Elektronische Gesundheitsakte

Datenparadies oder Datenleck?

E-Akten: Risiken klar benennen & Chancen nutzen

Auf der Skala der schützenswerten Daten stehen sie ganz oben: Gesundheitsdaten. Gerade deshalb werden elektronische Patienten- (ePA) und Gesundheitsakten (eGA) kontrovers diskutiert. Sicher ist: Die ePA wird laut Terminservice- und Versorgungsgesetz (TSVG) ab 2021 verpflichtend eingeführt. Aber: Absolute Datensicherheit gibt es dabei nicht. Wie passt das zusammen? Welche Zugeständnisse müssen wir machen? Und sollten Ärzte da mitziehen? Diese Fragen haben Ärztevertreter, Krankenkassen und IT-Experten beim Workshop „Elektronische Gesundheitsakte: Datenparadies oder Datenleck?“ diskutiert.

Die Kassenärztliche Vereinigung Hessen (KVH) hat ihren Mitgliedern mit dem Workshop Ende März 2019 in Frankfurt die Chance gegeben, sich über ePa- und eGA-Apps der Kassen zu informieren (siehe Downloads) und sich eine Meinung darüber zu bilden, ob sie die Digitalisierung im Gesundheitswesen mitgestalten wollen oder nicht. „Denn eins ist klar: Die Digitalisierung ist eine riesige Chance für unsere Gesellschaft und jede einzelne Praxis“, sagte Frank Dastych, KVH-Vorstandsvorsitzender. „Wenn wir sie nicht mitgestalten, wird es jemand anderes tun.“

Andere Länder sind an dieser Stelle deutlich weiter als Deutschland, allerdings werfen immer neue Datenlecks die Fragen auf, welche Risiken den Nutzen gegenüberstehen, ob und wie sie minimiert werden können und vor allem, wer sie am Ende trägt. Ärzte? Patienten? Anbieter?

„Absolute Datensicherheit gibt es nicht.“

Mit diesem kurzen Status quo in puncto Sicherheit elektronischer Gesundheitsdaten packte IT Security Analyst Martin Tschirsich nicht nur das Publikum, sondern auch seine Vorredner, die Vertreter der Kassen. Er war ihnen bereits bekannt: 2018 gelang es ihm, die Gesundheitsapp Vivy zu hacken. Und das, nachdem sie – im ehrenwerten Auftrag ihrer Entwickler – von Profi-Hackern und namhaften Siegeln (beispielsweise TÜV und Fraunhofer-Institut für Angewandte und Integrierte Sicherheit, AISEC) vermeintlich für sicher erklärt wurde. Kein Wunder also Tschirsichs These: „Absolute Datensicherheit gibt es nicht.“

Rät er Kassen, Leistungserbringern und Patienten also von der Digitalisierung ab? Nein. „Ich beleuchte die Risiken und bin überzeugt, dass wir diese kalkulieren, klar benennen, transparent kommunizieren und gemeinsam minimieren müssen. Nur so kann es gelingen, das Vertrauen von Patienten und Leistungserbringern zu gewinnen und zu erhalten“, meint Tschirsich. Ohne dieses Vertrauen werden Ärzte, Krankenhäuser, Pflegeeinrichtungen und Patienten die digitalen Akten wohl kaum nutzen, was sie nutzlos macht. Denn, da waren sich zumindest Ärzte- und die meisten Kassenvertreter einig: Nur authentische, möglichst vollständige Daten sind verwertbare Daten.

Risiken kalkulieren, minimieren, kommunizieren

Tschirsich plädiert deshalb für Entschädigungsregelungen und für die Zusammenarbeit der App-Anbieter im Sinne der Sicherheit: „Es ist wichtig, dass wir uns bewusst sind und allen Beteiligten bewusst machen, dass jedes System kompromittierbar ist. Und dass Datenlecks Entschädigungen in einer bestimmten Höhe für die Betroffenen nach sich ziehen müssen. Auch muss klar sein, wer diese Entschädigungen zu tragen hat, wer also haftbar gemacht wird.“ Nur so könnten alle Beteiligten ihren Beitrag zu erfolgreichen E-Akten leisten: Die App-Anbieter, weil es auch monetär in ihrem Interesse liege, ihre Anwendungen so sicher und authentisch wie möglich zu gestalten. Die Patienten, weil sie ihre Daten in guten Händen wissen – oder zumindest entschädigt werden, wenn sie es nicht waren. Und die Leistungserbringer wie Ärzte, indem sie auf authentische (beispielsweise signierte) Daten zurückgreifen können und nicht für Sicherheitslücken haften, die außerhalb ihres Einflussbereichs liegen.

Anregungen, an denen Kassen, die Player im Gesundheitswesen und die IT-Branche gemeinsam arbeiten müssen. „Ich werde sie definitiv mit nach Berlin nehmen, damit sie eine Chance haben, in die ePA 2.0 einzufließen“, versprach Dastych. „Denn was wir heute vorgestellt haben, ist zunächst freiwillig. Ärzte müssen selbst bewerten, ob sie ihre Patienten bei der eGA unterstützen möchten. 2021 wird ihre Mitwirkung durch die Einführung der ePA allerdings verpflichtend – und bis dahin brauchen wir mehr Sicherheit.“

Das hat die Mitglieder im Publikum beschäftigt

  • Podium: „Für die ePA werden wir KV Connect beziehungsweise die Anwendungen der Telematikinfrastruktur (TI) und die gesicherte Infrastruktur beispielsweise in Krankenhäusern nutzen. Im Moment (eGA) zeigt der Patient dem Arzt noch die Inhalte der App auf dem Smartphone.“
  • Ergänzung Martinet: „Oder der Austausch funktioniert bis dahin durch sichere Links (für Praxen, die ans Internet angeschlossen sind).“
  • Martinet: „Ihre Verantwortung endet in Ihrer Sphäre: Ihr Praxisverwaltungssystem (PVS) ist das, wofür Sie haftbar sind.“
  • Ozegowski: „Wenn wir über KV Connect gehen, ist das kein Problem: In dem Moment wissen Sie ganz genau, wo Sie die Daten hingeben.“
  • Tschirsich ergänzte: „In der Telematikinfrastruktur wird jeder Zugriff geloggt. Das gibt Ihnen Rechtssicherheit. Es wird mitgeschrieben und kann ausgelesen werden, wer wann was initiiert hat. Wenn jemand das Praxissystem kompromittiert, haben Sie ein anderes Problem.“
  • Dastych: „Deshalb ist es so wichtig: Schließen Sie Ihr PVS bitte ausschließlich an den SafeNet-Connector oder die TI an. Das PVS darf nicht mit dem Internet verbunden sein, also nicht auf einem Rechner laufen, der ans Internet angeschlossen ist.“
  • Martinet (bezogen auf Vivy): „Die ePa behandelt dieses Thema aktuell nicht. Bei der eGA entscheiden Patienten selbst, was sie in der Akte speichern.“
  • Ozegowski (bezogen auf den TK Safe): „Datensätze von Kliniken oder Ärzten kann der Patient auch einzeln löschen.“
  • Nicht einig waren sich Ärztevertreter und Kassen bei forensischen Berichten: Dastych erläuterte, dass diese nicht eingestellt werden dürften, während Ozegowski fand: „Darauf hat der Patient aber Anspruch“.
  • Tschirsich: „Bei der ePa ist eine Mehrfaktoridentifizierung geplant. Nutzer benötigen also sowohl das Smartphone als auch die elektronische Gesundheitskarte, um auf die App zuzugreifen. Zusätzlich sind solche Apps in der Regel durch Nutzername und Passwort geschützt.“
  • Podium: „Ja.“
  • Tschirsich: „Im Sinne der Rechtssicherheit bleiben die Logs allerdings noch eine Zeit lang gespeichert.“

Anja Nöske und Volker Wagner, AOK Hessen

setzen auf Regionalität und stellten die Gesundheitsakte des Digitalen Gesundheitsnetzwerks (DiGeN) vor. Pilotprojekte dazu sind bereits 2016 in einzelnen Regionen gestartet, im Februar 2020 soll die DiGen bundesweit mit ersten Funktionalitäten live gehen. Im Fokus stehe die Vernetzung, der 360-Grad-Blick auf den Patienten. Die Vision der Akte sei, alle Akteure durch ein komplexes Rollen- und Rechtekonzept zu vernetzen; also neben Patienten, Ärzten und Krankenhäusern auch Reha, Pflege, Heil- und Hilfsmittelerbringer einzubeziehen.

Norbert Sudhoff, BARMER Hessen

gab sich desillusioniert: Über die Digitalisierung im Gesundheitswesen habe er schon 2001 referiert, passiert sei in der Zwischenzeit zu wenig. „Wir haben das TSVG abgewartet, bevor wir eine App entwickeln. Jetzt, da wir mit der Verabschiedung des Gesetzes einen klaren Auftrag haben, machen wir uns an die konkrete Entwicklung und werden am 1. Januar 2021 fristgerecht eine ePA zur Verfügung stellen“, sagte er. Die bisherigen Barmer-Apps könnten gegebenenfalls in eine elektronische Akte eingebaut werden.

Michael Martinet, DAK

sieht Defizite bei der Gesundheitskompetenz der Deutschen und stellte die eGA Vivy vor, die diese stärken soll. Vivy ist aus einem Konsortium mehrerer Kassen entstanden und seit 2018 auf dem Markt, also im AppStore erhältlich. Sie assistiert Patienten durch Terminerinnerungen und Arztsuche, bietet eine Gesundheitsakte mit Notfalldaten und medizinischen Dokumenten. Zusätzlich können Patienten Lifestyle-Infos eintragen und Dienste ihrer jeweiligen Versicherung verwalten. Im zweiten Quartal 2019 soll Vivy an KV Connect angebunden werden.

Dr. Susanne Ozegowski, Techniker Krankenkasse (TK)

ist überzeugt von dieser Investition in die Zukunft und stellte den TK-Safe nicht nur vor, sondern warb um die aktive Teilnahme der Ärzte als „first mover“. Die eGA TK Safe ist Teil der TK-App, hat aktuell 125.000 Nutzer und soll später in die verpflichtende ePA überführt werden. Dazu soll sie 2019 als Pilot in Hessen und Berlin an KV Connect angeschlossen werden. Laut Ozegowski muss die Reise nach der Datenspeicherung und Vernetzung weiter gehen: hin zu smarten Services und einer digitalen Versorgungsplattform.

Martin Tschirsich, IT Security Analyst

ist Mitglied des Chaos Computer Clubs Darmstadt und Experte für Datensicherheit. 2018 hat er im Rahmen einer Sicherheitsanalyse elektronischer Gesundheitsdaten auch die eGA Vivy geprüft – und Sicherheitsmängel festgestellt. Trotz aller Kritik hat er anerkannt: „Die Anbieter haben die App professionell überprüfen lassen und sich um einschlägige Siegel bemüht.“ Allerdings suggerierten die Siegel eine Sicherheit, die sie eigentlich nicht geben, und neuen Sicherheitsmaßnahmen stünden auch immer neue Angriffsmöglichkeiten gegenüber: „Hundertprozentige Sicherheit können Sie nicht versprechen“.

Hinweis der Redaktion: Da er seine Präsentation nicht zur Verfügung gestellt hat, verweisen wir auf einen seiner älteren Vorträge.

zuletzt aktualisiert am: 09.05.2019

Ihre Downloads ()

Ihre gesammelten Downloads können Sie jetzt komfortabel mit einem Klick herunterladen.

Alle herunterladen