Die „verbesserte Rezeptur“ oder das „neue Design“ der Verpackung: viele Unternehmen preisen schon kleinste Neuheiten aus dem eigenen Hause vollmundig an; Veränderungen, die dem Verbraucher ansonsten wohl kaum auffallen dürften. Doch im Falle der elektronischen Patientenakte (ePA) ist alles anders: ein langjährig konzipiertes und entwickeltes Digitalprojekt mit EU-weiter politischer Dimension, welches eine mittlere zweistellige Millionensumme verschlang, geht schließlich am 01.01.2021 an den Start – nur um abseits von Entwicklern, Gesundheits- und Digitalisierungsexperten so gut wie keinerlei Wellen zu schlagen. Missgeschick oder Kalkül?
Ungeschützte Daten, offene Schnittstellen: der steinige Weg zum ePA-Launch
Der erfolgreiche Start der ePA stieg und fiel von Beginn an mit der Sicherheit und DSGVO-konformität der zu inkludierenden personenbezogenen Gesundheitsdaten. Und schon 2019 traten erste großflächige Problematiken zu Tage, die innerhalb des Entwicklerteams für einige Furore gesorgt haben dürften. Der Bayrische Rundfunk berichtete damals über Millionen von Röntgenaufnahmen, die weltweit auf ungesicherten Servern im Netz abrufbar waren. Sobald man um die nötigen Suchbegriffe wusste, war es selbst Laien möglich, an diese heranzukommen – ein Fund, der ein Jahr später von Sicherheitsexperten des Chaos Computer Club bestätigt wurde.
Auf Deutschland bezogen war die Lage nicht ganz so verheerend, doch auch hier fanden sich insgesamt 30 Server, die lediglich den Namen des verbundenen, datenabrufenden Computers überprüften und ansonsten keinerlei Passwortschutz besaßen; eine Hürde zwar, aber für auch nur halbwegs bewanderte User kein Hindernis. Hinzu kam weiterhin, dass in vielen Fällen vorhandene Passwörter gar nicht erst eingegeben werden mussten, da dauerhaft gültige Sitzungs-IDs hinterlegt waren, mit denen eine Anmeldung als vermeintlicher Arzt für jeden User mit nur wenigen Klicks realisierbar war.
Auch die deutsche Telematikinfrastruktur wurde genauer untersucht. Gesundheitsdienstleister sollen hierdurch besser miteinander vernetzt werden und datenschutzkonform Daten austauschen. Die ePA nutzt dieses Netzwerk auch, damit Patienten ihre Daten individuell für Ärzte freigeben können. Die Praxen sind dabei über sogenannte Konnektoren an die Telematikinfrastruktur angebunden. Bei den erwähnten Tests waren weltweit gut 200 dieser Geräte frei über das Internet zugänglich, 29 davon verlangten infolgedessen nicht einmal die Eingabe eines Passworts.
Startschuss 2021: „Anrecht auf Nutzung“ versus Testphase
Ende 2020 war die ePA mitsamt der notwendigen Telematikanbindungen technisch einsatzbereit. Ob und wie sicher und ausgereift das digitale Tool bei seiner Einführung schlussendlich war, ist seitdem Gegenstand zahlreicher Debatten. Fest steht jedoch, dass jeder der rund 73 Millionen gesetzlich Versicherten in Deutschland seit dem 01.01.2021 ein Anrecht auf dessen Nutzung besitzt (Privatversicherte sollen dann sukzessive ab 2022 Zugang erhalten). Gleichzeitig spricht die ePA-Erstellerin gematik (Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH) auf ihrer Website in Bezug auf dieses Datum jedoch offiziell nur vom Beginn der Testphase. Diese diene „der Überprüfung und Sicherstellung der Leistungsfähigkeit der ePA vor einer bundesweiten Nutzbarkeit in allen Arztpraxen und Krankenhäusern“.
Es stellt sich nun die Frage, inwieweit diese beiden Formulierungen miteinander kompatibel sind. Die deutschen Krankenversicherungen sind seit Jahresbeginn angehalten, die Applikation bereitzustellen und PIN-Zugänge zur Registrierung zu versenden, um so die Applikation unters Volk zu bringen.
Tatsächlich werden derzeit im Einzelfall auch bereits die persönlichen Behandlungs- und Medikationsdaten vom jeweiligen Server abgerufen, sodass der User seine Arztbesuche der letzten Jahre innerhalb der ePA nachvollziehen kann. Wenn nun viele Gesundheitsdienstleister in der Praxis noch gar nicht oder nur unzureichend an die Infrastruktur angebunden sind (oder das jeweilige Personal nicht entsprechend geschult wurde), wie lassen sich dann Löcher in der persönlichen Behandlungs- und Medikationshistorie vermeiden?
Die ePA hat einen langen Entwicklungsweg hinter sich und es ist zweifelsfrei positiv, dass sie uns nun zugänglich gemacht wird, da sie vieles vereinfacht und für Transparenz sorgt. Und doch beschleicht einen das Gefühl, dass die bisher weitestgehend ausgebliebene großflächige Bewerbung dieser neuen Anwendung ein Zeichen fehlenden Vertrauens in diese selbst ist – und damit ein kalkuliertes Vorgehen, um potentielle Datenlecks zunächst im „kleinen Nutzerkreis“ ausfindig machen zu können. Eine Art Zeitgewinn also, bevor die ePA-Infrastruktur später dann tatsächlich einmal so weit entwickelt sein wird, um das Leben aller Deutschen zu vereinfachen und gesundheitliche Belange zu optimieren.
Quellen:
https://posteo.de/news/chaos-computer-club-findet-sicherheitslücken-in-gesundheitsnetzwerken
https://rsw.beck.de/cms/?toc=ZD.ARC.201309&docid=350712
https://www.gematik.de/anwendungen/e-patientenakte/