TI-Tanic Eisberg voraus

Pressemitteilung 25.01.2020 

TI ( - tanic) -  Eisberg voraus ?

oder bereits leckgeschlagen ? 

Verbandsübergreifendes Bündnis für Patientendatenschutz im Gesundheitswesen veröffentlicht erste Ergebnisse 

Mehr als 20 Verbände und Initiativen, die sich schon seit Jahren mit den Risiken und Nebenwirkungen der elektronischen Gesundheitskarte, der Telematik-Infrastruktur ( TI )  und der elektronischen Patientenakte auseinandersetzen, versammelten sich in Kassel am vergangenen Samstag  zu einer ersten Konsensus-Konferenz.

Die bunte Mischung aus Ärzten, Psychotherapeuten, Patientenvertretern, Einzel-Initiativen und IT-Spezialisten einigte sich auf die formulierten gemeinsamen  Ziele:

Schutz der Patientenrechte bezüglich Privatsphäre und Datenschutz in Einklang mit der EU-Menschenrechtskonvention, Verteidigung des Grundrechts auf informationelle Selbstbestimmung, Erhalt der Freiwilligkeit statt Zwang, Verteidigung des jahrhundertealten ethischen Prinzips des Berufsgeheimnisses in den Medizinberufen und vor allem forcierte  Öffentlichkeitsarbeit.

Bereits jetzt gibt es durchaus erfolgreiche Aktionen einzelner Bündnispartner:

Verwiesen sei hier auf die erfolgreiche Petition „Gesundheitsdaten in Gefahr“, die das erforderliche Quorum erreicht hat für eine Anhörung im Bundestag, die Errichtung einer Internet-Suchmaschine , die Patienten ermöglicht  ÄrztInnen und PsychotherapeutInnen zu finden, die den Patientendatenschutz in ihren Praxen  garantieren und die Gründung von Hilfsfonds und Fundraising-Plattformen zur Finanzierung von Musterklagen und Verfassungsbeschwerden.

 

Das Bündnis will nun die bisherigen Einzel- Aktionen  bündeln und  vor allem die Information der Patienten ins Visier nehmen. Vorgesehen sind  juristische Maßnahmen zur Durchsetzung höchster Datenschutz-Standards im Gesundheitssystem, wie das bei intimsten medizinischen Daten selbstverständlich sein sollte, aber derzeit noch nicht  feststellbar ist.

 

 „Das Berufsgeheimnis ist  ethische Grundlage jeder medizinischen Tätigkeit. Patienten müssen sich darauf verlassen können, dass ihre Krankengeschichte bei uns sicher verwahrt wird“, erklären die Organisatoren. „Insbesondere in den psychotherapeutischen Fächern ist es unsere Pflicht, besonders auf den Datenschutz zu achten, damit nicht stigmatisierende Diagnosen unserer Patienten in falsche Kanäle gelangen.“

 

Digitalisierung muss höchsten Sicherheits-Standards genügen

 

Digitalisierung hält seit fast vier Jahrzehnten Einzug in das Gesundheitswesen und stiftet vielfachen Nutzen. Die Bündnispartner kennen aus Erfahrung die Erfolgsfaktoren:

 

  • der kranke Mensch ist das Maß und steht im Mittelpunkt – nicht die Maschine, Digitalisierung muss dem Menschen dienen, nicht umgekehrt.

 

  • medizinisches Handeln braucht einen geschützten Vertrauensraum, in dem auch intimste Geheimnisse benannt werden können, um optimale Diagnose und Therapie zu ermöglichen

 

  • die eingesetzte Technik muss sicher, aber auch robust und resilient sein – also sicher gegen technische Störungen, Ausfälle und böswillige Angriffe.

 

  • medizinisches Handeln muss auch bei technischen Störungen weitestgehend möglich bleiben – der Ausfall von Systemen darf nur überschaubare, lokale Auswirkungen haben und muss durch redundante Systeme oder manuelle Methoden überbrückbar sein

 

Die Digitalisierungsstrategie der Bundesregierung im Gesundheitswesen, die TI, erfüllt keines dieser Kriterien und generiert seit fast zwei Jahrzehnten keinen echten Nutzen. Tatsächlich versagt sie darin, sinnvolle Voraussetzungen für das Gelingen einer sicheren Digitalisierung zu schaffen.

Digitalisierung ist nicht mit Vernetzung gleich zu setzen.

TI -Teure Investitionsruine?

Schon im Jahre 2006  verlautbarte das BMG, dass durch Versichertenkarten-Missbrauch jedes Jahr 2 Mrd. Euro Schaden entsteht – ein vermeidbarer Schaden, wenn die durchaus  vorhandenen Alternativen für das Versichertenstammdatenmanagement in Erwägung gezogen worden wären.

TI -Totale Irreführung  ?

Laut Gesundheitsminister Spahn werden anonymisierte oder pseudonymisierte Daten  für Verlaufs-Studien  an entsprechende Institute zur Auswertung weitergegeben.

Verlaufs-Studien sind jedoch mit anonymisierten Daten gar nicht möglich.

Spahn behauptet weiterhin, dass  derzeit „nur“ Abrechnungsdaten in der TI weitergeleitet werden, was datenschutzrechtlich unbedenklich wäre.

Abrechnungsdaten enthalten ICD-Codes, allerdings nur soweit sie abrechnungsrelevant sind und in einer Vergröberung, die die diagnostische Realität nicht abbildet. Sie sind daher keine sinnvolle Grundlage für ernsthafte Forschung.

 

TI  - Trügerische Informationssicherheit ?

-Seit 2005 wird die Frage nach der Verantwortungsverteilung vergeblich gestellt – zuletzt 2019 von der Datenschutzkonferenz. Die für ein  IT-System dieser Größe mit diesen höchst schutzbedürftigen Daten eigentlich zwingend vorgeschriebene Datenschutzfolgeabschätzung wird vom Bundesdatenschutzbeauftragten seit 2018 vergeblich eingefordert.  Wann ist endlich mit Antworten zu rechnen?

Nach Auffassung der Bündnispartner verstößt der Betrieb der TI  damit gegen die EU-DSGVO, die als höherrangiges Recht dem Vernetzungszwang im SGB V entgegen steht. Jeder Teilnehmer an der TI geht also erhebliche Haftungs- und Bußgeldrisiken ein.

-Die Sicherheitszertifikate etwa der Konnektoren bestätigen auf einer Skala von 1 bis 7, ein Prüfniveau von 3, viel zu niedrig,  sind sich die Bündnispartner einig.  Zum Vergleich:  das Smart-Grid (digitale Stromzähler, etc.) wird auf Niveau 4 geprüft, und internationale Konzerne lassen Komponenten für eHealth-Anwendungen vielfach auf dem sehr viel höheren Niveau 6 prüfen.

-Es gibt starke Indizien für hunderte ernstzunehmender Sicherheitslücken in den Konnektoren. Wann werden die Unterlagen der Zertifizierungs-Analysen des BSI für die Konnektoren öffentlich freigegeben?

-Seit Monaten werden wir Zeugen, wie Bundesbehörden, Kliniken, Universitäten und Stadtverwaltungen vom Netz gehen müssen, weil sie gekapert wurden.

Wie sollen Praxen trotz Vernetzung perfekte Sicherheit als Sicherheitsvoraussetzung für TI gewährleisten? 

Dies ist  nach Ansicht unserer IT-Experten praktisch nicht zu leisten, und dies ist auch seit 2014 in offiziellen Dokumenten auf der Web-Site des BSI bekannt:„…muss nach dem Stand der Technik davon ausgegangen werden, dass Leistungserbringer eine Kompromittierung eines ihrer IT-Systeme im LAN nicht sicher verhindern bzw. nicht in jedem Fall frühzeitig erkennen können“

-Obwohl die TI schon im Ansatz bei der Identitätsprüfung der Zugangsausweise sicherheitstechnische Unzulänglichkeiten aufweist, was die kürzlich veröffentlichten Erkenntnisse des Computer-Chaos-Clubs beweisen, können wir keine Anstrengungen der Betreibergesellschaft gematik oder des Bundesgesundheitsministeriums erkennen, die Sicherheitsstandards auf das notwendige Niveau zu erhöhen.

 

-Wie ist der von mittlerweile  zwei Landes-KVen verbalisierte Gesetzeskonflikt für Ärzte und Psychotherapeuten aufzulösen, der darin besteht, dass man sich in jedem Fall gesetzeswidrig verhält und bestraft wird, egal ob man die Anbindung an die TI vollzieht oder nicht ? 

(§ 291 SGB V  versus Art. 26 EU-DSGVO)

 Fazit 

„We are not convinced“  

( in Abwandlung des Zitats vom ehemaligen Außenminister Joschka Fischer)

Die TI entspricht nicht den erforderlichen höchsten Sicherheits-Anforderungen.

Wir appellieren deshalb an die Bundesregierung und an die Bundestags-Abgeordneten:

Setzen Sie die TI-Zwangsvernetzung und jede Art von Bestrafung aus, ehe in diesem höchst sensiblen Bereich ein unumkehrbarer Vertrauensverlust in die Digitalisierung entsteht.

Das Gesundheitswesen ist kein Experimentierfeld, in dem man sich – Geschwindigkeit über Sorgfalt und Sicherheit  stellend – Fehler erlauben kann.

Treten Sie in einen offenen und ernsthaften Dialog über die vorhandenen Alternativen mit denjenigen Experten, die unabhängig sind und tatsächlich praktisch  in den jeweiligen Feldern arbeiten.

Treten Sie in einen offenen und ernsthaften Dialog mit  der Basis, wo täglich Hunderttausende von Patientenkontakten stattfinden.

Solange keine Antworten auf unsere Fragen und keine Lösungen für die beschriebenen Probleme vorliegen, fühlen wir uns verpflichtet, den Datenschutzgesetzen Vorrang vor dem SGB V einzuräumen und den Anschluß an die TI nicht zu vollziehen oder den Stecker zu ziehen.