Sind die Patientendaten der ePA sicher?

Und schon wieder ist eine Datenpanne im Gesundheitsbereich aufgetreten: Der Bericht über 136.000 im Internet freieinsehbare Corona-Impfdaten ging breit durch die Medien. Entdeckt wurde das Datenleck durch IT-Experten des Chaos Computer Clubs(CCC). Zu sehen waren u.a. Name, Adresse und Ergebnisse von Schnelltest. Auch wenn das Leck schnell gestopft werden konnte, zeigt es den mangelnden Datenschutz und die Unsicherheit digitaler Datensammlungen auf. Nun mag sich der persönliche Schaden in diesem Fall noch in Grenzen halten. Anders sieht es dann bei relevanteren Krankheitsdaten aus. Aber wird ansonsten mit der notwendigen Sorgfalt vorgegangen?

Das Bundesgesundheitsministerium forciert die Anwendung digitaler Gesundheitsanwendungen. Velibra war eine der ersten bei den digitalen Gesundheitsanwendungen, sie betrifft Patienten mit Angststörungen. Nach Recherchen von Julian Olk (Handelsblatt vom 12.10.2020) bestehen auch hiergravierende Sicherheitslücken, die die Sicherheitsexperten André Zilch und Martin Tschirsich, vom Chaos Computer Club (CCC)festgestellt haben. Damit wäre über die E-Mail-Adressen feststellbar gewesen, wer sich wegen Angststörung in psychotherapeutischer Behandlung befindet. Wie konnte das passieren? Gab es kein Prüfverfahren für die App? Nach Information des Handelsblattes verwies das Bundesgesundheitsministerium auf das mit der Prüfung beauftragte Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM). Dort prüfe man die Herstellerangaben - wie vom Gesetzgeber vorgegeben - "auf Plausibilität". Mehr aber nicht. Man überlässt die Datensicherheit also der Industrie. Sieht so ein verantwortungsvoller Umgang mit Patientendaten aus?

Diese Naivität verwundert umso mehr, als dies nicht der erste Datenskandal mit Veröffentlichung von Patientendaten gewesen ist.

Durch die Medien ging ebenfalls ein Bericht aus Finnland, hier sind kriminelle Hacker an psychotherapeutische Behandlungsdaten gelangt, haben Patienten erpresst und die Daten teilweise veröffentlicht. Nach Recherchen des Spiegels vom 27.10.2020 handelt es sich um Notizen aus Therapiesitzungen von mindestens 2000 Patienten.

Diese Vorgänge werfen verschiedene Fragen auf:

·        Wie ernst ist dem Bundesgesundheitsminister tatsächlich mit der Datensicherheit?

·        Kann eine zentrale Sammlung aller Patientendaten überhaupt sicher sein?

·        Wer übernimmt die Haftung bei Pannen? Die Gematik soll wohl nicht zur Verantwortung gezogen werden können, bleibt die Haftung also bei den Zahn-/Ärzten?

·        Ist es vertretbar, Daten in die ePA einzugeben, wohl wissend, dass die Schweigepflicht damit nicht mehr sichergestellt ist?

·        Muss man als Zahn-/Arzt nicht jedem Patienten abraten, die ePA und andere digitale Apps zu nutzen, wenn er das Risiko des Bekanntwerden seiner Daten nicht eingehen will?

Darüber hinaus ist folgendes zu bedenken:

Bislang zeichnet sich ab, dass die Zahn-/Ärzte nicht nur die Daten eingeben, sondern auch die Patienten bei der Nutzung der ePA unterstützen sollen. Vor allem die älteren Patienten, die weniger digitalaffin sind. Eine Vergütung für diesen Aufwand ist nicht vorgesehen, da die Vorteile der ePA per se diesen Aufwand ja leicht aufwiegen würden.

·        In der ePA sollen alle Gesundheitsdaten gesammelt werden. Jeder stellt also das ein, was er gerade hat. Das wird eine ungeordnete Sammlung. Aus haftungsrechtlichen Gründen muss man sich aber alles durchlesen. Auch dieser Aufwand wird nicht vergütet.

·        Da der Patient, jedenfalls irgendwann einmal, die Daten selektiv sperren kann, bleibt gar nichts anderes übrig, als seine eigene Anamnese und ggf. eigene Untersuchungen wie bisher durchzuführen. Es ergibt sich also kaum ein Gewinn.

·        Speziell in der Zahnheilkunde ist bei den meist langjährigen Patienten die Kenntnis dessen, was man einem Zahn, dem Gebiss, der Muskulatur etc. bei der Versorgungsplanung unter Berücksichtigung der Compliance des Patienten zutrauen kann, aus einer Behandlungsakte nicht zu entnehmen. Hierauf kommt es aber bei einer individuellen Patientenbetreuung nach meiner Erfahrung an, um langfristig erfolgreich zu sein.

Aus den genannten Gründen halte ich es für erforderlich, das Projekt dieser ePA, das ohne den zahn-/ärztlichen Sachverstand geplant wurde, sofort zu stoppen. Jede Fortführung verschwendet Versichertengelder, die in der Patientenversorgung besser eingesetzt wären.

Prof. Dr. Dr. E. Fischer-Brandies

PS: Digitalisierung ja, aber ohne zentrale Datenspeicherung und unter Einbeziehung des zahn-/ärztlichen Sachverstandes.

‍