Gesundheitsminister Jens Spahn will einen Zugang zur Patientenakte auch über Smartphone und Tablets.

Der Tagesspiegel hat hierzu Prof. Pohl befragt.

(Professor Hartmut Pohl ist Geschäftsführer einer IT-Sicherheitsberatung und Sprecher des Arbeitskreises „Datenschutz und IT-Sicherheit“ der Gesellschaft für Informatik.)

“Das unsicherste Gerät der Welt ist das Handy. Sie können das natürlich aufwändig absichern – aber das kostet sehr viel und bietet auch keine hundertprozentige Sicherheit. Mobile Geräte werden ja aus gutem Grund nicht vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert. Die wissen genau, wie viele Angriffspunkte es in Handys gibt.

Spahns Argumentation lautet, dass der Smartphone-Zugang zur Patientenakte freiwillig sein solle. Wem das wichtig sei, der nehme dann eben etwas weniger Sicherheit in Kauf. Was ist dagegen zu sagen?

Ich nenne das eine Verführung des Bürgers. Die Menschen laufen in eine Falle, sie können das Risiko gar nicht beurteilen. Wer nicht die Zeit oder die Kompetenz hat, sich ausgiebig mit dem Thema zu beschäftigen, hat seine Gesundheitsdaten dann plötzlich für alle nachlesbar im Internet. Ich würde jedem empfehlen, seine Patientenakte nicht übers Handy zugänglich zu machen. Ein mobiler Zugang ist dafür viel zu unsicher.

Spahn sagt: Datenschutz ist was für Gesunde. Und vergleicht die Risiken des Zugangs zur elektronischen Patientenakte mit denen des Online- Bankings. Was ist der Unterschied?

Wenn Sie mein Konto knacken, kommen Sie vielleicht an ein bisschen Geld heran, das dort liegt. Und bei einer Veröffentlichung der Kontodaten, ändere ich zeitnah die Nummer und das Passwort. Wenn die Gesundheitsdaten einmal im Netz sind, ist das etwas ganz anderes. Der Schaden ist viel größer, und solche Informationen sind nicht mehr wegzubekommen. Dabei geht es dann nicht um die Gesunden, sondern zum Beispiel um Krebs- oder Aids-Kranke, das sind Zigtausende. Stellen Sie sich vor, es würden Listen aller Menschen in Deutschland veröffentlicht, die an HIV erkrankt sind. Oder jeder würde erfahren, ob und wann sie einmal psychische Probleme hatten, wie sie behandelt wurden, ob es ihnen jetzt wieder besser geht oder nicht. Wenn diese Daten an die Öffentlichkeit kämen, wäre das für die Betroffenen ganz furchtbar. Und wie gesagt: in der IT gibt es keine hundertprozentige Sicherheit!

Der Tagesspiegel 09.01.2019

“Honi soit qui mal y pense” …
wörtlich: „Beschämt sei, wer schlecht darüber denkt“:

Arvato CRM Solutions hat seine Healthcare-Sparte schon Ende 2017 mit dem eHealth Anbieter Welldoo angereichert. Welldoo wird unter der neuen Marke »Vilua« für Konzerne, Gesundheitsunternehmen und Krankenkassen Programme für die Prävention und Versorgung anbieten. Arvato produziert und vertreibt damit also auch Gesundheits-Apps.
[https://www.medizin-und-elektronik.de/sonstige/artikel/147033/ vom 30.10.2017]

Zur Erinnerung: Arvato ist eine Tochter im Bertelsmann-Konzern. Sie betreibt die deutsche “Gesundheits-Cloud” im Rahmen der Telematikinfrastruktur im Auftrag der Gematik GmbH.
Mehrheitsgesellschafter der Gematik GmbH ist der Bundesgesundheitsminister mit 51%.

Kommentar:

Unabsehbare Folgeschäden
Von Hartmut Gieselmann

“Die in Medizin-Apps gespeicherten Daten sind nicht nur besonders brisant, sondern können auch Personen betreffen, die die Apps gar nicht nutzen und deren Datenschutzbestimmungen gar nicht abgenickt haben.

Besonders tückisch sind etwa Erbkrankheiten. Wenn diese bei einzelnen Patienten diagnostiziert werden, dann betreffen die Informationen auch andere Familienmitglieder bis hin zu noch ungeborenen Enkeln und Urenkeln.

In diesem Zusammenhang verlieh Digitalcourage e.V. just der US-Firma AncestryDNA den Big Brother Award 2019. AncestryDNA bietet im Web Gen-Analysen zur sogenannten Ahnenforschung an zum Schnäppchenpreis von 89 Euro. Doch laut Digitalcourage verkauft Anchestry die DNA-Daten weiter an Forschungsinstitute und Pharmaunternehmen, die für die Nutzung solcher Gendatenbanken hunderte Millionen Dollar springen lassen. US-Behörden nutzen DNA-Datenbanken inzwischen auch bei der Strafverfolgung. Begehrlichkeiten gibt es zudem bei Versicherungen, mit DNA-Analysen ihre Risikoabschätzung zu „optimieren“. Das Nachsehen haben dann Patienten, die aufgrund einer genetischen Besonderheit ein höheres Risiko für bestimmte Krankheiten bedingen, daraufhin teurere Tarife bezahlen müssen oder gar keinen Vertrag mehr bekommen.

Aber selbst wenn keine Profildaten aus den Apps an Firmen wie Google oder Facebook weitergereicht werden, ist oft allein schon die Infor- mation kritisch, welche Gesundheits-App von wem wie häufig genutzt wird. Das gilt nicht nur für Moodpath: Wenn Google oder Apple in ihren Shops registrieren, wer die App heruntergeladen hat und regelmäßig nutzt, dann können sie daraus schließen, dass die betreffende Person vermutlich unter Depressionen leidet. Derartige Therapie-Apps für psychologische Probleme und Suchterkrankungen gibt es viele: Es gibt digitale Hilfen für entwöhnte Alkoholiker (SmartAssistEnz), für Raucher (CureApp) oder Geschlechtskrankheiten (Intimarzt).

Hier wäre ein besonderer Schutz nötig. Bislang verstehen Rechtsprechung und Zertifizierungstexte unter Datenschutz hauptsächlich den Schutz vor unbefugtem Zugriff. Die befugte Weitergabe und den Verkauf der Daten durch die Firmen wird – DSGVO hin oder her – vor dem Patienten aber weitestgehend verschleiert.

Deshalb muss nicht nur die Technik für die digitale Datenverarbeitung im Gesundheitswesen fit werden, sondern auch die Rechtssprechung: App-Store-Betreiber müssten per Gesetz gezwungen werden, dass Aufzeichnungen über medizinische Käufe nach kurzer Zeit gelöscht und Daten zur Nutzung gar nicht erst erhoben werden. Anbietern von Gesundheits-Apps müsste zudem untersagt werden, Tracker-Dienste einzusetzen und Daten mit Drittfirmen zu teilen. Denn es gibt aus Sicht der Patienten keinen Grund, warum eine Depressions-App etwa Googles Werbe-ID braucht oder sich eine Diagnose-App mit dem Facebook- Konto verbinden muss. Der Patient muss sicher sein, dass seine Daten nicht weitergegeben werden und alle Beteiligten sie auf seinen Wunsch hin löschen. Bisherige Anonymisierungsverfahren genügen hier nicht, sondern die Datensätze müssten zusätzlich in Gruppen zusammengefasst werden.

Wenn selbst Experten einen Aufschub der MDR bis 2024 fordern, wäre für eine Nachbesserung noch Zeit genug. Es gibt keinen guten Grund dafür, dass Gesundheitsminister Spahn hier im Eilverfahren Gesetze durchpeitscht. Er sollte sich lieber die nötige Zeit nehmen, um den Datenschutz für medizinische Apps auf Vordermann zu bringen. Dies würde zur Akzeptanz in der Bevölkerung und bei Ärzten beitragen und berechtigte Vorbehalte zerstreuen.

Bis es so weit ist, sollten Patienten die Datenschutzbestimmungen der Gesundheits-Apps gründlich studieren und ihre Gesundheitsdaten im Zweifel nur dem anvertrauen, der gesetzlich zum Schweigen verpflichtet ist: Ihrem Arzt.”

c’t 2019 – Heft 17 – hag@ct.de

Massive Datenschutzmängel in millionenfach genutzter Gesundheits-App Ada

“Berlin – Erneut ist eine Gesundheits-App unter Verdacht geraten, sensible Daten ohne Wissen des Nutzers an Facebook und Analysefirmen in den USA übermittelt zu haben. Nach Recherchen der Computerzeitschrift c’t und einem Blog des IT-Sicherheitsexperten Mike Kuketz, der schon einmal Ende 2018 Sicherheitsmängel in der elektronischen Ge­sundheitsakten-App Vivy aufgedeckt hatte, ist es auch um den Datenschutz der Ge­sundheits-App Ada nicht gut bestellt.Ada, eine Entwicklung der Ada Health GmbH mit Hauptsitz in Berlin, ist ein auf Verfahren der künstlichen Intelligenz (KI) basierender medizinischer Chatbot, der Nutzer nach Be­schwer­den und Symptomen befragt, um daraus Wahrscheinlichkeiten für mögliche Er­krankungen abzuleiten und gegebenenfalls Empfehlungen für einen Arztbesuch abzuge­ben.

Die App gehört in den App-Stores von Google und Apple zu den beliebtesten Gesund­heits-Apps. Seit dem weltweiten Launch der App im Jahr 2016 wurden darüber nach An­gaben der Firma 15 Millionen Symptom-Befragungen durchgeführt. In Deutschland ko­operiert unter anderem die Techniker Krankenkasse (TK) mit dem Start-up: TK-versicherte Nutzer der App erhalten nicht nur eine persönliche Einschätzung, sondern werden auf Wunsch über passende digitale Versorgungsangebote der TK informiert.
–>aerzteblatt.de – 15.10.2019
–>”Gesundheitsapp Ada soll Patientendaten an Dritte verschickt haben” – Der Spiegel, 11.10.2019

Gesundheits-Apps sind redselig

Datenverkehr von Medizin-Apps entlarven c’t 23/2019