Gemeinsame Pressemitteilung
Bündnis für Patientendatenschutz im Gesundheitswesen
TI (-tanic) – Eisberg voraus?
Bündnis für Patientendatenschutz im Gesundheitswesen veröffentlicht erste Ergebnisse
Am vergangen Samstag, 25.01.2020, versammelten sich mehr als 20 Verbände und Initiativen, die sich schon seit Jahren mit den Risiken und Nebenwirkungen der elektronischen Gesundheitskarte, der Telematik-Infrastruktur (TI) und der elektronischen Patientenakte auseinandersetzen, zu einer ersten Konsensus-Konferenz in Kassel.
Das Bündnis aus Ärzten *, Psychotherapeuten, engagierten Patienten, Patientenvertretern und IT-Spezialisten einigte sich auf die gemeinsamen Ziele:
- Schutz der Patientenrechte bezüglich Privatsphäre und Datenschutz in Einklang mit der EU-Menschenrechtskonvention
- Verteidigung des Grundrechts auf informationelle Selbstbestimmung
- Erhalt der Freiwilligkeit statt Zwang
- Verteidigung des jahrhundertealten ethischen Prinzips des Berufsgeheimnisses in den Medizinberufen
- und vor allem forcierte Öffentlichkeitsarbeit
Das Bündnis will die bisherigen Einzelaktionen konzentrieren und vor allem die Information der Patienten ins Visier nehmen. Vorgesehen sind juristische Maßnahmen zur Durchsetzung höchster Datenschutz-Standards im Gesundheitssystem, wie das bei intimsten medizinischen Daten selbstverständlich sein sollte, aber derzeit noch nicht feststellbar ist.
„Das Berufsgeheimnis ist ethische Grundlage jeder medizinischen Tätigkeit. Der Eid des Hippokrates dokumentiert dies seit der Antike und ist der Ursprung des Datenschutzes. Patienten müssen sich darauf verlassen können, dass ihre Krankengeschichte bei uns sicher verwahrt wird“, erklären die Organisatoren. „Gerade in den psychotherapeutischen Fächern ist es unsere besondere Pflicht, sorgfältig auf den Datenschutz zu achten, damit nicht stigmatisierende Diagnosen unserer Patienten in falsche Kanäle gelangen.“
Digitalisierung muss höchsten Sicherheits-Standards genügen
Die Digitalisierung hält seit fast vier Jahrzehnten Einzug in das Gesundheitswesen und stiftet vielfachen Nutzen. Die Bündnispartner kennen aus Erfahrung die Erfolgsfaktoren:
- Der kranke Mensch ist das Maß und steht im Mittelpunkt – nicht die Maschine, Digitalisierung muss dem Menschen dienen, nicht umgekehrt.
- Medizinisches Handeln braucht einen geschützten Vertrauensraum, in dem auch intimste Geheimnisse benannt werden können, um optimale Diagnose und Therapie zu ermöglichen.
- Die eingesetzte Technik muss sicher, aber auch robust und resilient sein – also sicher gegen technische Störungen, Ausfälle und böswillige Angriffe.
- Medizinisches Handeln muss auch bei technischen Störungen weitestgehend (alternativ: hinreichend gut) möglich bleiben – der Ausfall von Systemen darf nur überschaubare, lokale Auswirkungen haben und muss durch redundante Systeme oder manuelle Methoden überbrückbar sein.
Die Digitalisierungsstrategie der Bundesregierung im Gesundheitswesen, die TI, erfüllt keines dieser Kriterien und generiert seit fast zwei Jahrzehnten keinen echten Nutzen. Tatsächlich versagt sie darin, sinnvolle Voraussetzungen für das Gelingen einer sicheren Digitalisierung zu schaffen.
Digitalisierung ist nicht mit Vernetzung gleich zu setzen.
TI -Teure Investitionsruine?
Schon im Januar 2006 verlautbarte die damalige Bundesgesundheitsministerin Ulla Schmidt, dass durch Versichertenkarten-Missbrauch jedes Jahr zwei Mrd. Euro Schaden entsteht – ein vermeidbarer Schaden, wenn die durchaus vorhandenen Alternativen für das Versichertenstammdatenmanagement in Erwägung gezogen worden wären.
TI -Totale Irreführung?
Laut Gesundheitsminister Spahn werden anonymisierte Daten für Verlaufs-Studien an entsprechende Institute zur Auswertung weitergegeben.
Tatsache ist aber, dass Verlaufs-Studien mit anonymisierten Daten gar nicht möglich sind.
Weiterhin solle es sich nur um Abrechnungsdaten handeln, nicht um medizinische Daten.
Tatsache ist, dass Abrechnungsdaten sehr wohl Diagnosen enthalten, allerdings nur soweit sie abrechnungsrelevant sind und in einer Vergröberung, die die diagnostische Realität nicht abbildet. Für ernsthafte Forschung sind sie daher ungeeignet.
TI – Trügerische Informationssicherheit?
- Seit 2005 wird die Frage nach der Verantwortungsverteilung vergeblich gestellt – zuletzt 2019 von der Datenschutzkonferenz. Die für ein IT-System dieser Größe mit diesen höchst schutzbedürftigen Daten zwingend vorgeschriebene Datenschutzfolgeabschätzung wird vom Bundesdatenschutzbeauftragten seit 2018 vergeblich eingefordert.
- Nach Auffassung der BündnispartnerInnen verstößt der Betrieb der TI damit gegen die EU-DSGVO, die als höherrangiges Recht dem Vernetzungszwang im SGB V entgegensteht. Alle, die an der TI teilnehmen, gehen also erhebliche Haftungs- und Bußgeldrisiken ein.
- Die Sicherheitszertifizierung der Konnektoren erfolgt auf einem Prüfniveau von 3 (auf einer Skala von 1 bis 7). Viel zu niedrig, sind sich die Bündnispartner einig.
- Zum Vergleich: das Smart-Grid (digitale Stromzähler, etc.) wird auf Niveau 4 geprüft, und internationale Konzerne lassen Komponenten für eHealth-Anwendungen vielfach auf dem sehr viel höheren Niveau 6 prüfen.
- Es gibt starke Indizien für hunderte ernstzunehmender Sicherheitslücken in den Konnektoren. Die detaillierten Zertifizierungs-Unterlagen werden der Öffentlichkeit bisher vorenthalten.
- Seit Monaten werden wir Zeugen, wie Bundesbehörden, Kliniken, Universitäten und Stadtverwaltungen vom Netz gehen müssen, weil sie gekapert wurden. Wie sollen Praxen trotz Vernetzung perfekte Sicherheit als Sicherheitsvoraussetzung für TI gewährleisten?
- Dies ist nach Ansicht unserer IT-Experten praktisch nicht zu leisten, und dies ist auch seit 2014 in offiziellen Dokumenten auf der Web-Site des BSI bekannt: „…muss nach dem Stand der Technik davon ausgegangen werden, dass Leistungserbringern eine Kompromittierung eines ihrer IT-Systeme im LAN nicht sicher verhindern bzw. nicht in jedem Fall frühzeitig erkennen können.“
- Die digitalen Ausweise für Ärzte und Patienten, sowie die Zugangsgeräte sind der zentrale Sicherheitsmechanismus der TI. Kürzlich veröffentlichte Erkenntnisse des Computer-Chaos-Clubs beweisen, dass diese seit Jahren von Jedermann ohne wirksame Kontrollen bestellt werden konnten. Solange nicht gewährleistet ist, dass keine Ausweise und Geräte in kriminelle Hände gefallen sind, ist die TI insgesamt als unsicher zu sehen.
- Der mittlerweile von zwei Landes-KVen verbalisierte Gesetzeskonflikt für Ärzte und Psychotherapeuten der darin besteht, dass man sich in jedem Fall gesetzeswidrig verhält und bestraft wird, egal ob man die Anbindung an die TI vollzieht oder nicht , ist derzeit ein unlösbares Dilemma (§ 291 SGB V vs. Art. 26 EU-DSGVO)
Fazit
Die TI entspricht nicht den erforderlichen höchsten Sicherheits-Standards.
Wir appellieren deshalb an die Bundesregierung und an die Bundestags-Abgeordneten:
- Setzen Sie die TI-Zwangsvernetzung aus, ehe in diesem höchst sensiblen Bereich ein unumkehrbarer Vertrauensverlust in die Digitalisierung entsteht!
- Das Gesundheitswesen ist kein Experimentierfeld, in dem man sich – Geschwindigkeit über Sorgfalt und Sicherheit stellend – Fehler erlauben kann!
- Treten Sie in einen offenen und ernsthaften Dialog über die vorhandenen Alternativen mit denjenigen Experten, die unabhängig sind und tatsächlich praktisch in den jeweiligen Feldern arbeiten!
- Treten Sie in einen offenen und ernsthaften Dialog mit der Basis, wo täglich Hunderttausende von Patientenkontakten stattfinden!
Beim derzeitigen Stand der Unsicherheit fühlen wir uns verpflichtet, den Datenschutzgesetzen Vorrang vor dem SGB V einzuräumen und den Anschluss an die TI nicht zu vollziehen bzw. den Stecker zu ziehen.
*
Im Text wird durchgängig das generische Maskulinum verwendet. Damit sind alle anderen Geschlechter mit eingeschlossen, wenn es nicht explizit anders formuliert ist.
Hier die Pressemitteilung zum Download: