Dr. Thilo Weichert: Es ist nicht der Datenschutz, der die Digitalisierung im Gesundheitswesen behindert, sondern die Ignoranz gegenüber dieser Schutzvorkehrung: Medizinischer Datenschutz ist nichts anderes als die Beachtung des über 2000 Jahre alten Patientengeheimnisses, zu dem sich schon Hippokrates verpflichtet sah. Und das nicht umsonst: Die ärztliche Schweigepflicht und die Vertraulichkeit des Arzt-Patienten-Verhältnisses ist Voraussetzung dafür, dass sich Patientinnen und Patienten umfassend anvertrauen und dadurch eine bestmögliche Behandlung stattfindet.

Dieses Vertrauensverhältnis gerät in Gefahr, wenn die eingesetzte Informationstechnik (IT) unsicher ist oder wenn Gesetze erlassen werden, deren Umsetzung für die Heilberufe nicht praktikabel ist. Deshalb sollten Datenschutzverantwortliche frühzeitig bei der Einrichtung von IT-Infrastruktur und -Systemen und beim Ausarbeiten von Regelungen eingebunden sein. So kann die Wahrung der Vertraulichkeit von Anfang an berücksichtig werden. Passiert dies, so wird Datenschutz zum „Ermöglicher“ – und nicht zum Hindernis.
 

Dr. Weichert: Das „Datenschutzproblem“ für Wirtschaft und Wissenschaft besteht darin, dass die geltenden Regeln oft Jahrzehnte alt sind und nicht an die modernen Gegebenheiten und Bedürfnisse angepasst sind. Datenschutzverantwortliche müssen eigentlich dafür sorgen, dass diese Regeln umgesetzt werden. Wenn das aber quasi unmöglich ist, weil die Regelungen veraltet sind, drücken sie immer wieder die Augen halb zu, wenn zumindest die praktizierten Rahmenbedingungen hinreichend akzeptabel sind. 

Auch die neuesten Gesetze zur Sekundärnutzung von Gesundheitsdaten sind schlecht gemacht, was der Intransparenz und der Durchstecherei förderlich ist. Es ist dann kein Wunder, wenn es Mauschelei und Sicherheitslücken gibt, was dem Vertrauen in die Systeme schadet. Gut durchdachte und praktizierte Verfahren beim Datenschutz können z. B. gegenüber den Praktiken in den USA oder in China ein Wettbewerbsvorteil sein. Dort landen inzwischen die Gesundheitsdaten bei unberechenbaren US-amerikanischen Behörden oder in Datenbanken chinesischer Sicherheits- oder Militärbehörden. 

Dr. Weichert: Ohne Digitalisierung geht heute im Gesundheitswesen sowieso nichts mehr. Sie muss aber klug umgesetzt werden. Und das ist nicht der Fall, wenn US-Firmen beauftragt werden, auf deren Datenbestände US-Behörden zugreifen können – und dies auch tatsächlich tun. Das ist auch nicht der Fall, wenn Praxen Terminverwaltungsprogramme einsetzen, die im Hintergrund die Daten einzelner Personen sammeln und für undurchsichtige Zwecke verwenden.

Der Einsatz von KI z. B. in der Krebsdiagnostik oder im OP verbessert die Behandlung. Die Datensicherheit kann durch Cloudlösungen verbessert werden. Doch haben die dabei entstehenden Daten nichts bei OpenAI oder bei Google zu suchen. Die Risiken lassen sich durch vertrauenswürdige IT-Partner, durch sichere Prozesse, durch Zertifizierungen und Kontrollen minimieren. All das hindert nicht einen wirksamen IT-Einsatz in der Medizin.

Dr. Weichert: Kein digitales System ist zu 100 % sicher. Es macht aber einen gewaltigen Unterschied, ob Gesundheitsdaten unverschlüsselt im Internet liegen und jeder mit etwas Neugierde diese dort finden kann, oder ob sichere Authentifizierungen, Verschlüsselung, Pseudonymisierung, Rollenkonzepte mit Zugriffsbeschränkungen, automatisierte Protokolldatenauswertungen und adäquate Löschverfahren zum Einsatz kommen. Das Problem ist auch: Viele Verfahren, die heute zum Einsatz kommen, sind so intransparent, dass Verantwortliche ihre Verantwortung gar nicht wahrnehmen können! Viel zu selten wird – gerade im Gesundheitsbereich – genutzt, dass es ja geprüfte und zertifizierte Produkte und unabhängige Audits oder Penetrationstests gibt. Dabei sind Gesundheitsdaten wirtschaftlich besonders wertvoll, weshalb Kriminelle und halbseidene IT-Dienstleister sich diese Daten nur zu gerne zu verschaffen versuchen. Wenn dann Krankenhäuser mit Ransomware erpresst oder psychiatrische Akten im Internet landen, ist das Jammern groß.

Dr. Weichert: Die Idee der TI, also Telematikinfrastruktur, ist richtig. Damit sollen hinreichend authentisierte Nutzer die für sie nötigen Gesundheitsdaten differenziert abrufen, nutzen und einstellen können. Durch sichere Schnittstellen soll Patientinnen und Patienten ermöglicht werden, einen Überblick über ihre eigenen Daten zu erhalten und darüber zu bestimmen. 

Dass es mit der TI in den vergangenen Jahren nur sehr langsam vorangegangen ist, hat viele Gründe – auch, dass allzu viele Köche mitkochen wollten. Leider mussten White Hacker, also wohlwollende IT-Forschende, immer wieder nachweisen, dass große Sicherheitslücken bestehen, zuletzt kurz vor der Einführung der elektronischen Patientenakte. Wenn das Gesundheitsministerium sagt, die TI sei sicher, dann muss das belegt werden. Ein neues TI-Modul sollte nicht in Betrieb gehen, bevor alle Zweifel an der Sicherheit beseitigt wurden. Und den Nutzenden muss reiner Wein hinsichtlich der Sicherheit eingeschenkt werden, damit sie das System bewusst nutzen können.

Fazit:

Einfache Lösungen, Abwehr und Umverteilung von Verantwortung scheinen in dieser Diskussion eine entscheidende Rolle zu spielen. Dabei wäre ein differenzierter Blick auf die echten Probleme hilfreich, um bei der Digitalisierung im Gesundheitswesen nachhaltig voranzukommen, wie unser Experte erläutert. Und das liegt schließlich im Interesse aller im System Vertretenen.

Quelle: Medical-Tribune-Bericht