Über Äpfel und Birnen: Die Stellungnahme des ULD vom 11.02.2015 zum e-Health-Gesetzentwurf

Datenschutzrheinmain/ Februar 12, 2015/ alle Beiträge, Telematik-Infrastruktur/ 3Kommentare

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat inzwischen zwei Stellungnahmen zum E-Health-Gesetzentwurf aus dem Bundesgesundheitsministerium veröffentlicht.

Am 16.01.2015 stellte das ULD in einer Presseerklärung u. a. fest: „Dieser E-Health-Gesetzesentwurf reicht nach Ansicht des ULD nicht, um die Angst vor dem gläsernen Patienten und der Verletzung des Medizindatenschutzes zu überwinden.“

In der Stellungnahme des ULD vom 11.02.2015 zum Referentenentwurf für das E-Health-Gesetz stößt der interessiere Leser dann aber plötzlich auf zwei mehr als nur irritierende Bewertungen:

  • „Tatsächlich ist die gesetzliche Regelung von eGK und TI aus Datenschutzsicht fast vorbildlich.“
  • „Grundrechtsschutz – missverstanden. Aus Datenschutzsicht ärgerlich ist, dass der Widerstand gegen die eGK und die TI aus einer Richtung Unterstützung bekam und teilweise immer noch bekommt, die für sich besondere Glaubwürdigkeit in Anspruch nimmt. Teile der Bürgerrechts- und Datenschutzszene profilieren sich mit wenig sachlichen Argumenten, aber griffigen Parolen wie ‚Stoppt die E-Card!‘, ohne zu bemerken, dass ihre Kampagne grundrechtsschädlich ist, weil sie halbseidene IT-Anbieter im Gesundheitsbereich den Weg bereitet, und kurzsichtig, weil sie damit nichts anderes tat, als ärztliche Standesinteressen zu befördern. Inzwischen ist die Informatisierung des Gesundheitswesens weit fortgeschritten. Google, Microsoft und andere Anbieter breiten sich hier aus, ohne dass ein effektiver Datenschutz besteht. Die elektronische medizinische Kommunikation erfolgt weitgehend ungesichert, weil unverschlüsselt und über offene Netze. Platzhirsche, oft mit US-amerikanischem Hintergrund, haben sich auf dem Markt mit Gesundheits-IT und -daten etabliert, ausgebreitet und verfolgen mit teilweise datenschutzrechtlich unzulässigen Geschäftsmodellen eine erfolgreiche ökonomische Strategie.“

Vergleicht das ULD hier Äpfel mit Birnen?

Eine Nachfrage und Widerspruch sollte erlaubt sein!

  • Mit den Regelungen im SGB V, mit der gematik und der Schaffung der telematischen Infrastruktur werden Voraussetzungen geschaffen, um ein zentralisiertes System zu schaffen, in dem die Gesundheitsdaten von ca. 70 Mio. gesetzlich versicherter Menschen erfasst, genutzt und ausewertet werden können. Dem kann sich ein gesetzlich krankenversicherter Mensch nur schwer oder gar nicht entziehen (auch wenn die in § 291 a Abs. 3 SGB V genannten weiteren „Anwendungen“ von der vorherigen freiwilligen Zustimmung des Versicherten abhängig sind).
  • Den vom ULD sicher zu Recht als höchst fragwürdig und datenschutzwidrig gekennzeichneten Produkten von „Google, Microsoft und andere(n) Anbieter(n)“ kann ich mich aber entziehen indem ich sie nicht kaufe oder bestimmte technische Möglichkeiten nicht nutze.

Nicht verschwiegen werden soll, dass das ULD in seiner Stellungnahme vom 11.02.2015 trotz seiner Bewertung, dass „die gesetzliche Regelung von eGK und TI aus Datenschutzsicht fast vorbildlich“ sei, Kritik an einzelnen Regelungstatbeständen im E-Health-Gesetzentwurf benennt, so z. B.:

  • „Die Regelungsvorschläge sind stark auf die Bedürfnisse der medizinischen IT-Industrie ausgerichtet. Es gesteht die große Gefahr, dass hier wirtschaftliche Machzentren entstehen, deren Geschäftsmodell nicht nur darin besteht, Informationstechnik in Gesundheitswesen zu implementieren und effektiv zu nutzen, sondern auch, personenbezogene oder -beziehbare Medizindaten zu erfassen, auszuwerten und kommerziell zu nutzen, ohne dass eine wirksame Kontrolle gewährleistet ist.“
  • „Es besteht mangels hinreichender Regelungen die Gefahr, dass die Daten zur Beeinflussung des medizinischen Versorgungsgeschehens sowie für vorrangig kommerzielle Zwecke verwendet und hierdurch die Vertraulichkeit der Daten und damit das Vertrauen der Betroffenen in die Datenverarbeitung und letztlich in die Behandlung beeinträchtigt werden.“

3 Kommentare

  1. Festzementieren eigener Werbebotschaften reicht nicht aus!

    Das Kernproblem ist bei dieser Stellungnahme, dass weiterhin so getan wird, als wenn das geplante informationelle System transparent sei, die Arbeitsweise in jedem systemischen Teilaspekt bekannt, der Datenumfang definiert und die Sicherheit in jeder Hinsicht gegeben.

    In der technischen Sicherheitsanalyse der elektronischen Gesundheitskarte von Huber/Sunyaev/Krcmar der technischen Universität München vom Februar 2008 wurde darauf hingewiesen dass die Miteinbeziehung erforderlicher Sicherheitsanalyse-Standards für die eGK ein unbefriedigendes Ergebnis ergibt und es erforderlich wäre zunächst diese fehlenden Standards zu erarbeiten. Laut der Studie wäre dazu ein ISMS/ Informationssicherheitsmanagement-System erforderlich. Damit wurde darauf hingewiesen, dass einzelne Sicherheitsanalyse-Tests, die isoliert ausgeführt werden, nicht das Rüstzeug dafür bieten die Schwachstellen der elektronischen Gesundheitskarte und telematischen Infrastruktur aufzudecken, sondern dass dafür ein komplettes ISMS-System erforderlich ist, welches hochintegriert in das neuartige informationelle System der elektronischen Gesundheitskarte und telematischen Infrastruktur eingebunden ist. Sicherheit muss systematisch und permanent erarbeitet werden ist die Botschaft und mit diesem System wären dann erst die Standards langsam entstanden, die man benötigt um ein IT-System dieser gewaltigen Größenordnung und Komplexität beherrschen zu können.

    In diesem Zusammenhang wird immer noch die begangene Todsünde für die Entwicklung eines derart großen und komplexen informationellen Systems weiter unter den Tisch gekehrt:

    Es wurde nie eine ausreichende Beschreibung der Schwachstellen des informationellen Systems in den Projektvorplanungsphasen in Auftrag gegeben. Warum nicht? Weil für ein derartiges Projekt dafür die Grundlagen in der IT-Welt überhaupt noch nicht in ausreichender Form existierten! Man ist gerade dabei diese zu entwickeln und würde man sie anfangen anzuwenden ist die sofortige Konsequenz der Stopp des eGK/TI-Systems.

    Da wird eine internet-basierende Cloudtechnologie konstruiert auf Basis von SOA (Service-Orientierten Architekturen) mit IT-Hochtechnologien, die anerkanntermaßen noch viel Neues und Unbekanntes bieten, in einem Technologiemix mit Geräten die experimentellen Sonderbau-Charakter haben, wie der geplante Konnektor und doch wird permanent so getan, als wenn dies eine stets beherrschbare, überschaubare und sichere Technologie ist.

    Was mich besonders stört ist die Monotonie einmal in die Welt gesetzter Aussagen, die das eGK/TI-System betreffen. Da spricht man davon dass keine medizinischen Daten erhoben werden, gleichzeitig ist aber klar geworden dass alle Teilnehmer des Systems und Ihre Daten miteinander vernetzt und auf das gleiche Austauschformat eingestellt werden. Es wird ein Verlinkungssystem geschaffen zu Daten die dezentral lagern, die Daten werden demnach überwiegend dezentral durchgeleitet und sind stets in unserem Zugriff ??

    Wir wurden gefüttert mit diesen Aussagen und alle haben den Kopf gesenkt bis sich einige mal trauten zu fragen was denn eine dezentrale Durchleitung von Daten durch Schichten von einem Punkt zum anderen eigentlich alles beinhaltet.

    Dabei wird nachwievor billigend in Kauf genommen dass unscharfe Begrenzungen einzelner Datenarten im Datenmix des Systems nicht gerade dazu beitragen die beteiligten Prozesse der Datenproduktion aufzuklären.

    Es wird Zeit dass wir der Festzementierung oberflächlich entstandener Aussagen, die als Wahrheiten gehandelt werden, noch entschiedenener mit Aufklärung und Meinungsvielfalt entgegentreten. Es geht jetzt auch darum die demokratischen Prozesse neu zu beleben.

    1. Neu zu belebende demokratische Prozesse kann es allerdings auch nur in einer real existierenden Demokratie geben …

  2. Ich vermute mit „Google, Microsoft und andere Anbieter breiten sich hier aus, ohne dass ein effektiver Datenschutz besteht. Die elektronische medizinische Kommunikation erfolgt weitgehend ungesichert, weil unverschlüsselt und über offene Netze.“ meint Weichert [0] nicht die Nutzer/Patienten-Seite sondern die der Ärzte. Womit er selbstverständlich Recht hat. Auch hier besteht Handlungsbedarf.

    Parkplätze vor Arztpraxen waren zu Wardriving Zeiten sehr beliebt und generell hab‘ ich kein großes Vertrauen in die Datensicherheit in Arztpraxen/Kliniken. Sind halt, aus diversen Gründen – hier seien nur Kostendruck und nicht vorhandene Kontrolle genannt – weiche Ziele.

    Es ist aber schon rein technisch ’ne andere Nummer ein paar hundertausend verteilte Datenquellen anzuzapfen und auszuwerten – immer mit dem Risiko von dem ein oder anderen Dr.Geek dabei erwischt zu werden – als einfach legal/illegal/scheißegal auf _eine_ bestehende allgemeine Sammlung zuzugreifen.
    Ich persönlich würde meine Daten gerne selbst kontrollieren/mit mir herumtragen. Aber das ist eine andere Diskussion.

    Davon abgesehen sind mit staatlich bestellte „Datenschützer“ suspekt. Zumal mit Polit-Karriere-Hintergrund wie bei Weichert.

    [0] http://de.wikipedia.org/wiki/Thilo_Weichert

Hinterlasse einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*
*