Text der Petition
Der Bundestag möge beschließen, dass Patienten keine Nachteile erleiden dürfen, die ihre Daten nicht in elektronischen Patientenakten (ePA) auf zentralen Servern außerhalb der Praxen speichern lassen wollen. Die Telematik-Infrastruktur (TI) für Ärzte und Psychotherapeuten sowie die Nutzung der ePA für Ärzte und Patienten müssen freiwillig sein. Strafen gegen Ärzte und Psychotherapeuten, die sich nicht an die TI anschließen lassen, dürfen nicht verschärft, sondern müssen abgeschafft werden.
Begründung
Alle Ärzte, Psychotherapeuten, Apotheker und Krankenhäuser in Deutschland sind verpflichtet, sich über die TI miteinander zu vernetzen. Sämtliche Diagnosen und Patientendaten aller gesetzlich Versicherten sollen in elektronischen Patientenakten auf zentralen Servern privater Betreiber außerhalb der Praxen gespeichert werden. Die Daten sind bereits als Rohmaterial für Forschungszwecke vorgesehen.
Patientendaten, Diagnosen und Befunde sind jedoch besonders sensibel und schützenswert. Daten auf zentralen Servern können gehackt, veröffentlicht, missbraucht, verändert und gelöscht werden. Eine zentrale Speicherung der Daten ermöglicht zudem eine komplette Kontrolle von Patienten und Ärzten. Kein Arzt wird für die Einhaltung des Datenschutzes einmal freigegebener Daten garantieren können.
Die Schweigepflicht ist in Gefahr!
Viele betagte Patienten, psychisch Kranke oder demente Menschen werden ausgegrenzt, da sie ihre elektronische Patientenakte gar nicht nutzen können. Die Gesprächszeit beim Arzt wird noch knapper, da die Bedienung der elektronischen Patientenakte zeitintensiv sein wird. Wichtige Informationen drohen in der Datenmenge unterzugehen, die Behandlungsqualität kann sich dadurch sogar verschlechtern.
Die Entwicklung der TI hat über 2 Milliarden Euro gekostet, bisher ohne erkennbaren Nutzen für die Gesundheit der Patienten. Bisher profitieren davon ausschließlich IT-, Telekommunikations- und Beratungsfirmen. Das Geld fehlt dafür in der Patientenversorgung. Etwa alle drei bis fünf Jahre wird die Hardware zu ersetzen sein. Das bedeutet weitere Kosten für das Gesundheitswesen, finanziert aus Beiträgen der Versicherten.
Zahlreiche Ärzte und Psychotherapeuten haben diese Aspekte und Risiken abgeschätzt und sich bewusst gegen eine Anbindung an die TI entschieden. Obwohl sie verantwortungsvoll handeln, werden sie vom Gesetzgeber mit Honorarabzügen bestraft.
Echte Fortschritte durch Digitalisierung in der Medizin sind zu begrüßen. Eine sichere Kommunikation zwischen Ärzten und Patienten sowie von Ärzten und Psychotherapeuten untereinander ist wünschenswert.
Die TI in der derzeitigen Form, eine zentrale Datenspeicherung sämtlicher Patientendaten sowie ein Druck oder Zwang zur Nutzung und Installation von TI und ePA sind jedoch abzulehnen.
Das Vertrauensverhältnis zwischen Arzt bzw. Psychotherapeut und Patient sowie die Vertraulichkeit sensibler Patientendaten sind unveräußerlich!
(Die Bezeichnungen „Ärzte, Psychotherapeuten, Patienten, Apotheker“ wurden wegen der leichteren Lesbarkeit gewählt. Gemeint sind sowohl männlich, weiblich als auch divers.)
so würde ich vor allem ganz still und schnell die Nachbesserung anstreben, die allerdings teuer werden dürfte.
Die Eindrücke dieser Versuchsanordnung sind ja noch sehr frisch, dennoch wird schon wieder von absoluter Sicherheit und Verbitterung und mangelnder Informiertheit auf seiten der Zweifler und "Fortschrittsverweigerer" gesprochen.
Schaut man sich das Fiasko mit den Kartenausgaben an, also eGK, Praxisausweis, Heilberufsausweis, die ja den Zugang zu einem digitalen Hochsicherheitstrakt ermöglichen, dann sieht man, dass hier an einer Stelle gespart wurde, an der selbst der schlaueste Bauer nicht sparen würde, ginge es um die Sicherung seiner Ernte. Denn man möchte und sollte schon zweifelsfrei wissen, wer der wirkliche Inhaber des Schlüssels zum Speicher ist.
Und wenn man bedenkt, dass diese Schwächen in der Authentifizierung schon 2015 von einer sachverständigen Ärztin, zusammen mit Andre Zilch vom CCC, im Gesundheitsausschuss des Bundestages vorgetragen wurden, dann zeigt sich, dass
1. wider besseres Wissen angesichts der Bedeutung des Projektes TI auf allen Seiten eine ungeheure Fahrlässigkeit praktiziert wurde
2. man sich dann auch noch "dankbar" zeigt, dass der CCC diese Sicherheitslücken aufgedeckt hat, statt im Erdboden zu versinken und
3. die Ärzte eiskalt angelogen werden, wie sicher das alles sei, wohl wissend, dass die gesamte Haftung auf ihnen lastet, und das wiederum illegal am Art. 26 DSGVO vorbei.
So ist es nun zur Zeit so, dass nicht klar ist, wer aller eigentlich Inhaber dieser Karten, jedoch nicht berechtigt ist, Zugang zum Speicher des zukünftigen "Datenschatzes" zu bekommen. Das muss man sich wirklich einmal klar machen. Eine solide Datenschutzfolgenabschätzung seitens der Betreiber der TI würde wohl an diesem Punkt schon explodieren, würde sie seriös angegangen.
Dann haben wir das "Herzstück", den Konnektor, der von Geburt an an mehreren Herzklappenfehlern leidet, abgesehen davon, dass auch er leicht von Unbefugten beschafft werden konnte. So verfügt er über eine Prüftiefe von EAL 3+, niedriger als ein gewöhnlicher Stromableser. EAL ist das Evaluation Assurance Level, mit dem die Widerstandsfähigkeit z.B. eines Konnektors oder einer Firewall gegen Angriffe geprüft wird. In einem Aufsatz von Killmann und Schindler, beide BSI, "Über die Prüftiefe und die Aussagekraft von IT-Sicherheitsgutachten" heisst es auf S.207, die EAL 4 sei notwendig, "um auch den Widerstand gegen Angriffe mit hohem Angriffspotential bewerten zu können". Dies scheint in der TI mit Krankheitsdaten potentiell aller GKV-Versicherten nicht nötig gewesen zu sein. Offenbar geht man davon aus, dass sich nie jemand besonders gerade für diese Daten interessieren wird. In einem Artikel von Thomas Maus, Diplom-Informatiker, in der Zeitschrift c't, No. 26 aus 2019, heisst es dazu: "Knifflige Sicherheitsprobleme, die die Installation der TI in den Arztpraxen mit sich bringt, blendet das Schutzprofil (EAL3+) für den Netzkonnektor einfach aus. So tauchen dort weder mögliche Angriffe über den von außen zugänglichen Wartungskanal für die TI-Komponeneten auf, noch Angriffe aus der TI selbst oder aus den Bestandsnetzen der Krankenversicherer..." Killmann und Schindler schreiben in ihrem Aufsatz auf S. 206: "Was die Hacker betrifft, spielen Innentäter bzw. Täter mit Insiderkenntnissen einen herausragende Rolle". So klingt die Einstufung des Konnektors in seinem Schutzprofil, Seite 127, Abschnitt 7.6.2, bei der Gematik hin und wieder zu finden, beim BSI immer, wie ein Paukenschlag: "...muss nach dem Stand der Technik davon ausgegangen werden, dass Leistungserbringer eine Kompromittierung eines ihrer IT-Systeme im LAN nicht sicher verhindern bzw. nicht in jedem Fall frühzeitig erkennen können"!
Allein diese Gegebenheiten, die für eine Nicht-Informatikerin (wie mich) nur mit einem enormen Arbeitsaufwand zusammengetragen werden können, aber für IT-Profis, die an der TI tätig waren, wohl die Grundübung darstellen, sind ein ungeheurer Skandal. Ein noch größerer Skandal ist die Tatsache, trotz all dieser bekannten Dinge die Kassenärzte und -psycholog*innen mit "demokratischer" Staatsgewalt zum Anschluss an die TI zu zwingen.
Hier sind jeglicher Anstand verloren und Rechtsstaatlichkeit verlassen. Eine vertrauensvolle, transparente Zusammenarbeit, die jedoch in so einem Netzwerk zwischen den Verantwortlichen, also Leistungserbringern und Auftragnehmern, fortlaufend bis zur Aufgabe einer Praxis nötig ist, hat da einen sehr unfruchtbaren Boden.
Aber so lässt es sich auf seiten der Pro-Akteure vortrefflich wirtschaften und von Sicherheit plaudern, wenn nur die gesamte Haftung, und hier ist man wirklich sehr diskret und leise, beim "Leistungsträger", also den Ärt*innen und Psychotherapeuten bleibt.