Man verliert schnell die Lust, wenn man sich über den Stand der Digitalisierung im deutschen Gesundheitssystem (und nicht nur dort) informieren will. Man bekommt den Eindruck, dass Digitalisierung vor allem nach Kräften behindert werden soll, vor allem durch den Datenschutz. Deutschland entwickelt sich auf diesem Gebiet immer mehr zum Schildbürgerstaat. Es vergeht kaum ein Tag, an dem man nicht in Tränen ausbrechen möchte.
Arztpraxen machen Faxen – denn E-Mails sind ja unsicher
Ein Dauerbrenner ist die Frage, wie man Gesundheitsinformation denn nun übermitteln kann. Können Patient:innen ihre Einwilligung erteilen, dass man ihnen Untersuchungsergebnisse usw. per E-Mail sendet? Die Frage ist strittig, wie z.B. dieser Bericht zeigt. Einerseits sollten Patient:innen doch selbst eine solche Entscheidung treffen dürfen; andererseits findet, wie in dem Text zitiert, die Hamburger Aufsichtsbehörde, „dass ein Versand von Patientendaten mittels einfacher (lediglich transport-, nicht aber Ende-zu-Ende-verschlüsselter) E-Mail regelmäßig keinen zulässigen Übermittlungsweg darstellt. Das gilt auch dann, wenn die Patientin/der Patient sich ausdrücklich mit dem Versand per einfacher E-Mail einverstanden erklärt hat, da die Verpflichtung zur Gewährleistung eines angemessenen Schutzniveaus nicht durch eine Vereinbarung zwischen Praxis und Patient abbedungen werden kann„.
Nun ist es aber so, dass man auch als Arzt oder Ärztin nicht einseitig entscheiden kann, inhaltsverschlüsselte E-Mails zu verwenden. Die Verschlüsselungsverfahren von E-Mails basieren nämlich aus technischer Notwendigkeit auf Schlüsselpaaren. Sowohl Arzt als auch Patientin können nur jeweils für sich selbst entscheiden, am voll verschlüsselten E-Mail-Verkehr teilzunehmen. Wenn unsere Patientin das tut, muss sie ein Schlüsselpaar generieren, das aus einem privaten und geheim zu haltenden Schlüssel für die Entschlüsselung ihr zugesendeter Mails und einem öffentlichen Schlüssel für die Verschlüsselung ihr zuzusendender Mails besteht. Diese beiden Schlüssel betreffen also ausschließlich Mails, die ihr gesendet werden. Man kann grundsätzlich erst mal nur entscheiden, verschlüsselte Mails empfangen zu können. Unsere Patientin müsste nun ihrem Arzt den öffentlichen Schlüssel mitteilen. Gesetzt den Fall, dass der Arzt weiß, was er damit machen soll (sich also auch schon für den Empfang verschlüsselter Mails entschieden hat), kann er nun die Gesundheitsdaten mittels des öffentlichen Schlüssels der Patientin verschlüsseln und ihr senden. Sie erhält die Mail und kann sie mit ihrem privaten Schlüssel entschlüsseln und lesen. Und wenn sie den öffentlichen Schlüssel des Arztes kennt, kann sie ihm eine verschlüsselte Antwort senden.
Jetzt heben bitte alle einmal die Hand, die schon mal solch einen Schlüsseltausch durchgeführt haben. Egal mit wem. Niemand? Dachte ich mir.
Das Verfahren ist so unhandlich, dass man es als broken by design bezeichnen könnte. Es gibt vielleicht die Alternative, Dokumente usw. in ein ZIP-Archiv o.ä. zu packen und zu versenden, das man wiederum durch ein vorab vereinbartes Passwort schützt. Was seinerseits auch wieder irgendwie unhandlich und fehleranfällig ist.
Was macht man also als Arzt oder Ärztin? Viele senden lieber ein Fax. Was vielleicht nicht so bekannt ist: das Gefiepe von Faxen kann problemlos mitgeschnitten und zum Ausdruck des Faxes an beliebigen Stellen genutzt werden. Klartext: Faxe sind überhaupt kein bisschen sicher. Wer wegen E-Mails Schnappatmung bekommt, sollte beim Gedanken an Faxe Herzklabastern kriegen.
Es gibt an sich keine aus Datenschutzsicht praktikable elektronische Übermittlung von Gesundheitsdaten. Und Patient:innen dürfen zumindest nach Ansicht der Hamburger Aufsichtsbehörde auch nicht mündig entscheiden, dass Informationen über ihren eingewachsenen Zehennagel nicht so unglaublich geheim sind, dass sie keiner unverschlüsselten Mail anvertraut werden können. Also: Post. Papier. Persönliche Abholung. Nix digital.
Download deiner Daten aus einem Portal. Was sag ich? Deiner? Hier, nimm alles!
In der digitalen Welt ist die E-Mail schon lange nicht mehr das Non-Plus-Ultra der Kommunikation. Es gibt ja auch Messenger und Kollaborationsplattformen. Ärzte und Ärztinnen könnten ja die Ergebnisse auf bestimmten Plattformen (eigener Server oder Cloud) bereithalten und dort den Patient:innen, die sich durch individuelle Logins ausweisen, zur Verfügung stellen. Entsprechende Produkte gibt es. Wäre eine Lösung, aber…
Da hat doch vor kurzem ein Angehöriger einer Gruppe von Freiwilligen namens zerforschung.org ein mulmiges Gefühl beim Abruf seiner Patientendaten gehabt. Konkret ging es um die Software InSuite von DocCirrus. Diese tritt auf wie ein Cloud-Produkt, das aber die Daten auf Servern der angeschlossenen Praxis speichert. Also eher ein Vermittlungsdienst. „100% lokale Speicherung auf Ihrem DocCirrus Datensafe“, heißt es in Richtung Arztpraxen. Patient:innen sollen so bequem von zu Hause aus auf ihre Daten bei allen Praxen zugreifen können.
Wenn nun Patient:innen sich bei diesem Dienst anmelden, erhalten sie eine praktische Übersicht aller Praxen, die diese Software nutzen und bei denen sie registriert sind. Über diese werden einige grundlegende Daten im Browser angezeigt. Aber: die auf Patient:innenseite angezeigten Daten sind nur ein Bruchteil der übermittelten Daten. Der Browser erhält ein ganzes Paket, und über die Entwicklertools des Browsers (sowas hat jeder moderne Browser. Jeder. Ist einen Klick entfernt.) kann man all diese Daten mitlesen. Im Klartext. Und darin stehen neben der Bankverbindung der Praxis, der E-Mail Signatur und einer Auflistung der Praxisdrucker auch die Zugangsdaten zum E-Mail-Postfach. Komplett. Einem vollständigen Zugriff auf dieses Postfach, das nicht selten kein spezielles für diesen Dienst sein dürfte, sondern eben DAS Postfach der Praxis, steht damit nichts mehr im Wege. Alle Mails lesen? Check. Mails im Namen der Praxis versenden? Check. Ein Sicherheitsniveau wie vor dreißig Jahren.
Jede Praxis, die diese Software einsetzt, muss sich im Klaren sein, dass der Vollzugriff auf alle E-Mails potentiell allen angemeldeten Patient:innen ermöglicht wurde. Wenn man einen Moment darüber nachdenkt, ist der Einsatz dieser Software bereits ein meldepflichtiges Datenleck, würde ich mal behaupten.
Das ist aber noch nicht alles. Das Produkt sollte zwar eine Ende-zu-Ende-Verschlüsselung besitzen (also etwa auf dem Level der Transportverschlüsselung von E-Mails, nicht aber der inhaltlichen Verschlüsselung, siehe oben), aber weitere Tests ergaben, dass die Software auf Anfragen OHNE Verschlüsselungsaufforderung reagierte, indem die Dokumente eben unverschlüsselt transportiert wurden. Yay! Es war also möglich, alles im Klartext abzurufen. Oder, für gänzlich Undigitale: wenn ich lieb Bitte sage, bekomme ich die Daten trotzdem.
Aber da geht noch mehr. Identifizierte Patient:innen erhalten Dokumente aus einem Verzeichnis dieses „Datensafes“, das ihnen zugewiesen wurde. Quasi ein großer Schrank und eine Schublade darin hat deinen Namen. Die darfst du aufmachen, Nur die. Bloß gibt es keinen Schlüssel. Eine minimale Manipulation, und schon ist der gesamte Schrank im Vollzugriff. Dem Benutzer wurde quasi hilfreich seine Schublade geöffnet, aber er kann sie trivial schließen und eine andere öffnen. Vollzugriff auf alles!
Und er kann auch angesichts der „Dokument“-Schubladen erraten, dass der Schrank auch „Patient:innen“-Schubladen besitzen dürfte. Wieder eine minimale Manipulation des Aufrufs später identifiziert man andere Patient:innen der Praxis und deren persönliche Daten.
Aber warum nur auf alle Daten einer Praxis zugreifen? Die Praxen werden über eine vierstellige Nummer identifiziert, da könnte man anfangen, herumzuraten, aber tatsächlich genügen zwei JavaScript-Befehle und die Aufstellung aller Praxen und Nummern liegt vor. Und die automatisierte Anmeldung bei ALLEN GLEICHZEITIG ist ein Klacks. Also: Vollzugriff auf alle Daten aller Praxen, die mit diesem System gearbeitet haben. Und, das wollen wir nicht vergessen, all deren E-Mails.
Das ist ein Sicherheitsniveau auf der Stufe einer Person, die 123456 für ein sicheres Passwort hält, denn wer sollte jemals ahnen, dass man es sich so tippbequem gemacht hat?
Und diese Software ist mehrfach zertifiziert. Das bedeutet offensichtlich nicht viel mehr als „Jo, ist Software. Zur Kenntnis genommen.“
Das wäre ja noch zu verschmerzen (nein, eigentlich nicht), wenn der Hersteller hier regresspflichtig wäre. Zwar wurde die Software erst mal abgeschaltet und später behauptet, man habe etwas verbessert, aber dass hier bei einem solchen eklatanten Datenschutzversager Strafen folgen würden, ist Wunschdenken. Und besser wünschen wir es uns auch nicht, denn: in Deutschland ist die Praxis verantwortlich für den Datenschutz, also namentlich der Arzt / die Ärztin. Nicht das Produkt muss den Datenschutzkriterien entsprechen, sondern die Kund:innen sind verpflichtet, den Datenschutz des Systems zu überprüfen. Ist das System in diesem Punkt mangelhaft und merken es die Kund:innen nicht, dann haben sie eben Pech gehabt. Und ggfs. die Abmahnungen und Verfahren am Hals. Aber wie wir alle wissen, ist IT-Sicherheit ja ein Pflichtfach während des Medizinstudiums.
Und dann war da noch das E-Rezept. E wie Esel?
Diese Haftung bringt uns gleich zur nächsten Lachnummer, dem E-Rezept. Rezepte sollen digital ausgestellt werden. Super, weniger Papier! Und wie geht das? Schlecht, wie ein Arzt berichtet.
Logisch und funktional wäre, wenn man mit seiner Gesundheitskarte zur Apotheke gehen könnte. Dort steckt man die Karte in ein Terminal (oder legt sie, falls die Karte schon NFC könnte, auf dieses) und die Apotheke ruft das Rezept von einem zentralen Server ab. Das funktioniert so in vielen Ländern und wird gut angenommen. Grund genug, es in Deutschland (zumindest vorläufig) nicht so zu machen.
Hier übermittelt die Praxis das Rezept ebenfalls an einen zentralen Server. Aber auf diesen greifen die Patient:innen mit einer mobilen App zu. Da gibt es natürlich ein kleines, kaum vorherzusehendes Problem: Nicht jeder hat ein Smartphone und kann sogar damit umgehen. Für diesen beachtlichen Patient:innenkreis ist das also schon mal kein gangbarer Weg. Aber es gibt ja noch den QR-Code als Papierausdruck (auf DinA4, also dem Platz von vier bisherigen Papierrezepten). OK, den muss man immer noch in der Praxis abholen, denn der Mailversand geht ja nicht. Hier schließt sich der Kreis zum eingangs geschilderten Problem: die Praxis kann bei Verlust und Missbrauch haftbar gemacht werden. Die Patient:innen müssen also trotzdem in die Praxis und die vierfache Menge Papier in die Apotheke tragen, damit dort der QR Code gescannt wird, damit sie dann ihr Medikament erhalten.
Da hilft es auch nicht, dass die Gematik (Hort der IT-Kompetenz, wir berichteten) verspricht, 2023 sollte es so weit sein, dass der Abruf per Gesundheitskarte funktioniert. Bis dahin haben die Datenschutzbehörden also noch Zeit, zu überlegen, wie sie das verhindern können. Denn das scheint die wahre Bedeutung des Begriffs Digitalisierung in der deutschen Sprache zu sein: Vorgänge mithilfe der EDV noch komplizierter und aufwändiger zu machen. Oder ganz unmöglich.
