Nachtrag zur Praxiskolumne "Datenschutz: Alles sicher oder was?"

Zum Thema Telematik-Infrastruktur (TI) haben wir in der Kinderärztlichen Praxis bereits berichtet (Praxiskolumne Ausgabe 2/2019, S. 72; www.kipra-online.de). Was gibt es Neues dazu?

Es wurden damals bereits Bedenken bezüglich der Sicherheitsrisiken geäußert, die von IT-Experten, u. a. vom Chaos-Computer-Club (CCC), aufgedeckt wurden (siehe Beitrag "All your Gesundheitsakten are belong to us" unter https://media.ccc.de). Trotz dieser Bedenken wurde gegen den Widerstand aus der Ärzteschaft die Einführung der Telematik-Infrastruktur durchgeboxt. Die Ärzte mussten dafür die Kosten tragen; bei Widerstand drohte ein Bußgeld mittels Kürzung des ärztlichen Honorars.

Nun tagte der CCC wieder und veröffentliche dramatische Sicherheitsmängel und ein Versagen der anbietenden gematik GmbH (Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH). Es wurde gezeigt, dass Hacker sich mit einer gefälschten Identität Zugang zu den Gesundheitsdaten der Patienten verschaffen konnten. Zudem kam es zu einem großen Datenleck verschiedener Praxen, sodass Gesundheitsdaten über einen längeren Zeitraum online einsehbar waren. Dies öffnete auch der Manipulation Tür und Tor. Es zeigte sich, dass gefälschte Dokumente in Umlauf gebracht werden können, auch zum Nachteil des Patienten (sehenswert auch die ZDF-Zoom-Dokumentation "Der gläserne Patient – Daten in Gefahr" unter www.zdf.de).

Als Folge wurde nun die Ausgabe der notwendigen Praxis- und Arztausweise gestoppt.

Die beteiligten Verantwortlichen schieben die Schuld den jeweils anderen zu. Weder das Bundesministerium für Gesundheit (BGM) noch die Kassenärztliche Vereinigung (KV) oder die gematik GmbH wollen die Schuld übernehmen. Sie weisen darauf hin, dass die sichere Installation eine Aufgabe der Praxen sei. Die Ärzte können aber hierfür nicht verantwortlich gemacht werden, da sie keine IT-Spezialisten sind und die TI auf Druck der KV eingeführt wurde.

Fazit: Als Verantwortung tragender Arzt müsste ich nun eigentlich den Konnektor abschalten, solange die vom CCC angemahnten Sicherheitslücken nicht behoben sind und seitens der KV und des BGM keine Gewährleistung bezüglich der
Sicherheit bei Einsatz dieser TI sowie eine Haftung bei Datenleck übernommen wird.

Es ist zudem zu klären, ob die Anschaffungskosten zurückgefordert werden können, da die TI mit Stand heute ja nicht einsetzbar ist. Die Ärzte, die statt Einführung dieser unausgereiften Informationstechnik das Bußgeld zum Wohle der Sicherheit von Patientendaten gewählt haben, sollten nun überlegen, die Honorarkürzungen anzufechten.

Die rechtlichen Rahmenbedingungen mit der Pflicht zur Zwangsanbindung und der zentralen Speicherung aller Gesundheitsdaten, so wie ab 2022 vorgesehen, müssen dringend überdacht werden.

Weitere Informationen

Heise online: Beitrag "36C3: Unsichere Patientendaten – die Telematik-Infrastruktur des Gesundheitswesens hat ein Identitätsproblem" unter www.heise.de

Chaos-Computer-Club: Beitrag "Hacker hin oder her: Die elektronische Patientenakte kommt!" unter media.ccc.de

Korrespondenzadresse
Dr. Markus Landzettel

Schloßgartenstraße 63
64289 Darmstadt

Erschienen in: Kinderärztliche Praxis, 2020; 91 (2) Seite 82