese Daten theoretisch beschlagnahmt werden.

Aus der Sicht des Patienten sollte man abwarten, bis die Patientenakte im Jahr 2021 eingeführt wird – und schauen, ob das Ziel der Datensicherheit nicht auf den letzten Metern für das politische Ziel geopfert wurde, die Patientenakte noch in dieser Legislaturperiode einzuführen.

MedWatch: Und was sagen Sie zu den Plänen, dass Gesundheitsdaten von Kassen zukünftig zentral zu Forschungszwecken genutzt werden können?

Tschirsich: Die Kassen besitzen viele Sozialdaten, die auch jetzt schon zur Verfügung gestellt werden, um Forschung zu betreiben. Bislang ist der Zugang hierzu jedoch kompliziert und wird kaum genutzt. Über die neuen Forschungszentren sollen die Daten von Krankenkassen zusammengefasst, pseudonymisiert und der Forschung zur Verfügung gestellt werden. Die Pseudonymisierung soll von einer unabhängigen Instanz vorgenommen werden und nicht umkehrbar sein – das ist aber sehr schwierig. Letztendlich kann man aber immer aus den Daten versuchen, auf den Original-Dateninhaber zurückzuschließen – das ist aber verboten. Es ist eigentlich selten möglich, eine Pseudonymisierung so festzuschreiben, dass eine Umkehrung nicht möglich ist.

MedWatch: Herr Spahn will außerdem, dass Kassen leichter die Kosten von Gesundheitsapps übernehmen können. Wird da ausreichend auf Sicherheit geachtet?

Tschirsich: Die Sicherheit solcher Apps ist tatsächlich ein Kriterium im Digitale-Versorgungsgesetz – aber mit Verweis auf eine Regelung, die noch erfolgen soll. Beim Bundesinstitut für Arzneimittel und Medizinprodukte sollen die Apps auf Datenschutz und Datensicherheit geprüft werden – diese Prüfung wird aber allein auf Dokumenten basieren, die der Hersteller vorlegt. Es ist nicht zu erwarten, dass eigene Prüfungen durch die Behörde durchgeführt werden. Näheres soll noch durch Rechtsverordnungen des BMG geregelt werden. Noch können wir daher nicht beurteilen, wie es um die Datensicherheit stehen wird. Insgesamt habe ich aber nicht unbedingt die Hoffnung, dass wir hier den Stein der Weisen noch finden werden, den wir bislang nicht gefunden haben. Vom Bundesrat wird zudem kritisiert, dass es nicht nur beim Betrieb der App, sondern bereits im Appstore Datenschutzlücken geben kann – der Appstore-Betreiber kann wissen, dass etwa eine Diabetes-App installiert wird. Hier muss geschaut werden, ob der Vertrieb von Kassen-Apps beispielsweise über Google vertretbar ist.

MedWatch: Haben Sie Hoffnung, dass das Bundesinstitut Datenschutzprobleme auch aufdeckt?

Tschirsich: Ich bin nicht optimistisch, weil wir bislang solche Prüfungen immer darüber gelöst haben, dass ein Sicherheitszertifikat verlangt wird. Eine App mit Zertifikat wird zugelassen – ich kann mir nicht vorstellen, dass das zukünftig anders sein wird, weil es keinen besseren Ansatz gibt, die Sicherheit von Apps mit wenig Aufwand von außen zu prüfen. Es kann aber nicht davon ausgegangen werden, dass eine App mit Zertifikat tatsächlich ein ausreichendes Schutzniveau erreicht. Auf dem Chaos Communication Congress letzten Jahres wurden viele Apps „zerlegt“, die teils Zertifikate von Datenschutzbehörden trugen. Das Vorhandensein von Sicherheits-Siegeln und weiteren derartigen Begleitdokumenten hat bislang selten mit einem ausreichenden Sicherheitsniveau korrespondiert.

Sicherheitslücken finden sich eigentlich auf allen Ebenen, die man sich vorstellen kann: In der Spezifikation von den Anwendungen selbst, in der Verschlüsselung, in der Umsetzung. Teils haben wir ganz banale Sicherheitslücken – teils in Konzepten, die zuvor von Experten begutachtet und patentiert wurden. Wir können nicht davon ausgehen, dass eine vollständig sichere App existiert. Problematisch ist auch, dass fast keine Apps existiert, die sich Angriffen durch Mitarbeiter der Firmen – so genannte Innentäter – widersetzen.

MedWatch: Wer hat denn Interesse, die Daten abzugreifen?

Tschirsich: Es ist bekannt, dass über 50 Prozent aller Unternehmen innerhalb der letzten 12 Monate durch Innentäter angegriffen wurden – auch unwissend, durch Social-Engineering. Die Motivation ist vielfältig. Gesundheitsdaten haben einen finanziellen Wert, wenn es Erpressungspotenziale gibt. Aus China wissen wir von einer Datenbank, die viele Merkmale der Bevölkerung umfasst, die öffentlich wurde – sie umfasst beispielsweise Informationen zum Fruchtbarkeitstatus von Millionen Frauen. Das lässt eine staatliche Steuerung der Bevölkerung zu. Wir können aber auch nach Bayern schauen, auf das bayerische Psychisch-Kranken-Hilfe-Gesetz: Nach einem Gesetzesentwurf sollte auch die Polizei präventiv Zugriff auf Informationen zu psychischen Erkrankungen bekommen. Es ist außerdem bekannt, dass beispielsweise im Vorfeld einer großen Militär-Übung in Finnland die Gesundheitsdaten von über der Hälfte der Bevölkerung gestohlen wurden: Man kann vermuten, dass staatliche Angreifer ein Interesse an diesen Daten haben.

MedWatch: Was also tun?

Tschirsich: Das ungelöste Problem der von außen kaum und schon gar nicht zuverlässig zu beurteilenden Datensicherheit einer App werden wir auch durch das Digitale-Versorgungsgesetz nicht gelöst bekommen. Daher sollten wir uns zumindest einmal ernsthaft mit der Frage beschäftigen, welche Schäden dem Patienten bei nicht ausreichendem Schutzniveau überhaupt drohen. Eine Datenpanne kann harmlos sein, sie kann aber auch existenzbedrohende Folgen für Betroffene haben, die über Stigmatisierung und den Verlust der gesellschaftlichen Teilhabe hinausgehen.Wir sollten auch darüber nachdenken, dass für den Fall des Eintretens eines Schadens Vorsorge getroffen wird. Für den Schadensfall müssen wir uns Konzepte überlegen, wie wir die Auswirkungen für die Betroffenen möglichst geringhalten können. Möglicherweise muss die Produkthaftung erweitert und die Verpflichtung eingeführt werden, dass Anbieter sich durch Versicherungspolicen absichern müssen. Momentan reicht es, nachzuweisen, dass man nicht fahrlässig gehandelt und die gängigen technischen Maßnahmen eingehalten hat.

Titelfoto: Marco Verch / CC BY 2.0


Sie wollen über MedWatch informiert bleiben? Abonnieren Sie unseren Newsletter – oder folgen Sie uns auf Facebook oder Twitter. Damit wir MedWatch als unabhängiges Online-Magazin betreiben können, sind wir auf Ihre Unterstützung angewiesen – hier geht’s zu unserer Crowdfunding-Kampagne.

Share This