©️ iStock / Click_and_Photo

Gesundheit

Die elektronische Patientenakte kommt – wie sicher sind unsere Gesundheitsdaten?

von Silke Jäger
etwa 32 Min. Lesedauer

An die elektronische Gesundheitskarte, kurz eGK, hast du dich sicher längst gewöhnt: Das ist diese Chipkarte, die vor einigen Jahren mit großem Trara eingeführt wurde und seither ein ziemlich unspektakuläres Dasein in deinem Portemonnaie fristet – bis zu dem Moment, in dem du dich beim Arzt schwarzärgerst, weil du sie zu Hause vergessen hast. Denn ohne die Chipkarte wirst du nicht behandelt, wenn du krank bist – weder von deinem Hausarzt, noch in der Klinik.

Die neuen elektronischen Gesundheitsakten, kurz eGA, haben mit dieser Karte allerdings nichts zu tun. Vielleicht bist du ihnen schon begegnet, weil du eine App deiner Krankenkasse heruntergeladen hast und dann aufgefordert worden bist, die Gesundheitsakte zu nutzen. Kurz gesagt, ist das ein digitaler Ort, an dem du deine Daten als Patient ablegen kannst. Ein Testläufer der elektronischen Patientenakte, die 2021 kommt. Sie soll deine gesamte Krankheitsgeschichte mit allen dazugehörigen Daten so speichern, dass alle Praxen und Krankenhäuser in Deutschland darauf zugreifen können. Was spätestens dann ein echter Segen sein könnte, wenn du eine chronische oder kompliziertere Krankheit hast.

Wenn dich die verschiedenen Begriffe verwirren (Welche Akte jetzt nochmal?) ... das geht nicht nur dir so. Es lohnt sich aber zu verstehen, denn es geht um etwas sehr Wichtiges: Nämlich darum, wer auf deine Daten als Patient zugreifen darf – und wie sicher das System dahinter ist. Denn längst werden Tatsachen geschaffen: Unzählige Gesundheits-Apps erobern dein Smartphone, technische Hilfsmittel, wie zum Beispiel Blutzuckertestgeräte, bekommen sowohl eine Schnittstelle zu deiner Smartphone-App als auch zur Software in Arztpraxen, und dein Röntgenbild wird telemedizinisch 100 Kilometer von deinem Krankenhaus entfernt analysiert.

Eigentlich soll die Gesundheitsakte dir als Patienten mehr Transparenz, aber auch mehr Macht geben. In sie kannst du alle Informationen ablegen, die für deine Ärzte wichtig sein könnten: Medikamente, die du nimmst, Röntgenbilder, die in der Klinik gemacht wurden oder aktuelle Blutdruckwerte zum Beispiel. Alles wird digital auf einem Server gespeichert – und zwar verschlüsselt. Das hört sich sicher an. Doch ist es das auch?

Als ich die KR-Leserinnen und -Leser gefragt habe, was sie über die elektronischen Gesundheitsakten wissen möchten, ging es sehr oft um Sicherheit. „Wie sicher sind diese Akten?“, wollten sie wissen, „Wie sieht es mit dem Datenschutz aus?“ oder „Ist es nicht gefährlich, wenn alle meine Daten irgendwo zentral gespeichert sind?“ Sicherheit und Datenschutz sind ein großes Thema, weil es schon oft Berichte darüber gab, dass Krankenhäuser Ziel von Hackerangriffen wurden. Seitdem ein neues Gesetz den Krankenkassen vorschreibt, dass alle Versicherten ab 2021 die Möglichkeit haben müssen, ihre Gesundheits„geschäfte“ auch elektronisch zu organisieren und damit begonnen wurde, alle Arzt- und Therapiepraxen an die dafür notwendige sogenannte Datenautobahn anzuschließen, mehren sich die Proteste.

Manche Ärzte und Therapeuten, aber auch Patienten fühlen sich zum Mitmachen genötigt und fürchten, dass die Datenspeicherung die Schweigepflicht unterläuft. Wie soll man wissen, ob nicht doch Unbefugte unbemerkt mitlesen und Vertrauen missbrauchen? Die Ängste sind zwar verständlich, aber je konkreter die angekündigte „Digitalisierung des Gesundheitswesens“ wird, desto deutlicher wird, dass die Datenautobahn sehr sicher ist. Das Problem ist nur: Die bereits vorhandenen Gesundheitsakten nutzen diese sichere Verbindung bisher noch gar nicht. Deshalb werden sie besonders kritisch beäugt. Und jetzt schon bekannt gewordene Pannen sorgen für gehörige Unruhe.

Natürlich gibt es große wirtschaftliche Interessen an Gesundheitsdaten. Vielleicht ist dir bewusst, dass die neue Generation der AppleWatch auch den Herzschlag überwachen kann, und Google mit amerikanischen Krankenhäusern zusammenarbeitet, um bessere Gesundheitsinformationen ins Internet zu stellen. Gesundheitsdaten haben einen hohen Wert. Und sind die privatesten Daten überhaupt. Sie sind geradezu intim.

Die Anbieter von elektronischen Gesundheitsakten wissen das natürlich auch. Trotzdem sind kurz nach dem Start der Vivy-App, einer Gesundheitsakte, die von 14 Krankenkassen empfohlen wird, Datenschutz- und Sicherheitslücken bekannt geworden. Ich habe mit einem Professor für Gesundheits-IT, einer Sicherheitsfirma, zwei Krankenkassen, einem Techniker für sogenannte Konnektoren und den Machern der Vivy-App gesprochen. Dabei habe ich drei Dinge festgestellt:

  1. Die Sicherheits- und Datenschutzlücken muss man sehr ernst nehmen.
  2. Vivy tut das zwar auch, aber es bleiben Fragen.
  3. Die zukünftigen elektronischen Patientenakten sind sehr viel sicherer als alle bisher nutzbaren Gesundheitsakten.

Zwei der wichtigsten Fragen zu Gesundheitsakten sind also: Warum sind die Lücken in der Datensicherheit bei Vivy erst nach dem Start der App gefunden worden? Und was sagt uns das über die Sicherheitsstandards der Datenautobahn des Gesundheitswesens, an der bis 2021 gebaut wird?

Vivy wirbt sogar damit, dass Datenschutz und Sicherheit von unabhängigen Instituten geprüft wurden, darunter der TÜV Rheinland. Außerdem seien von Anfang an alle Sicherheitsstandards des Bundesamts für Sicherheit in der Informationstechnik (BSI) erfüllt gewesen. Dennoch haben sowohl ein Datenschutzexperte als auch Mitarbeiter einer IT-Sicherheitsfirma nach dem Start der App einige schwerwiegende Probleme gefunden.

Falls du wissen möchtest, was das für dich bedeuten könnte, wenn du die Vivy-App bereits nutzt oder sie nutzen möchtest, kannst du gleich zur Überschrift „Datenschutz und Sicherheit – es gibt jetzt schon Probleme“ springen. Dort beschreibe ich, was die IT-Sicherheitsexperten genau gefunden haben und warum das Anlass zur Sorge gibt.

Aber erst einmal erkläre ich dir noch genauer, was eine elektronische Gesundheitsakte ist. Sie ist nämlich ein Riesenschritt in einem Gesundheitssystem, das im Vergleich zu seinen europäischen Nachbarn noch einiges in punkto Digitalisierung aufzuholen hat.

(Tipp: Wenn du richtig tief in das Thema einsteigen willst, klick auf die schwarzen Info-Zeichen neben dem Text: Dort bekommst du detailliertere Erklärungen zu manchen Aspekten.)

Dein digitaler Zwilling

Wenn du bei deinem Arzt oder deiner Ärztin im Behandlungszimmer sitzt, wird mitgeschrieben: Warum du heute in die Praxis gekommen bist, ob du zum ersten Mal deswegen beim Arzt bist, welche Medikamente oder Therapien du heute verschrieben bekommst, ob es dir seit dem letzten Besuch besser oder schlechter geht und wann du wiederkommen sollst. Deine Ärztin schreibt das in der Regel in ein Computerprogramm, die sogenannte Praxissoftware. So kann die Arzthelferin am Tresen vorne auch gleich ein Rezept ausdrucken. Für dieses Rezept oder für eine Überweisung zu einem anderen Arzt muss deine Ärztin aber nicht nur wissen, wie die Diagnose heißt und wie das Medikament, sondern sie muss viele Dinge codieren. Für Krankheiten gibt es andere Codierungen als für Therapien, für Medikamente gibt es einen anderen Nummernkatalog als für Physiotherapie oder für Kompressionsstrümpfe. Und wenn deine Ärztin das alles mit der Krankenkasse abrechnen will, wieder einen anderen. Gemeinsam haben die Codes und Nummernkreise nur eins: Das alles sind Gesundheitsdaten.

Gesundheitsdaten – das hört sich sehr abstrakt an. Auf der technischen Ebene sind sie das auch. Aber das ist nur die halbe Wahrheit. Denn all das, was im Laufe deiner Reise durchs Gesundheitssystem über dich aufgeschrieben und gespeichert wird, ist dein Patienten-Zwilling. Immer, wenn du in der Rolle des Patienten oder der Patientin bist, können Ärzte deinen Zwilling mithilfe dieser Daten erzeugen – so, wie er in diesem Moment aussieht. Dieser Zwilling ist ein Modell, auf das alle medizinischen Theorien und Erkenntnisse angewendet werden. All das, was diese Daten über dich sagen, bestimmt, wie Ärztinnen dich sehen und wie der Medizinbetrieb mit dir und deinen Krankheiten umgeht. Nicht nur beim aktuellen Arztbesuch, sondern auch bei allen künftigen.

Daraus ergibt sich: Gesundheitsdaten sind intim. Sie sollten mit Vorsicht, Umsicht und Fachkenntnis erzeugt, weitergegeben und verarbeitet werden. Man kann dafür gar nicht genug Datenschutz- und Privatsphäreregeln aufstellen. Denn, das solltest du immer im Hinterkopf behalten, sie zeigen dich von deiner verletzlichen Seite.

Jeder, der Zugriff auf deine Gesundheitsdaten hat, kann daraus Schlüsse ziehen: über deinen Gesundheitszustand und über deinen Lebenswandel. Das, was du vertraulich deinem Arzt erzählst, das, worüber deine Ärztin nicht sprechen darf, weil sie der Schweigepflicht unterliegt, wird unter Umständen durch die Speicherung und Weitergabe einem größeren Personenkreis zugänglich. Daraus ergeben sich sehr viele Fragen: rechtliche Fragen, ethische Fragen und technische Fragen sowieso. Fragen, von denen wir noch nicht so lange wissen und auf die wir dringend gute Antworten finden müssen.

Transparenz war lange nicht beliebt

Das Gesundheitssystem versucht das seit 2004. So lange gibt es schon ein Gesetz zur Modernisierung des Gesundheitswesens. Die elektronische Gesundheitskarte, die vermutlich in deinem Portemonnaie friedlich schlummert, ist Zeugin dieses Vorhabens. An ihr kann man sehr gut sehen, wie das Projekt Digitalisierung bisher verlaufen ist. Kurz und schmerzvoll: schleppend.

Das hat vor allem zwei Gründe: Erstens, die Vernetzung aller, die im Gesundheitswesen aktiv sind, ist nicht trivial. Und zweitens, diese Gruppen stehen sehr oft in Konkurrenz zueinander. Ich rede von den Krankenkassen, den Krankenhausbetreibern, den Pflegefachkräften, den Ärzten, den Zahnärzten, den Psychotherapeuten, den Physio- und Ergotherapeuten, den Sprachheiltherapeuten, den Podologen, den Apothekern, den medizinischen Bademeistern, den Altenheim- und Hospizbetreibern – und von Menschen wie du und ich: den Patienten.

Dieses Schaubild vermittelt dir einen Eindruck davon, wie kompliziert das Gesundheitswesen aufgebaut ist. Einige dieser Gruppen wurden 2005 zur Zusammenarbeit verdonnert. Sie wurden Mitglieder einer Gesellschaft, die die Digitalisierung im Gesundheitswesen organisierten sollte: die Gesellschaft für Telematik, kurz Gematik. Beim Klick auf den Info-Button erfährst du mehr über die Gematik.

Die Gematik soll sich darum kümmern, dass es eine sichere Vernetzung zwischen Ärzten, Therapeuten, Apotheken, Pflegediensten und Krankenhäusern gibt. Also zwischen allen Stellen, bei denen du deine Krankenkassenkarte vorlegen musst, wenn du dich behandeln lässt oder Medikamente holst. Die Gematik soll dafür sorgen, dass eine offene Plattform entsteht, auf der die zig unterschiedlichen Krankenhaus- und Arztpraxissysteme, die es in Deutschland gibt, sicher und reibungslos miteinander Gesundheitsdaten austauschen können.

Das Problem der Gematik: Die Mitglieder blockieren sich gerne gegenseitig. Lange war es so, dass kaum jemand daran Interesse hatte, seinen Datenpool den anderen zugänglich zu machen. Transparenz bei der medizinischen Behandlung war nicht so beliebt. Durch den Alleingang der Krankenkassen bei den Gesundheitsakten ist nun aber Bewegung in die Gematik gekommen. Bundesgesundheitsminister Jens Spahn hat dafür gesorgt, dass das Bundesgesundheitsministerium nun 51 Prozent der Anteile an der Gematik hält und einen Wechsel auf dem Chefsessel herbeigeführt. Der ehemalige Pharma-Manager Markus Leyck Dieken steht seit 1. Juli 2019 an der Spitze und soll dafür sorgen, dass die elektronische Patientenakte wie geplant 2021 an den Start gehen kann.

Nicht nur die neuen Gesundheitsakten zeigen: Das Gesundheitswesen wird gerade tatsächlich digitalisiert. Die Frage ist nur, wer diese Digitalisierung hauptsächlich gestaltet. Denn natürlich hat nicht nur der Medizinbetrieb selbst ein Interesse am Austausch von Gesundheitsdaten, sondern auch viele privatwirtschaftliche Gruppen. Viele Menschen und Industrieverbände finden, die Digitalisierung gehe im Gesundheitswesen zu langsam voran. Hier ein Beispiel, das deutlich macht, was diese Leute meinen: Laut einer Umfrage senden immer noch circa 80 Prozent der Ärzte Arztbriefe an ihre niedergelassenen Kollegen und 64 Prozent an die Kollegen in Krankenhäusern … tadaa … per Fax.

Die Umfrage wurde von der Verlagsgruppe Springer Medizin und vom Artpraxissoftware-Hersteller CompuGroup Medical gemacht. Befragt wurden 513 Ärzte.

Fairerweise muss man sagen, dass der Faxgebrauch lange Zeit als rechtlich unbedenklicher galt, als eine E-Mail zu schreiben. Das heißt, diese Angewohnheit der Ärzte beruht nicht auf Starrsinn, sondern auf einem Sicherheitsbedürfnis. Mittlerweile gibt es zwar den verschlüsselten eArztbrief, aber diese Technik – obwohl in der Praxissoftware integriert – wird nur verhalten genutzt.

Mit der elektronischen Gesundheitsakte errichten die Kassen nun eine Zwischenstation auf dem Weg zum Berggipfel der Digitalisierung. Nach der Einführung der Gesundheitskarte 2009 ist dies das zweite recht gut sichtbare Zeichen, dass die Digitalisierung im Gesundheitswesen nun doch vorangeht. Aber nach der Erfahrung mit der Gesundheitskarte, die derzeit nicht viel mehr kann als dein Foto zu tragen und deine Stammdaten zu speichern, bist du vielleicht skeptisch, wie viele Vorteile diese Gesundheitsakte dir nun bringt. Kannst du damit wirklich den Austausch der Gesundheitsdaten, die in der Arztpraxis entstehen, erleichtern? Deine Rezepte per Knopfdruck bestellen, deine Arzttermine online vereinbaren und deine Röntgenbilder von Arztpraxis zu Arztpraxis mitnehmen?

Wie die verschiedenen Gesundheitsakten funktionieren

Die Krankenkassen haben für Gesundheitsakten unterschiedliche Modelle gewählt. Allen ist gemeinsam, dass du selbst darüber bestimmst, welche Daten in diesen Akten liegen. Du kannst die Akten per App oder über deinen Browser benutzen und dort selbst Daten einspeisen. Wenn du zum Beispiel einen Fitnesstracker oder eine Tagebuch-App für die Überwachung einer Krankheit benutzt, hast du die Möglichkeit, über die Gesundheitsakte deinen Ärzten diese Daten zu zeigen.

Die Daten werden in den meisten Varianten verschlüsselt abgelegt. Das funktioniert ähnlich wie bei verschlüsselten E-Mails: Du erzeugst einen Schlüssel, der aus zwei Teilen besteht: aus einem privaten Teil, den du nicht herausgibst, und aus einem öffentlichen. Diese Technik soll sicherstellen, dass deine Daten nicht in falsche Hände geraten. Die Krankenkassen selbst haben keinen Schlüssel, können also nicht einfach die Daten einsehen.

Wie sinnvoll es ist, deiner Ärztin die von dir gesammelten Daten zu geben, bleibt aber abzuwarten. Denn je nachdem, in welchem Format diese Daten vorliegen, kann dein Arzt damit wenig anfangen.

  • Erstens, weil er sie nicht in seine Praxissoftware übertragen kann, und
  • zweitens, weil er ihnen nicht zuverlässig vertrauen kann. Denn die Sensoren der Fitnesstracker und Apps sind nicht unbedingt dazu geeignet, Daten zu erzeugen, die mit denen vergleichbar sind, die man mit hochspezialisierten medizinischen Geräten bekommt. Deshalb muss deine Ärztin im Zweifel die Untersuchungen sowieso noch einmal selbst machen.
  • Ein dritter Grund ist, dass Ärzten sehr oft die Zeit fehlt, sich durch Datentabellen zu arbeiten. Du darfst nicht vergessen, dass Arztgespräche sehr schlecht vergütet werden. Ärzte wollen die Gesprächszeit deshalb gerne sinnvoll nutzen. Die Kassenärztliche Bundesvereinigung hat ihren Mitgliedern deshalb auch Hinweise gegeben, wie sie mit den Gesundheitsakten insgesamt und mit der Vivy-App im Besonderen umgehen können. Das liest sich sehr interessant.

Wenn du jemandem erlauben möchtest, Daten in deine Akte zu laden, wird das von den Akten unterschiedlich gelöst. Und die Daten werden von den Akten auch auf verschiedene Weise abgelegt. Wenn du dich für die technische Umsetzung interessierst, solltest du bei deiner Krankenkasse nochmal genau nachfragen, denn nicht immer steht das gut beschrieben auf der Website. Einige Unterschiede habe ich hier aufgelistet. Klick auf den Info-Button neben diesem Absatz, wenn du sie lesen möchtest. Besonders, wenn du schon die Gesundheitsakte nutzt oder darüber nachdenkst, könnte das für dich interessant sein.

Die Techniker Krankenkasse hatte als eine der ersten Krankenkassen beschlossen, ihren Versicherten eine eigene Akte zu erstellen, TK-safe. Sie wurde zusammen mit IBM gebaut und legt die Gesundheitsdaten der Versicherten auf Servern in Deutschland ab. Im Moment kann man darüber mit 12.000 Arztpraxen, Krankenhäusern der Agaplesion-Gruppe und dem Uni-Klinikum Aachen eigene Gesundheitsdaten austauschen. Ärzte können Arztbriefe und Laborbefunde direkt aus der Praxissoftware in die Akte einlaufen lassen. Außerdem in der Startversion der Akte: eine Zeitleiste deiner Arztbesuche, Diagnosen, Impfungen und Medikamentenverordnungen, Möglichkeit zum Hochladen der Arztdokumente, eine Medikamentenliste inklusive Barcode-Scan zum Einspeisen von freiverkäuflichen Medikamenten und einen Kalender zum Planen von Arztterminen und Impfungen. Ständig kommen neue Funktionen hinzu.

Andere Krankenkassen, wie zum Beispiel die DAK, haben sich für eine App-Lösung eines externen Anbieters entschieden: Vivy, die App, die wegen Datenschutzproblemen in der Kritik steht. Auch diese Akte wird während der Anwendung weiterentwickelt. Wer die App nutzen möchte und bei den kooperierenden Krankenkassen versichert ist, muss die Kosten für die Nutzung nicht selbst tragen. Die Krankenkassen übernehmen das. Das ist ein anderes Modell, als das von der Techniker oder der AOK (siehe unten). Die Krankenkassen beziehen einen Dritten mit ein, nämlich das Start-up, das die App entwickelt hat. Die App wurde von unterschiedlichen Stellen vor dem Start geprüft und erfüllt nach eigenen Angaben die Sicherheitsmaßnahmen, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht hat. Vivy ist als Medizinprodukt der Klasse 1 zugelassen, muss also ähnliche Sicherheitsstandards erfüllen, wie Lesebrillen und Rollstühle. Das ist die Klasse, die in der Regel für Gesundheits-Apps verwendet wird. Die Daten werden auf gemieteten Servern in Deutschland gespeichert (der Betreiber der Server gehört zur Amazon-Gruppe). Vivy hat eine Funktion, mit der du Ärzte suchen kannst, du kannst deine Notfalldaten speichern, einen Medikationsplan integrieren, der auch Wechselwirkungen anzeigt, deinen Impfstatus hinterlegen, es gibt eine Erinnerungsfunktion für anstehende Gesundheitschecks, und du kannst selbst erzeugte Gesundheitsdaten mit deinen Ärzten teilen. Außerdem kann deine Ärztin Dokumente hochladen. Dafür muss sie einen einmal gültigen Upload-Link anfordern, und du musst sie von der Schweigepflicht gegenüber Vivy entbinden.

Die AOK baut hingegen an einem Gesundheitsnetz, bei dem im Moment ausgewählte Partner angebunden werden. Hier bleiben alle Daten dezentral, also da, wo sie erzeugt werden. Nur die Zugriffsrechte werden verwaltet. Diese Akte ist keine klassische Gesundheitsakte. Über diese Form der Akte erfährst du unter der Überschrift „Patientenakten und elektronische Gesundheitskarte – ein Blick in die Zukunft“ mehr. Das AOK-Gesundheitsnetz ist eine offene Plattform, die du über deinen Webbrowser ansteuern kannst. Du hast als einziger Zugriff auf alle dort abgelegten Dokumente und entscheidest, welcher Arzt welche Dokumente einsehen darf. Die AOK plant, dazu auch noch eine App zu entwickeln.

Und dann gibt es weitere Anbieter, die derzeit nicht mit Krankenkassen oder der Gematik kooperieren, wie zum Beispiel vitabook. Vitabook versteht sich eher als Gesundheitskonto, das heißt es gibt im Vergleich zu anderen Gesundheitsakten einige Zusatzfunktionen. Du kannst wie bei den anderen Akten auch Diagnosen, Medikamente, Impfungen, Notfalldaten, Informationen über Allergien und andere Arztdokumente ablegen. Außerdem gibt es eine Arzt-, Klinik- und Apothekensuche, und du kannst auch mehrere Nutzer anlegen, zum Beispiel deine Kinder oder pflegebedürftigen Eltern. Außerdem gibt es einen Kalender mit Erinnerungsfunktion. Besonders ist, dass man über die App auch Medikamente in der Apotheke bestellen kann – auch Folgerezepte –, Überweisungen beim Arzt anfordern kann, und auch ambulante Pflegedienste die Möglichkeit haben, Dokumente direkt einzustellen. Man kann andere Gesundheits-Apps mit vitabook verbinden und hat ein integriertes Gesundheitslexikon. Die Daten werden verschlüsselt auf Servern in Deutschland, die zur Microsoft-Gruppe gehören, abgelegt.

Datenschutz und Sicherheit – es gibt jetzt schon Probleme

Die Sicherheitsbedenken, von denen ich am Anfang dieses Artikels gesprochen habe, gibt es bisher nur für eine der Akten, nämlich Vivy. Inzwischen bieten 34 Krankenkassen diese App circa 20 Millionen Versicherten an, Tendenz steigend. Direkt nach dem Start von Vivy gab es schon einigen Wirbel um Tracking-Cookies, die Daten an amerikanische Dienstleister weitergegeben haben.

In diesem Blogbeitrag des Sicherheitsexperten Mike Kuketz kannst du mehr darüber lesen. Kuketz fällt darin ein hartes Urteil: Er hält die App für datenschutzrechtlich höchst bedenklich. Betonen muss man allerdings an dieser Stelle, dass die Infos, die weitergeleitet worden sind, keine Gesundheitsdaten aus der Akte waren, sondern Infos wie die Displayauflösung deines Smartphones, die Marke deines Smartphones und so weiter. Das alles aber leider schon zu einem so frühen Zeitpunkt, dass man keine Möglichkeit hatte, dieses Tracking zu deaktivieren. Mit diesen sogenannten Metadaten könnte man außerdem Rückschlüsse auf deine Person und deinen Gesundheitszustand ziehen. Die beteiligten Firmen mit Sitz in USA oder Singapur könnten zum Beispiel nachvollziehen, zu welchem Arzt du wann gegangen bist.

Wer solche Informationen anderen anvertraut, möchte wissen, ob sie in guten Händen sind. Aber wenn du deine Krankenversicherung fragst, wie vertrauenswürdig die App ist, die du nutzt, wird sie dich enttäuschen. Denn in den Krankenkassen selbst ist niemand mit den technischen Spezifikationen der App vertraut. Du wirst mit deiner Frage zu Vivy geschickt. Vivy hat dazu zwar ausführliche Informationen über Sicherheitsmaßnahmen und Datenschutz veröffentlicht, aber was das für dich genau bedeutet, ist nicht so einfach zu verstehen. Zumindest dann nicht, wenn du noch nicht viel Vorwissen dazu hast.

Deshalb ist es zusätzlich eine gute Idee, bei unabhängigen IT-Sicherheitsexperten nachzuschauen. Links zu den entsprechenden Berichten findest du im nächsten Absatz und weiter oben im Text. Die wiederum haben recht hohe Ansprüche – das müssen sie auch, denn die Datenschutzgrundverordnung muss schließlich eingehalten werden. Trotzdem kann es sein, dass du vielleicht mit weniger zufrieden bist. Datenschutzbedenken sind also auch ein wenig Abwägungssache.

Datenschutz ist das eine, das andere ist die Sicherheit der App-Anwendungen, also Fragen wie: Wie leicht ist es, meine Identität zu ermitteln, wenn ich mich mit dem Server verbinde, um Daten hochzuladen? Wie leicht ist es für Leute, die meine Log-in-Daten nicht haben, auf meine Daten zuzugreifen (also zu hacken)? Wie sicher ist mein privater Schlüssel und wie sicher sind die öffentlichen, die ich für kurze Zeit erzeugen muss, damit mein Arzt seine Dokumente in meine Akte laden kann?

Bei vielen dieser Punkte stellte das IT-Sicherheitsunternehmen Modzero bei Vivy fest, dass es schwerwiegende Lücken gab. Modzero hatte Angriffe auf die App nachgestellt und Vivy anschließend darüber informiert. Dabei war es den Sicherheitsexperten auch gelungen, direkt auf die Gesundheitsdaten zuzugreifen, die in Konten lagen, die sie zuvor selbst erzeugt hatten. Vivy hat nach eigenen Angaben die Sicherheitslücken inzwischen geschlossen und sagt, dass man zu keinem Zeitpunkt auf Gesundheitsdaten anderer Nutzer zugreifen konnte.

Du kannst hier den Bericht von Modzero nachlesen und hier nachschauen, was Vivy zum aktuellen Stand seiner Sicherheitsvorkehrungen sagt.

Modzero erklärte mir auf Nachfrage, dass es zwei schwerere Lücken identifizieren konnte. Wenn Ärzte Dokumente in die Akte laden wollen, öffnet sich für eine gewisse Zeit eine öffentlich aufrufbare Webadresse mit einer fünfstelligen Kennung am Ende. Diese fünfstellige sogenannte Sitzungs-ID bestand aus fünf Kleinbuchstaben. Das bedeutet 11 Millionen Kombinationsmöglichkeiten. Diese ID ließ sich mit technischer Unterstützung innerhalb eines Tages erraten. Als sicher gilt, wenn man dafür Jahrhunderte braucht, weil die ID länger und komplizierter konstruiert ist oder wenn man nach einer gewissen Anzahl von Versuchen geblockt wird.

Bei der anderen schweren Sicherheitslücke konnte nicht ausgeschlossen werden, dass bei der Vivy-Anwendung im Browser, also dann, wenn der Arzt auf die Vivy-App zugreift, manipuliert werden kann. Das hätte im schlimmsten Fall ebenfalls Dritten den Zugriff auf die abgelegten Daten ermöglichen können. Allerdings ist das Zeitfenster dafür relativ klein. Modzero betonte, dass Vivy sehr kooperativ mit ihnen zusammengearbeitet hat. Und Vivy sagt, dass dieses Szenario sehr unwahrscheinlich ist und voraussetzt, dass man Handys benutzt, die spezielle Einstellungen haben, sodass sie weniger sicher sind.

Leider macht es keinen besonders guten Eindruck, dass Vivy nun offenbar versucht, die Berichterstattung über die Sicherheitsbedenken zu beeinflussen.

Vivy selbst habe ich natürlich auch um Stellungnahme gebeten. Sie schreiben: „Zunächst: Zu keinem Zeitpunkt war ein Zugriff auf die Gesundheitsakte von einem oder mehreren Nutzern möglich. Darüber hinaus nutzte die modzero GmbH ausschließlich für diesen Test angelegte Testnutzer. Die gefundenen Angriffsvektoren waren also hypothetisch und wurden binnen 24 Stunden geschlossen, also am 05. Oktober. Generell überprüfen wir ständig die Sicherheit der App. Dabei nutzen wir interne Ressourcen, greifen aber auch auf externe Ressourcen zurück. Deshalb führen wir beispielsweise auch ein Bug-Bounty-Programm (Anmerkung der Redaktion: Das ist eine Einladung an Entwickler, Sicherheitslücken und andere Fehlfunktionen an Vivy zu melden). Jeglicher Hinweis wird sofort umgesetzt. Ansonsten sind die Gesundheitsakten auf unseren Servern ausschließlich verschlüsselt gespeichert – und nur die Nutzer haben die Schlüssel. In diesem Film versuchen wir das Prinzip zu erklären: Kurz gesagt: Die Daten sind so verschlüsselt, dass niemand, auch nicht wir, sie auslesen kann. Und na klar: Wir würden die Gesundheitsakte jederzeit und gerne nutzen! Sie gibt uns Kontrolle über unsere Daten – nur derjenige kann sie einsehen, dem wir das gestatten. Für mehr können sie einfach auf https://www.vivy.com/sicherheit/ oder auf https://www.vivy.com/modzero/ gehen.“

Aber auch wenn Vivy diese Sicherheitslücken geschlossen hat, bleibt die Frage, warum sie bei der Prüfung vorab nicht aufgefallen sind. Eine Rolle könnte gespielt haben, dass Krankenkassen inzwischen unter Zugzwang stehen, elektronische Akten anzubieten. Weil die Techniker Krankenkasse mit ihrer Akte vorgeprescht ist, mussten andere Kassen nachziehen. Dabei hatte die Gematik zu diesem Zeitpunkt noch gar nicht festgelegt, welche Standards gelten sollen, um die Daten zu speichern und zu verarbeiten. Sie sind aber Zulassungsvoraussetzungen für die zukünftigen Patientenakten. Die jetzt schon verfügbaren Gesundheitsakten sind gewissermaßen überhastet entstanden, wobei leicht Fehler entstehen können. Das wirft kein gutes Licht auf das gesamte Projekt Digitalisierung im Gesundheitswesen, das sowohl für die Krankenkassen als auch für Bundesgesundheitsminister Jens Spahn (CDU) ein Prestigeprojekt ist.

In punkto Datensicherheit sollte man nicht nur bei Vivy ganz genau hinsehen. Auch bei anderen Anbietern von Gesundheitsakten runzeln IT-Sicherheitsexperten die Stirn. Wie hier Martin Tschirsich, der auf dem jährlichen Treffen des Chaos Computer Clubs 2018 einen augenöffnenden Vortrag dazu gehalten hat.

Wie die Zukunft deiner Gesundheitsdaten aussehen soll

Erinnere dich noch einmal daran, was ich eingangs geschrieben habe: Gesundheitsakten sind nur die Vorstufe für die sogenannte Patientenakte. Das Plastikkärtchen deiner Versicherung in deiner Hosentasche kann bisher, wie gesagt, nicht viel. Es wird aber noch wichtig werden, weil du dich genau damit identifizieren kannst, wenn die Patientenakte kommt. Das wird über sogenannte Konnektoren und Kartenlesegeräte in der Arztpraxis geregelt.

Der Bundesgesundheitsminister will, dass 2021 alle mit Konnektoren und Lesegeräten für deine elektronische Gesundheitskarte versorgt sind. Derzeit werden diese Geräte in allen Arzt- und Therapiepraxen in Deutschland installiert. Schätzungsweise 80 Prozent der Praxen sind inzwischen an die Telematikinfrastruktur angeschlossen, was nicht immer reibungslos gelingt. Denn obwohl Praxisinhaber schon immer dafür sorgen mussten, dass die von ihnen erhobenen Gesundheitsdaten vor unbefugten Zugriffen via Internet geschützt sind – sprich, eine Firewall brauchten – stellen die Techniker vor Ort manchmal fest, dass das nicht immer gegeben war. Beim Einbau der Konnektoren fallen diese Probleme dann erst auf und manche Ärzte und Therapeutinnen sehen den Fehler fälschlicherweise bei den Konnektoren. Ein Techniker, mit dem ich gesprochen habe, schätzt, dass circa ein Prozent der Praxen so schwerwiegende technische Probleme haben, dass die IT komplett neu eingerichtet werden müsste. Solche Meldungen sorgen für große Unruhe bei Praxen und Patienten und schüren die Angst, dass sich die Schweigepflicht nicht mit der Telematikinfrastruktur vereinbaren lässt. Dabei ist sie definitiv sicherer als das Fax-Gerät.

Schauen wir uns deshalb diese Infrastruktur mal genauer an, mit der der sichere Austausch deiner Gesundheitsdaten organsiert werden soll. Die Telematikinfrastruktur ist eine Wortschöpfung und setzt sich aus den Begriffen Telekommunikation und Informatik zusammen. Sie soll Informationen aus verschiedenen Quellen miteinander vernetzen und die Übertragung der Daten sicher gestalten. Es gibt also zwei Hauptkomponenten in der Telematikinfrastruktur: Die Vernetzung der Akteure, wie Krankenhäuser und Pflegedienste, und die Datenverwaltung.

Bei der Vernetzung besteht die Aufgabe darin, eine Verbindung zwischen den einzelnen Datensilos zu schaffen, also zwischen der Praxissoftware deiner Hausärztin und der Notaufnahme des Krankenhauses, in die du nach einem Unfall eingeliefert wirst. Deine Gesundheitskarte fungiert dabei als Ausweis: Sie identifiziert dich, ermöglicht die Abrechnung mit der Krankenkasse und speist direkt Stamm- und Notfalldaten ins jeweilige IT-System (bis auf die Notfalldaten macht sie das jetzt schon) und, das ist neu, wird dann als Freischaltschlüssel für Dokumente dienen, die an anderer Stelle liegen. Deine Karte muss dazu gleichzeitig mit dem Heilberufeausweis des Arztes in das Kartenlesegerät gesteckt werden. Über das Kartenlesegerät und den Konnektor wird sofort festgestellt, ob der Zugriff auf die hinterlegten Daten regelgerecht ist. Sowohl deine Karte muss gültig sein als auch die des Arztes, sonst kann deine Ärztin nicht auf die hinterlegten Daten zugreifen. Das sind im Moment noch nur deine Krankenkassen-Stammdaten, das heißt, du wirst höchstwahrscheinlich nicht behandelt, weil die Ärztin nicht mit der Kasse abrechnen kann. Sobald eine Praxis einen Konnektor und ein Lesegerät hat, ist sie an die Telematikinfrastruktur angeschlossen und kann mit der jeweiligen Kassenärztlichen Vereinigung Abrechnungsdaten austauschen.

Bis jetzt wurde für den Austausch dieser Abrechnungsdaten auch eine sichere VPN-Leitung verwendet: KV-SafeNet. Über den VPN-Tunnel der Telematikinfrastruktur können aber weitere Datenklassen mit weiteren Zugriffsberechtigten eingerichtet werden.

Medizinische Daten, also zum Beispiel eine Diagnose, können erst ab 2021 in der elektronischen Patientenakte gespeichert werden. Sie wird in die Telematikinfrastruktur integriert. Bei medizinischen Daten ist der wichtigste Knackpunkt das Format, also die Sprache, in der die Inhalte vorliegen. Medizinische Daten werden nämlich in vielen unterschiedlichen Formaten erzeugt. Diese Formate sind für Laien oft gar nicht richtig zu verstehen, weil unterschiedliche Codierungskataloge dahinter stehen.

Du kannst beim Deutschen Institut für Medizinische Dokumentation und Information DIMDI mal einen Blick auf die unterschiedlichen Formate werfen: Krankheiten, Behandlungen, Arzneimittel, Medizinprodukte, Laboruntersuchungen und so weiter und so fort – alles wird in ein bestimmtes Format gebracht. Nummern- und Zahlenkombinationen so weit der Blick reicht, gespickt mit Fachbegriffen. So etwas bezeichnet man auch als Nomenklatur.

Die Gematik muss einen Weg finden, wie man zum einen die voneinander abgeschotteten Datensätze der Ärzte, Krankenhäuser, Apotheken und so weiter miteinander vernetzt, sodass die Daten hin- und herwandern können, und zum anderen die unterschiedlichen Formate für alle Beteiligten lesbar und durchsuchbar macht. Also für dich genauso wie für deine Apothekerin oder deinen Psychotherapeuten. Denn wenn die Daten nicht durchsuchbar sind, ist es sinnlos, sie zu speichern. Das wäre so, als wenn du ein Lexikon hast, das nicht alphabetisch sortiert ist und die Suchbegriffe nicht hervorgehoben sind: eine Bleiwüste, in der alle Infos verschwinden wie Sandkörner in der Wüste.

Die Frage der Durchsuchbarkeit und der Formate ist extrem wichtig. Das kannst du leicht nachvollziehen, wenn du an die Arztbriefe denkst, die du zwar lesen, aber nicht verstehen kannst. Das Problem, das du beim Verstehen von medizinischer Fachsprache hast, haben auch Fachleute, wenn sie mit Datenformaten konfrontiert sind, mit denen sie normalerweise nicht umgehen. Stell dir nur einmal den Gesichtsausdruck deines Apothekers vor, wenn du ihn bittest, dein Röntgenbild zu interpretieren.

Man muss also die Daten, die in einer bestimmten Systematik vorliegen, so zugänglich machen, dass sie in eine andere Systematik übertragen werden können. Man muss sie verschlagworten und in Kategorien einsortieren. So wie du zu Hause deine Schubladen beschriftest und in den Schubladen die Kisten und in den Kisten die Tütchen. Dafür gibt es schon Lösungen. Aber man muss das auch ganz praktisch umsetzen. Und das ist kompliziert.

Das liegt an der Nomenklatur. Kataloge, die in vielen Ländern genutzt werden, um medizinische Daten digital auszutauschen, werden demnächst auch in Deutschland genutzt, dieser hier zum Beispiel. In Deutschland wird diese sogenannte Interoperabilität über diese Plattform organisiert.

Gesundheitsdaten können dir beim Arzt auch schaden

Dass alle Praxen verpflichtet sind, sich an die Telematikinfratsruktur anzuschließen und alle Krankenkassen, dir ab 2021 eine elektronische Patientenakte anzubieten, heißt nicht, dass du eine elektronische Patientenakte nutzen musst. Die Entscheidung liegt allein bei dir. Weder kann dich dein Arzt dazu zwingen, noch kann er sich verweigern, wenn du entgegen seinem Rat die Akte nutzen möchtest.

Die elektronische Patientenakte wird von Unternehmen hergestellt, die sich dann um eine Zulassung bei der Gematik bewerben. Die Voraussetzungen dafür sind so streng, dass es wahrscheinlich nur ein halbes Dutzend Aktenanbieter geben wird, mit denen deine Krankenkasse dann zusammenarbeitet. Ob die jetzigen Gesundheitsakten alle darein überführt werden können, ist noch nicht klar.

Eine entscheidende Frage ist bei der Patientenakte bisher nicht geklärt: Nämlich, wie die Daten, die für deine aktuelle Behandlung wichtig sind, zum richtigen Zeitpunkt am richtigen Ort abrufbar sein sollen. Eigentlich solltest du festlegen können, wer welche Daten sehen kann: Darf deine Frauenärztin auch die Röntgenbilder vom Zahnarzt sehen? Soll das Krankenhaus, in dem dein Beinbruch behandelt wird, wissen, dass du schon mal in psychotherapeutischer Behandlung warst und weshalb? Diese Feineinstellungen lassen sich zum Start der Patientenakte noch nicht vornehmen, weil sich das Projekt sonst weiter verzögern würde. Deshalb hat Bundesgesundheitsminister Spahn entschieden, dass die Akte live gehen kann, ohne dass du Zugriffsrechte verwalten kannst. Wenn du dich entscheidest die Akte zu nutzen, wird deine Reise durchs Gesundheitssystem für alle deine Ärzte und Therapeutinnen nachvollziehbar. Dafür gibt’s jetzt viel Kritik, zum Beispiel vom Bundesdatenschutzbeauftragten.

Außerdem ist nicht klar, was mit fehlerhaften Daten passiert oder mit solchen, die dir schaden könnten. Das könnte zum Beispiel passieren, wenn du mit Herzbeschwerden zum Arzt gehst, der sie aber nicht näher untersuchen will, weil er sieht, dass du schon einmal in einer psychosomatischen Klinik behandelt wurdest. Der Arzt schließt also vielleicht falsche Schlüsse aus deiner Vorgeschichte und untersucht dich deshalb weniger sorgfältig. Das ist nur eine der noch ungelösten ethischen Fragen, die aus der Nutzung von neuen Technologien entstehen.

Wie Gesundheitsdaten zu einem Wirtschaftsgut werden

Gesundheitsdaten sind weit mehr als nur ein Rohstoff, den man möglichst geschickt bearbeiten muss, damit man daraus bessere Behandlungen für dich ableiten kann, sowohl für dich in diesem Moment als auch später für alle, die deine Krankheit haben. Das Bild des digitalen Zwillings macht das deutlich, denn dein Zwilling lässt sich mit den Daten-Zwillingen anderer Patienten leicht vergleichen. So lassen sich Nutzen und Risiken von Behandlungen vielleicht leichter herausfinden. Gesundheitsdaten sind also in erster Linie kein Wirtschaftsgut. Aber wenn wir anfangen, sie zu speichern, weiterzugeben und zu verarbeiten, bekommen sie diesen Charakter.

Wissenschaftler, Mediziner und andere Menschen, die mit Medizin zu tun haben, zum Beispiel Apotheker, Pflegefachkräfte und Mitarbeiter in Krankenkassen, haben Interesse an Gesundheitsdaten, weil sie ihnen helfen, Behandlungen zu verbessern.

Aber es gibt noch mehr Gruppen, die sich für Gesundheitsdaten interessieren. Die großen Tech-Unternehmen, wie Google und Apple, gehören dazu. Und die Versicherungswirtschaft.

Ein Beispiel: Wie hoch kann deine Prämie für eine private Zahnzusatzversicherung wohl steigen, wenn die Versicherungsgesellschaft herausfindet, dass du fünf Kilogramm Schokolade im Jahr mehr isst als der Durchschnitt der Bevölkerung? Und ein Blick in deine Einkaufsdaten verrät, dass du deine Handzahnbürste nur zweimal im Jahr erneuerst? Wer meint, dass das zu viel Analyseaufwand wäre, der vergisst, dass wir es mit Algorithmen zu tun haben, die diese Analysen automatisiert ausführen. Mit der richtigen Datengrundlage reichen wenige Rechenschritte, damit der Versicherungsmathematiker weiß, wie hoch das Risiko ist, dich zu versichern. Daraus errechnet sich dann dein Versicherungsbeitrag.

In diesem Zusammenhang ist interessant, dass die App Vivy zu 70 Prozent der Allianz-Versicherungsgruppe gehört, wie man im aktuellen Allianz-Geschäftsbericht auf Seite 162 nachlesen kann.

Dieses einfache Beispiel – das in Deutschland meines Wissens nach noch nicht Realität ist, aber vielleicht bald werden kann – zeigt, welche Auswirkungen es haben kann, wenn man deine Gesundheitsdaten mit Marketingdaten verknüpft. In Amerika gibt es eine private Versicherungsgesellschaft, die nur Menschen versichert, die einen Fitnesstracker besitzen.

Technisch ist das also alles schon längst kein Problem mehr, und Marketingdaten über uns gibt es wie Sand am Meer – dank Trackern, dank Facebook, dank Kundenkarten. Wir sind also auf gute Regulierungsgesetze angewiesen, damit Gesundheitsdaten nicht mit Marketingdaten verknüpft und missbraucht werden können. Und auf eine gute und sichere Infrastruktur. Das ist der Grund, warum die Telematikinfrastruktur so wichtig ist. Denn deine Gesundheitsdaten sollen möglichst sicher sein. Dafür braucht man dieses deutschlandweite Intranet, das die Telematikinfrastruktur letztlich ist.

Wenn man Daten aus verschiedenen Quellen zusammenführt, gibt es nämlich auch immer Möglichkeiten, sie zu missbrauchen. Das ist die Gefahr, wenn Gesundheitsdaten zum Beispiel geklaut werden.

Wir müssen uns bei der Digitalisierung des Gesundheitswesens also auch darüber unterhalten, was mit Gesundheitsdaten passiert, die außerhalb des Gesundheitssystems erzeugt, weitergegeben und verarbeitet werden. Wenn du dich dafür entscheidest, eine Gesundheitsapp zu nutzen oder auch nur, wenn du eine Gesundheitsfrage in deine Suchmaschine eingibst, erzeugst du Daten in der freien Wildbahn, die Auskunft über deine Gesundheit geben könnten. Googles Versuch, anhand der Suchanfragen zu ermitteln, ob eine Grippewelle übers Land schwappt, ist zwar 2014 gescheitert, aber die Arbeit an entsprechenden Algorithmen geht weiter.

Ist es nachvollziehbar und zu begrüßen, wenn Tech-Giganten Gesundheitsdaten für solche Anwendungen benutzen, wird es schon kritischer, wenn man sich anschaut, welchen finanziellen Wert die Daten haben könnten, die du „aus Versehen“ im Netz erzeugst. Die elektronische Speicherung von Gesundheitsdaten sollte so gestaltet sein, dass deine Daten nicht in falsche Hände geraten können. Aber es handelt sich um eine neue Technologie, die sich erst noch beweisen muss – und wie man sieht, geht das nicht ohne Rückschläge über die Bühne.


Vielen Dank allen, die mir ihre Fragen über die elektronische Gesundheitsakte geschickt haben. Das hat mir bei der Recherche geholfen, auf Spur zu bleiben. Denn die vielen Details rund um die Digitalisierung im Gesundheitswesen machen das Thema schnell unübersichtlich. In diesem Rechercheprotokoll findest du weitere Informationen zu meinen Quellen und Linktipps zum Thema. Außerdem einen großen Dank an die Menschen, die mir erklärt haben, wie sie arbeiten.

Redaktion: Theresa Bäuerlein und Susan Mücke; Schlussredaktion: Vera Fröhlich und Bent Freiwald; Bildredaktion: Martin Gommel.

Prompt headline