Kommentar: Auch aus Security-Sicht gibt es wenig Liebe für das E-Rezept
Digitalisierung ja – aber nicht um den Preis einer gigantischen, dazu höchstwahrscheinlich schlecht gesicherten Datenzusammenführung, meint unsere Kolumnistin.
(Bild: iX)
- Janis König
Ei, ei, ei, was seh ich da: Deutschland digitalisiert endlich!? Der Arztbesuch soll jetzt bequemer vonstattengehen, das E-Rezept beim Gang zur Apotheke Papier sparen? Wow! Geschehen etwa doch noch binäre Zeichen und digitale Wunder im Land der Faxe und blauen Passierscheine? Zu schön, um wahr zu sein.
Ganz so glatt läuft es natürlich nicht: Die AG Kritis, der Chaos Computer Club, das Zentrum für digitalen Fortschritt D64 e. V., der Verein Digitale Gesellschaft … – die Liste der Unterzeichnenden des offenen Briefes gegen das "Gesundheitsdatennutzungsgesetz" (GDNG) ist lang. Viele der Protestierenden kommen zwar aus dem Lager der häufig Nörgelnden, aber nicht unbedingt aus der Schublade der prinzipiell elektronisch Abgeneigten. Ihre Kritik ist ganz klar NICHT, dass sie einer Digitalisierung des Gesundheitssystems grundsätzlich immer entgegenständen: An der Ausformulierung und wahrscheinlich zu Recht befürchteten Umsetzung des Gesetzes hapert es aber nach Ansicht der Kritisierenden dafür umso mehr.
Kennen Sie schon den kostenlosen iX-Newsletter? Jetzt anmelden und monatlich zum Erscheinungsdatum nichts verpassen: heise.de/s/NY1E In der nächsten Ausgabe geht's ums Titelthema der Februar-iX: ESG-Reporting-Software.
Vor allem schweigt sich der Gesetzesbeschluss darüber aus, wie genau die Sicherheit der Daten gewährleistet werden soll – "Confidential Computing" soll es im Wesentlichen richten, also eine aktuell wild beforschte Disziplin der Informatik, die erst in wenigen Anwendungsfällen langfristig ausgetestet wurde, und auch das noch nicht einmal im großen Maßstab. Es fehlte gerade noch der Verweis auf vollhorstomorphe Verschlüsselung auf der Quantenblockchain.
Daten sammeln für … ja, für was eigentlich?
Die primäre Zielsetzung ist hier ganz klar eine andere als der Datenschutz: die Vernetzung aller Informationen, um einen nicht näher definierten Mehrwert in der Forschung zu erreichen. Grundsätzlich ist es natürlich lobenswert, den medizinischen Fortschritt zu unterstützen. Bei den gesammelten medizinischen Daten eines Landes jedoch, sollte man meinen, wäre ein grundlegendes Konzept zur IT-Sicherheit drin gewesen. Das hat man sich – wohl aus gutem Grund – gescheut mitzuliefern.
Das Frustrierende: Es wäre ja nicht einmal unbedingt technisch kompliziert gewesen. Die Daten könnten lokal je nach Anwendungsfall anonymisiert oder pseudonymisiert und auf jeden Fall verschlüsselt werden, bevor sie in die Cloud geschickt werden. Patientinnen und Patienten könnten ausgewählte Befunde gesondert verschlüsseln und den jeweiligen Ärztinnen und Ärzten wiederum einen Schlüssel für den Zugriff mitteilen – ob analog zum Beispiel über einen QR-Code oder über einen verschlüsselnden Messenger.
Für die Forschung könnten Informationen ebenfalls von den Patienten freigegeben werden – als freiwillige Datenspende. Sicherlich, einen umfassenden Data Lake über die gesundheitlichen Probleme und Risiken ganz Deutschlands ohne Einwilligung der Betroffenen wird man so nicht erreichen, aber vielleicht ist das ganz gut so. Denn immerhin könnten nach längeren, erfolgreichen Tests des Systems, wenn bewiesen ist, dass nicht massenhaft Daten abhanden und in falsche Hände gekommen sind, schrittweise weitere Informationen geteilt oder der Opt-in weiter erleichtert werden. Hingegen alles auf die Karte "Wird schon gut gehen" zu setzen darf genau nullmal schiefgehen. Dafür sind wir nach aller Erfahrung der letzten Jahre noch nicht bereit.
Diese Kolumne entstammt der iX 2/2024, die am 24. Januar im Web und am 26. Januar am Kiosk erscheint. Sie wollen immer gratis und mit exklusiven Inhalten vorab zum Erscheinen des neuen Hefts informiert werden? Dann melden Sie sich hier beim kostenlosen iX-Newsletter an.
(ur)
