Deutschland hinkt bei der Umsetzung digitaler Prozesse im Gesundheitswesen hinterher. Doch wer hochsensible Gesundheitsdaten massenhaft speichert, muss einerseits die Privatsphäre der Betroffenen wahren und andererseits zwingend IT-Sicherheit sicherstellen. Um der Bundesregierung zu helfen, diese Selbstverständlichkeiten in die Praxis zu überführen, veröffentlichen wir in einem offenen Brief zehn Prüfsteine.
Die schleppende Digitalisierung des Gesundheitswesens soll in Deutschland mit dem Digitalgesetz und dem Gesundheitsdatennutzungsgesetz beschleunigt werden. Dabei scheint die Devise der Stunde das Mantra „Heilung durch Daten“ zu sein, denn Patientendaten sollen wahllos massenhaft angesammelt und später etwa zu Forschungszwecken freigegeben werden. Die Datengeber sollen vorher nicht gefragt werden, ob sie dies überhaupt wünschen. Zugleich droht auf europäischer Ebene mit dem European Health Data Space (EHDS) eine noch intransparentere und noch stärker marktorientierte Digitalisierung des Gesundheitswesens.
Der CCC fordert daher: Betroffene müssen selbstverständlich die Wahl haben, ob und für wen sie ihre sensiblen Gesundheitsdaten freigeben wollen. Denn in der Diskussion um das Gesundheitsdatennutzungsgesetz und zentrale Patientendatensammlungen schwingt häufig die unbegründete Drohung mit, nur beim Zugriff auf wirklich alle Daten könne sinnvoll Wissen generiert werden. Doch diese Behauptung hält schon einer oberflächlichen Prüfung nicht stand, da die zwangsweise Erfassung und Freigabe der Gesundheitsdaten ja nur für gesetzlich Versicherte gelten soll. Dass dann ein paar Millionen Privatversicherte fehlen, kann die Forschung angeblich verschmerzen.
Wir wissen: Ohne eine dokumentierte und geprüfte technische Sicherheit und solide Schutzvorkehrungen kann und darf es auch bei Gesundheitsdaten kein Vertrauen geben. Nachvollziehbare Nachweise dieser Sicherheitsmaßnahmen sind vor Inbetriebnahme und während des Betriebs regelmäßig zu erbringen und öffentlich einsehbar bereitzustellen.
Statt heute schon die unausweichlichen Datenabflüsse von morgen zu planen, fordern wir die Bundesregierung auf, einen gründlicheren Weg einzuschlagen und ihre Risikoabschätzung zu verbessern. Zusammen mit einem Bündnis aus vierzehn zivilgesellschaftlichen Organisationen fordert der CCC eine neue Orientierung anhand von zehn gesellschaftlichen und technischen Prüfsteinen. Sie sollen als Wegweiser für den vertrauenswürdigen Einsatz digitaler Technologien im Gesundheitswesen dienen.
Die derzeit angestrebten Prozesse, die die Digitalisierung des Gesundheitswesens vorantreiben sollen, weisen grundlegende Fehler auf. Sie sind intransparent und beteiligen Patient*innen unzureichend. Das Resultat: ein digitales Gesundheitswesen, das nicht menschenzentriert gedacht ist und somit seine gesellschaftlichen Potenziale verfehlt. Das spiegelt sich auch in der technischen Umsetzung wider. Deswegen drängen wir, die unterzeichnenden Organisationen und Individuen, auf eine sachliche Auseinandersetzung, in der die gesellschaftlichen Anforderungen an ein digitales Gesundheitswesen definiert, technische Voraussetzungen auf den Prüfstand gestellt und Menschen in den Mittelpunkt des Entwicklungsprozesses genommen werden.
Die Corona-Pandemie und anhaltende Krisen wie die Klimakrise zeigen, wie wichtig ein sinnvoll digitalisiertes Gesundheitswesen für die Gesellschaft als Ganzes ist. Der Stand der Digitalisierung des Gesundheitswesens in Deutschland ist aber desolat – obwohl sie sich seit mehr als 20 Jahren hinzieht. Die Bundesregierung versucht nun mit mehreren Gesetzesvorhaben, aktuell dem Digitalgesetz sowie dem Gesundheitsdatennutzungsgesetz, die Digitalisierung des Gesundheitswesens schnell und maßgeblich voranzutreiben. Auf europäischer Ebene soll der Europäische Gesundheitsdatenraum eine Vereinheitlichung der Digitalisierung des Gesundheitswesens auch auf europäischer Ebene erreichen.
Der Zeitplan dieser Vorhaben ist ambitioniert: Anfang 2025 soll ein Großteil der angesprochenen Vorhaben bereits umgesetzt sein. Wir begrüßen, dass die Digitalisierung des Gesundheitswesens vorangetrieben werden soll. Doch die notwendigen Rahmenbedingungen für eine zukunftsfähige, soziale und gerechte Umsetzung sind nicht gegeben, denn sie erfolgt weitgehend ohne Einbindung der Gruppen, die am meisten betroffen sind: den Patient*innen. Ihre Bedürfnisse an ein digitales Gesundheitswesen werden deshalb bislang nicht erfüllt.
Die Digitalisierung des Gesundheitswesens hat individuelle und gesellschaftliche Auswirkungen, die frühzeitig berücksichtigt werden müssen. Die Sensibilität und Kritikalität der zugrundeliegenden Gesundheitsdaten erfordern eine sorgfältige Risikoabwägung in Aspekten der Datensicherheit und der Privatsphäre.
Nach jetzigem Stand sind die, die über die Ausgestaltung der juristischen und technischen Ausgestaltung der Digitalisierungsvorhaben entscheiden, am wenigsten von den Auswirkungen der angedachten Systeme betroffen. Die Politik geht damit Risiken ein, die am Ende von den Individuen getragen werden müssen. Sie reichen von Gefahren für die individuelle Privatsphäre, Ausfall von Systemen oder Manipulation von Daten – diese Risiken tragen am Ende die Patient*innen persönlich. Unbedachte Szenarien von Datennutzung und der „Hebung von Datenschätzen“ führen bei Problemen zu massenhaftem, individualisiertem Schaden, wohingegen die Verursacher dieser Probleme kaum langfristige Risiken zu befürchten hätten. Es gibt viele Anwendungsmöglichkeiten für „Privacy-by-Design“-Konzepte und -Technologien, die in den letzten Jahrzehnten von der Kryptografie- und Privacy-Community entwickelt wurden und seit vielen Jahren erfolgreich in anderen Szenarien eingesetzt werden. Mit Hilfe dieser Technologien ist es möglich, die Potenziale des digitalen Gesundheitswesens zu entfalten, ohne eine Privatsphäre-Katastrophe zu schaffen und unnötiges individuelles und gesellschaftliches Schadenspotenzial zu erzeugen. Aber auch bei konzeptionell und technisch sinnvollen Konzepten bleiben Restrisiken, die fortlaufend beobachtet, offen debattiert und so weit wie möglich minimiert werden müssen.
Unabhängig von konkreten technischen und finalen juristischen Ausgestaltungen einer „elektronischen Patientenakte für alle“, dem Gesundheitsdatennutzungsgesetz sowie dem Europäischen Gesundheitsdatenraum ergeben sich aus der Art der bisherigen Beteiligungsmöglichkeiten für digitale Zivilgesellschaft und Selbsthilfe-Organisationen und der Geschwindigkeit des Prozesses folgende Eckpunkte, die gar nicht bis ungenügend berücksichtigt wurden, aber für ein vertrauensvolles digitales Gesundheitswesen für alle wesentlich sind.
Die Unterzeichner*innen dieses offenen Briefes sehen sich dabei in beratender und kontrollierender Rolle, vermissen aber insbesondere für ein technologisches Projekt dieser Größe und Auswirkung auf die Gesamtbevölkerung angemessene Transparenz des politischen und technologischen Entwicklungsprozesses, speziell auch in Anbetracht der Geschwindigkeit und der Größe des Vorhabens.
Die folgenden Eckpunkte sehen wir als gesellschaftliche und technische Mindestanforderungen für den vertrauenswürdigen Einsatz digitaler Technologien im Gesundheitswesen.
Gesellschaftlich:
1. Notwendigkeit der individuellen Freigabe, Verschattung und Weitergabe von Gesundheitsdaten
Diskriminierung und Stigmatisierung erleben Patient*innen immer individuell persönlich und sind Alltag im Gesundheitswesen. Daher ist es letztlich auch Mitentscheidung der Patient*innen, welche Informationen freigegeben oder verschattet werden. Eine fixe Festlegung auf drei sensible Gesundheitsdaten, wie im Digitalgesetz mit sexuell übertragbaren Infektionen, psychischen Erkrankungen und Schwangerschaftsabbrüchen vorgesehen, ist nicht ausreichend und zu starr. Diskriminierung und Stigmatisierung aufgrund von Gesundheitsdaten ist dynamischer als die Gesetzgebung und ein wandelbares soziales Problem. Daher muss Patient*innen die einfache Möglichkeit eines individuellen Consents, der indviduellen Verschattung und der individuell definierten Weitergabe an die Forschung jederzeit möglich sein. Diese Einstellungen müssen auch konsequent über alle digitalen Anwendungen wie etwa den digitalen Medikationsplan konsistent bleiben.
2. Abwägung von Interessenskonflikten bei Zugriff oder Betrieb von Systemen
Die digitale Verfügbarkeit von Gesundheitsdaten öffnet das Gesundheitswesen für eine ganze Reihe neuer wirtschaftlicher Akteur*innen, die einen inhärenten Interessenkonflikt beim Zugriff auf Gesundheitsdaten oder dem Betrieb von entsprechenden Systemen aufweisen. Zugriffsmöglichkeiten auf Gesundheitsdaten für Betriebsärzt*innen oder der Betrieb von digitalen Systemen durch Anbieter von Überwachungssoftware erzeugen Konfliktpotenziale, die bereits im Ansatz regulatorisch und technisch auszuschließen sind.
Der Anspruch nach gemeinwohlorientierter Digitalisierung des Gesundheitswesens verkommt bei inkonsequenter Beteiligung und Berücksichtigung der Interessen der Zivilgesellschaft zu einem leeren Versprechen. Wenn Unternehmen Gesundheitsdaten mit kommerziellen Interesse für ihre Forschung verwenden, müssen Patient*innen, die ihre Daten dafür spenden, im Sinne des Gemeinwohls davon profitieren, etwa durch Einsicht in Vorhaben und Ergebnisse, Patentfreiheit und Open Access.
4. Aufrechterhaltung der Einbindung medizinischer Fach-Expertise
Die Digitalisierung des Gesundheitswesen darf durch automatisierte digitale Diagnose-Möglichkeiten nicht die konsequente Einbindung menschlicher medizinischer Fach-Expertise bei medizinischen Diagnosen und Entscheidungen außer Acht lassen. Verdachtsdiagnosen, die beispielsweise von Krankenkassen auf Basis von Abrechnungsdaten erstellt werden, vermissen die menschliche medizinische Verifikation und stehen im Interessenkonflikt mit der Kostenträgerschaft der Krankenkassen.
5. Einbeziehung der Patient*innen in Forschung und Behandlungsalltag
Digitale Gesundheitsforschung muss für Patient*innen transparent, nachvollziehbar und wahrnehmbar sein. Gute digitale Forschung bindet Patient*innen aktiv ein und befähigt diese zur Mitwirkung. Dafür brauchen Patient*innen Transparenz über Forschungsvorhaben, Wahlmöglichkeiten zur Unterstützung bestimmter Anliegen sowie einen digitalen Rückkanal, der Patient*innen und ihre behandelnden Ärzt*innen aktiv über Ergebnisse medizinischer Forschung und deren Konsequenzen informiert, sofern das medizinisch sinnvoll ist.
6. Aufklärung der Patient*innen über neue digitale Möglichkeiten
Begleitende Kommunikation und Erläuterung der neu geschaffenen digitalen Möglichkeiten aber auch der individuellen Möglichkeiten zur Selbstbestimmung sind für die Einführung von gesellschaftlich relevanten Systemen in der Digitalisierung des Gesundheitswesens wesentlich. Unabhängige Beratung durch zivilgesellschaftliche Organisationen ist hier eine weitere wichtige Säule des Einführungsprozesses, die bestmöglich unterstützt werden sollte, da die Aufklärung und Erläuterung der digitalen Möglichkeiten nicht zusätzlich im Behandlungsalltag geleistet werden kann.
Prozessual:
7. Beteiligung von neutralen Dritten in Konzeption und technischer Umsetzung
Die Einbindung von Patient*innen, Leistungserbringer*innen, Wissenschaft und der Zivilgesellschaft bei der Ausgestaltung der Digitalisierung im Gesundheitswesen muss gestärkt werden. Alle müssen mit starkem Mandat im künftigen Digitalbeirat der Gematik vertreten sein und bei künftigen Gesetzgebungsverfahren besser einbezogen werden. Gute Ausgestaltung bedeutet, dass die Digitalisierung patient*innenzentriert und diskriminierungssensibel umgesetzt wird und das bereits in Konzeption und technischer Umsetzung berücksichtigt wurde. Gesetzliche Regelungen für die Einbindung von BSI und BfDI lediglich „im Benehmen“ sind hier ein Warnzeichen, dass echte und kritische Beteiligung neutraler Dritter bei der Ausgestaltung von Systemen nicht erwünscht ist.
Technisch:
8. Umsetzung nach Stand der Technik und nach zeitgemäßen Sicherheitsparadigmen
Bei der Einführung neuer Anwendungen im digitalen Gesundheitswesen sind etablierte und dem Stand der Technik entsprechende technische Verfahren bei der Umsetzung zu nutzen. Zusätzlich zum sorgfältigen Einsatz dieser Techniken sind für die Verarbeitung von Gesundheitsdaten zeitgemäße Sicherheitsparadigmen (Security-by-Design, Zero Trust) anzuwenden, die ein mögliches Schadensausmaß bestmöglich minimieren.
9. Grundlegende Wahrung eines hohen Niveaus von Privatsphäre und IT-Sicherheit
Bei der technischen Umsetzung müssen grundlegend hohe Niveaus von Privatsphäre und IT-Sicherheit jederzeit gewahrt werden. Dies ist technisch losgelöst von einer Ausrichtung in ein Opt-in- oder Opt-out-Szenario zu sehen. Dabei sollen belegbare technische Maßnahmen wie Kryptografie und Anonymisierung die Privatsphäre der Nutzer*innen so gut wie möglich zwingend sicherstellen. Es reicht nicht, sich auf organisatorische Maßnahmen, Versprechen und „Vertrauen“ zu verlassen. Strafbewährung von Missbrauch kann dabei nicht als Erhöhung des Sicherheitsniveaus gewertet werden. Grundsätzlich gilt: Die Nutzer*innen sollten keiner Person oder Institution mit Ihren Daten „vertrauen“ müssen, sondern dokumentierte und geprüfte technische Sicherheit genießen. Nachweise zur Sicherheit sind vor Inbetriebnahme und regelmäßig während des Betriebs zu erbringen und öffentlich einsehbar bereitzustellen.
10. Technische Transparenz und Prüfbarkeit der zugrundeliegenden Systeme
Der vollständige Quelltext für App und Infrastruktur muss frei und ohne Zugangsbeschränkungen verfügbar sein, um Audits durch alle Interessierten zu ermöglichen. Durch Reproducible-Build-Techniken ist sicherzustellen, dass Nutzer*innen überprüfen können, dass die App, die sie herunterladen, aus dem auditierten Quelltext gebaut wurde. Im Entwicklungs- und Gesetzgebungsprozess sind etwaige Konzeptskizzen und für die Öffentlichkeit relevante Diskussionsstände auch der Öffentlichkeit zugänglich zu machen.
Links: