Elektronische Patientenakte – Mit dem Herzen spielt man nicht!

Kommt die elektronische Patientenakte oder kommt sie nicht?
Schlägt sie leck, müssen Ärztinnen die Regelkonformität ihrer Datenverarbeitung nachweisen!

Von Joachim Jakobs

Ab kommenden Mai will der Chiphersteller NVIDIA den „kleinsten KI-Supercomputer der Welt“ anbieten – ab 3.000 US-Dollar. Der soll ein Petaflop (PFLOPS) Leistung bringen – also eine Billiarde Gleitkommaoperationen pro Sekunde. 1 PFLOPS! – Das ist beeindruckend: Es ist erst 17 Jahre her, dass diese Marke erstmals von dem „IBM Roadrunner“ geschafft wurde: „Mit einer Leistung von 1,026 Peta-FLOPS stellte der Roadrunner am 9. Juni 2008 einen neuen Rekord auf und kam auf Platz 1 der TOP500-Liste. Seitdem wurde das System auf den Endausbau von 296 Racks gebracht und behielt mit nun 1,105 Peta-FLOPS den ersten Platz bis zur Liste November 2009, in der er vom Jaguar-System überholt wurde. Der Zeitplan sah den Start des Alltagsbetriebs für Oktober 2009 vor. Insgesamt kostete das System rund 133 Millionen Dollar.“ Das muss man sich auf der Zunge zergehen lassen: In 17 Jahren sinken die Kosten von 133 Millionen auf 3000 Euro!

                                                                                           Bildschirmfoto: NVIDIA

Das Unternehmen hat Ideen, wozu die Leistung genutzt werden könnte – so soll dem Schlaganfallpatienten Pancho wieder eine „zweisprachige Kommunikation“ ermöglicht worden sein: „Mit dem NVIDIA cuDNN-beschleunigten PyTorch-Framework und NVIDIA V100-Grafikprozessoren trainierten die Forscher ein großes neuronales Netzwerkmodell auf Panchos Gehirnaktivität […] Nach dem Training mit Panchos Gehirnaktivität entschlüsselte das KI-Modell seine Sätze mit 75 % Genauigkeit.“

Genauigkeit verlangt nach Präzision: „Fraunhofer-Forschende arbeiten daher im Rahmen eines EU-Forschungsprojekts daran, die Steuerung der Prothese bis hin zu einzelnen Fingern zu verbessern. Statt herkömmlicher Elektroden, die Nervenimpulse im Muskelgewebe des Arms detektieren, setzen sie auf Ultraschallsensoren. Damit lassen sich Befehle viel genauer und feinfühliger umsetzen. Im nächsten Schritt wollen die Forschenden das Konzept bidirektional gestalten, das Gehirn empfängt dann auch sensorische Reize aus der Prothese.“

 

Das Potential ist gewaltig:

• „Der weltweite Markt für Gehirnimplantate wurde 2023 auf 1,9 Milliarden USD geschätzt und soll bis 2032 5,1 Milliarden USD erreichen“.
• „Der weltweite Markt für Augenimplantate wurde 2018 auf 5,11 Milliarden US-Dollar geschätzt und soll bis 2026 7,94 Milliarden US-Dollar erreichen“
• „Die Marktgröße für Herzimplantate wird im Jahr 2024 auf 38,68 Milliarden US-Dollar geschätzt und soll bis 2029 58,25 Milliarden US-Dollar erreichen
• „Der weltweite Markt für orthopädische Implantate wurde im Jahr 2023 auf 45,19 Milliarden US-Dollar geschätzt und wird voraussichtlich von 47,38 Milliarden US-Dollar im Jahr 2024 auf 71,74 Milliarden US-Dollar im Jahr 2032 wachsen“

 

Ganz gleich, ob die Patientin wieder sprechen, hören, gehen oder sich mit einer künstlichen Hand wieder am Kopf kratzen können will – Implantate und Prothesen sind nicht von der Stange — das ist alles personalisiert:

Bild: Wikipedia

„Die personalisierten künstlichen Gelenke entstehen aus einer intensiven Zusammenarbeit zwischen Orthopäden, Radiologen, Ingenieuren und Softwareentwickler. Wo früher Standardprothesen verwendet wurden, wird heute zuerst das betroffene Gelenk mit bildgebenden Verfahren wie CT präzis bildlich erfasst und ausgemessen. Anschliessend werden 3D-Computermodelle vom Knie erstellt. Damit kann bereits am Computer simuliert werden, wie das künstliche Gelenk passt und eingebaut werden soll. Dank seiner klinischen Erfahrung kann der Chirurg den Gelenksersatz am Computer simulieren und das Modell bei Bedarf noch anpassen. Am Schluss dieses Prozesses entsteht mit Hilfe eines 3D-Druckers ein für die individuelle Patientensituation massgeschneiderter Gelenkersatz, sei es als Teilprothese oder Totalprothese.“

Die anatomische Passgenauigkeit ist das Eine – die „intelligente Prothesensteuerung“ ist nicht weniger komplex:

„Dazu werden mit acht Elektroden die Bewegungsmuster der Unterarmmuskulatur gemessen und über eine Mustererkennung einer Handbewegung zugeordnet. Somit ist es möglich mit der verbleibenden Muskelbewegung am Unterarmstumpf die ehemals gewohnten Bewegungen mit der Prothese auszuführen.“

Damit die Ersatzteile auch funktionieren, brauchen sie Strom – dafür hat die Firma „Implantica“ eine „Plattform“ entwickelt, die „in fortschrittliche Technologien innerhalb des Körpers integriert werden kann, um die Überwachung von Körperparametern zu ermöglichen und eine große Reihe verschiedener neuer intelligenter, ferngesteuerter medizinischer Implantate zu versorgen und zu steuern.“

„Jeder taktile/haptische Reiz wird vom Körper mittels spezieller Reizaufnehmer, den Sinnesrezeptoren, aufgenommen. Anschließend wird die aufgenommene Information von den Rezeptoren in elektrische Impulse umgewandelt und über Nervenbahnen in das Gehirn weitergeleitet. Dort erfolgt dann die Entschlüsselung und es wird eine Empfindung bewusst.“

Die personalisierte Medizin setzt die elekronische Patientenakte voraus: „Entscheidende Grundlage für eine individualisierte Diagnostik und Therapie ist der Zugriff auf alle relevanten Patientendaten in Form einer elektronischen Patientenakte (ePA), gepaart mit einem digitalen Instrumentarium, um die richtigen therapeutischen Schlüsse aus der vorhandenen Datenflut zu ziehen.“

Und weil die Informationstechnik so spottbillig ist „geht noch viel mehr“!

Bild: ChatGPT

So hat die EU-Kommission den Virtual Human Twin (VHT) ins Leben gerufen: „Ein virtueller menschlicher Zwilling (VHT) ist eine digitale Darstellung eines menschlichen Gesundheits- oder Krankheitszustands. Sie beziehen sich auf verschiedene Ebenen der menschlichen Anatomie (z. B. Zellen, Gewebe, Organe oder Organsysteme). VHTs werden mit Hilfe von Softwaremodellen und Daten erstellt und sind so konzipiert, dass sie das Verhalten ihres physischen Gegenstücks nachahmen und vorhersagen können, einschließlich der Interaktion mit zusätzlichen Krankheiten, die eine Person haben kann […] Beispiele hierfür sind die Durchführung klinischer Studien für Arzneimittel und Geräte, die medizinische Ausbildung, die Planung chirurgischer Eingriffe und verschiedene andere potenzielle Anwendungsfälle in virtuellen Welten“:

Der Zwilling setzt sich aus Unmengen biologischer und elektronischer Details zusammen: „Mit Komponenten aus dem Siemens Xcelerator-Portfolio und unter Einsatz des digitalen Zwillings stellen die Ingenieure des Unternehmens anspruchsvolle, aber zugleich kostengünstige Prothesen her, mit denen ihre Träger nicht nur Tassen sicher halten können.“

„Der Orthopädie-Technik-Spezialist Ottobock perfektioniert beispielsweise seine High-Tech-Prothesen mit Intelligenz aus der Cloud. Ottobock digitalisiert dafür den Prozess der Versorgung und ermöglicht Orthopädie-Techniker*innen eine softwarebasierte Modellierung des Schaftes auf Basis des Scans des Stumpfes. Daraus entsteht ein Digitaler Zwilling, welcher für die nachfolgende Versorgung mit einer Prothese oder Orthese genutzt wird.“

„Das Greifen der virtuellen menschlichen Hand ist entscheidend für die Interaktion des virtuellen Menschen mit der virtuellen Welt. Wenn einige Gelenke verletzt sind (Arthritis, Karpaltunnelsyndrom, usw.) ist die Beweglichkeit der verschiedenen Gelenke eingeschränkt.“

Aus der elektronischen Patientenakte soll der Zwilling entstehen: „Die elektronische Patientenakte kann ein digitaler Patientenzwilling werden, mit dessen Hilfe wir in Zukunft Simulationen und Prognosen über Gesundheitsverläufe und Therapieerfolge durchführen können“, so ein Verantwortlicher im Uniklinikum Frankfurt.

Zugriff sollen offenbar Alle bekommen, die einmal laut „hier“ schreien: „Aktuelle Anwender in dieser Projektphase sind Medizinerinnen und Mediziner im Krankenhaus in der Behandlung von zumeist eingewiesenen Erkrankten mit komplexen Krankheitsverläufen. Im späteren Verlauf sind auch niedergelassene Fachärztinnen und Fachärzte eingebunden, aber auch die Patientinnen und Patienten sollen Zugänge erhalten. Gleiches gilt für Forschungsinstitute oder Krankenkassen. Dafür wollen die Fraunhofer-Forschenden die Lösung gemeinsam mit Life-Science-Unternehmen und Technologie-Providern in der Health IT vermarkten.“

Die Angriffsoberfläche lässt sich noch beliebig durch (vermeintlich) schlaue Telefone und Städte vergrößern: „Intelligente Gesundheitsfürsorge ist ein integraler Bestandteil von Smart Cities. Moderne medizinische Geräte werden zunehmend softwareabhängig. Ärzte und Patienten nutzen heute ihre Smartphones, um implantierbare medizinische Geräte (IMDs) wie Herzimplantate, Insulinpumpen, Tiefenhirn-Neurostimulatoren usw. über das Internet oder eine Bluetooth-Verbindung zu steuern und zu überwachen.“

Mit den umfassenden Zugriffsberechtigungen einerseits und der gewaltigen Angriffsoberfläche andererseits gehen die Risiken erst richtig los: „Nvidia warnt vor schwerwiegenden Sicherheitslücken in seinen GPU-Treibern, die mehrere Modelle und Betriebssysteme betreffen. Nutzer sollten jetzt handeln“, hieß es vor einem Vierteljahr. Hinzu kommen „Zahlreiche Schwachstellen in medizinischen Netzwerken und Geräten“, in der  Software zur Patientenverwaltung, den Gesundheitsämtern und Kliniken.

Lückenhaft können auch die elektronischen Ersatzteile sein – nur zur Erinnerung: Bis 2030 soll sich der weltweit mit medizinischen Dingen verursachte Umsatz gegenüber 2023 verdreifachen.

Das wird lebensgefährlich: Sicherheitslücken wurden bei Hand– und Beinprothesen, Insulinpumpen, Gehirn-Computer-Schnittstellen nachgewiesen. Falsche Wahrnehmungen beim Tasten, Hören und Sehen sind denkbar.

Angesichts dieser Vernetzung „steigt das Potenzial für Cyberangriffe. Diese Angriffe können die Sicherheit der Patienten gefährden, die Gesundheitsdienste unterbrechen und den finanziellen und den Ruf schädigen.“

So befürchten Pessimisten „Angriffe auf menschliche Implantate“ und fragen: „Was ist, wenn sich jemand in Ihr Implantat hacken und Ihre Gedanken und Verhaltensweisen beeinflussen kann?“ Oder etwa das Hören und Sehen? Grade im Straßenverkehr könnte es sich als tödlich erweisen, wenn Ereignisse unterdrückt oder umgekehrt nicht Vorhandenes den Betroffenen vorgetäuscht wird?! Etwa in einem dieser vernetzten Rechenzentren auf Rädern!

Bild: ChatGPT

2018 wurde erstmals nachgewiesen, dass Herzschrittmacher für Schadsoftware anfällig sind. Da hätte man eigentlich annehmen müssen, dass die Enwicklerinnen alles daran setzen, diese Lücken zu stopfen!? Weit gefehlt: 2021 konnten Sicherheitsforscher vom Chaos Computer Club (CCC) sogar das Ballerspiel Doom auf solchen Implantaten installieren: „Mit solchem Zugriff auf die Geräte hätten sie die lebenserhaltenden Instrumente umprogrammieren und etwa Elektroschocks direkt am Herzen verursachen können.“

Die Betroffenen mutieren zu Zombies: „In Staffel eins, Folge sechs der unterschätzten Roboter-Cop-Serie Almost Human erpressen Kriminelle Geld von Nutzern künstlicher Herzen, indem sie damit drohen, diese Herzen aus der Ferne abzuschießen. Weit hergeholter Sci-Fi-Plot? Ja. Aber es ist auch ein Szenario, das als so real angesehen wird, dass eine Gruppe von Wissenschaftlern und Neurochirurgen eine in der Zeitschrift World Neurosurgery veröffentlichte Abhandlung verfasst hat, in der die Gefahren untersucht werden. Der Name für eine solche unbefugte Kontrolle von Implantaten? Brainjacking.“

Aus Lücken werden Pannen: So beichtete im Oktober 2024 die „Johannesstift Diakonie mit bundesweit rund 11.000 Beschäftigten“ einen Angriff; ein halbes Jahr zuvor jammerte der SWR  über „Daten-Klau von Unimedizin Mainz: Betroffene sind besorgt“. Weitere Schlagzeilen: „Zahl der Hackerangriffe auf Einrichtungen im Gesundheitswesen steigt 2024 dramatisch“ und „Cybersicherheit in Arztpraxen: BSI-Studien zeigen dringenden Handlungsbedarf auf“.

Bildschirmfoto: BSI

Die ascon-Datenschutz GmbH & Co. KG bestätigt: „Trotz des besonderen Schutzbedarfs in Gesundheitseinrichtungen kommt es in Krankenhäusern und Arztpraxen erstaunlich oft zu Datenpannen, insbesondere durch Verletzungen der Vertraulichkeit. Untersuchungen verschiedener deutscher Datenschutzbehörden zeigten teilweise erhebliche Defizite bei der Umsetzung des Datenschutzes in Krankenhäusern und Arztpraxen. Auch der Datenrisiko-Report des amerikanischen IT-Sicherheitsanbieters Varonis Systems deckte enorme Lücken bei der Datensicherheit auf.“

Da kommt die „Rechenschaftspflicht“ nach Datenschutzgrundverordnung (DSGVO) ins Spiel – die Kassenärztliche Vereinigung Bayern erklärt:

„Unter der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) versteht man den Nachweis des Verantwortlichen (der Arztpraxis), dass die Grundsätze zur Verarbeitung personenbezogener Daten nach Art. 5 Abs. 1 DSGVO eingehalten werden. Dieser Nachweis muss in der Arztpraxis vorliegen.“ – Artikel 32 DSGVO sieht als Schutzniveau den „Stand der Technik“ vor; das Justizministerium definiert: „Stand der Technik ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen, der nach herrschender Auffassung führender Fachleute das Erreichen des gesetzlich vorgegebenen Zieles gesichert erscheinen lässt. Verfahren, Einrichtungen und Betriebsweisen oder vergleichbare Verfahren, Einrichtungen und Betriebsweisen müssen sich in der Praxis bewährt haben oder sollten – wenn dies noch nicht der Fall ist – möglichst im Betrieb mit Erfolg erprobt worden sein.“

Und da es sich bei „Gesundheitsdaten“ nach Artikel 9 DSGVO um „besondere Kategorien personenbezogener Daten“ handelt, ist das noch nicht Alles: „Maßgeblich ist hier, neben der DSGVO, die IT-Sicherheitsrichtlinie nach § 75b SGB V.“ Diese Vorschrift im Sozialgesetzbuch V (SGB V) verlangt von der Kassenärztlichen Bundesvereinigung, „in einer Richtlinie die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung“ festzulegen.

Bild: ChatGPT

Herausgekommen sind dabei „Anforderungen an alle Praxen“:

• „In der Praxis werden aktuelle Virenschutzprogramme eingesetzt (Anlage 1 Nummer 15).
• Der Internet-Browser ist so eingestellt, dass in dem Browser keine vertraulichen Daten gespeichert werden (Anlage 1 Nummer 8).
• Es werden verschlüsselte Internetanwendungen genutzt (Anlage 1 Nummer 10).
• Apps werden nur aus den offiziellen App-Stores heruntergeladen und restlos gelöscht, wenn sie nicht mehr benötigt werden (Anlage 1 Nummer 1).
• Es werden keine vertraulichen Daten über Apps versendet (Anlage 1 Nummer 4).
• Smartphones und Tablets sind mit einem komplexen Gerätesperrcode geschützt (Anlage 1 Nummer 22).
• Nach der Nutzung eines Gerätes meldet sich die Person ab (Anlage 1 Nummer 13).
• Das interne Netzwerk ist anhand eines Netzplanes dokumentiert (Anlage 1 Nummer 33). Hierfür gibt es ein Musterdokument auf der Online-Plattform zur IT-Sicherheitsrichtlinie
• Bei der Bereitstellung und dem Betreiben von Internet-Anwendungen wie Praxis-Homepage oder Online-Terminkalender wird eine Firewall eingesetzt (Anlage 1 Nummer 9).
• Bei der Bereitstellung und dem Betreiben von Internet-Anwendungen wie Praxis-Homepage oder Online-Terminkalender werden keine automatisierten Zugriffe bzw. Aufrufe auf Webanwendungen eingerichtet oder zugelassen (Anlage 1 Nummer 11).
• Auf Endgeräten, z.B. einem Praxisrechner, erfolgt eine regelmäßige Datensicherung, wobei in einem Plan festgelegt ist, welche Daten wie oft gesichert werden sollen (Anlage 1 Nummer 14).
• Bei Verlust eines Mobiltelefons (Diensthandy) muss die darin verwendete SIM-Karte zeitnah gesperrt werden (Anlage 1 Nummer 25).
• Wechseldatenträger müssen bei jeder Verwendung mit einem aktuellen Schutzprogramm auf Schadsoftware überprüft werden (Anlage 1 Nummer 28).
• Es werden nur Apps genutzt, die Dokumente verschlüsselt und lokal abspeichern (Anlage 1 Nummer 3).
• Für die dezentralen Komponenten der Telematikinfrastruktur werden Updates zeitnah installiert (Anlage 5 Nummer 6).
• Für die dezentralen Komponenten der Telematikinfrastruktur werden die Administrationsdaten sicher aufbewahrt (Anlage 5 Nummer 7).“

Ausserdem gibts

• „Anforderungen zusätzlich für mittlere Praxen“ (mit „6 bis 20 Personen“),
• „Anforderungen zusätzlich für große Praxen“ („mehr als 20 Personen“)
• Anforderungen zusätzlich für Praxen mit medizinischen Großgeräten*

Der physikalische Einbruchschutz müsste noch ergänzt werden: „Im Oktober 2024 soll in zwei Hamburger Arztpraxen eingebrochen und Hardware mit 100.000 Patientendatensätzen gestohlen worden sein.“

Nicht alle Verantwortlichen bekommen das gebacken – die Kassenärztliche Vereinigung Sachsen beklagt: „Alle reden von der IT-Sicherheitsrichtlinie. Ärzte und Psychotherapeuten fühlen sich teilweise überfordert und unzureichend informiert.“

Bildschirmfoto: KVS

In Hessen scheinen die Verantwortlichen noch nicht einmal darüber informiert zu, wie sie Patientenakten ordnungsgemäß zu entsorgen haben: Für die „Unsachgemäße Entsorgung von Dokumenten und Patientenakten in einem öffentlichen Müllcontainer“ hat die Verantwortliche einer  Arztpraxis ein Bußgeld in Höhe von 3600 Euro kassiert: „Diese hatte Unterlagen mit personenbezogenen Daten sowie Patientenakten in einem öffentlich zugänglichen Müllcontainer entsorgt.“ Eine bittere Bilanz nach fünf Jahren DSGVO – da würde mich von dem Hessischen Datenschutzbeauftragten Alexander Roßnagel interessieren: Was hat denn die Aufsichtsbehörde in diesen fünf Jahren  unternommen, um den Verantwortlichen diesbezüglich auf die Sprünge zu helfen?!

So wäre es wichtig gewesen, die Verantwortliche darauf hinzuweisen, dass in Spanien sackweise Papier aus Mülleimern geholt werden. Der Fotograf bezweifelt, dass sich die Personen um die korrekte Müllentsorgung verdient machen wollten.

Bild: Madridman.com

Zum Bußgeld könnte Schmerzensgeld kommen: „Die unzulässige Weitergabe von Gesundheitsdaten rechtfertigt ein Schmerzensgeld in Höhe von 10.000 Euro, das entschied das Landgericht Meiningen mit Urteil vom 23.12.2020 (Az. (122) 3 O 363/20.“

10.000 Euro für eine Patientin! In dem Hessischen Mülleimer könnten sich womöglich auch Daten von Mehreren befunden haben – im Juni 2024 forderte Eset Betroffene auf: „Konsultieren Sie einen Rechtsanwalt und beraten Sie, ob eine Einzel- oder Sammelklage möglich ist.“ Ein halbes Jahr später hat der Bundesgerichtshof (BGH) „das Tor für Sammelklagen“ geöffnet. Wieviel Betroffene wird so eine Ärztin mit 10.000 Euro entschädigen können, bevor das Konto leer ist?

Lücken und Pannen, Geldbußen und Schadenersatz können ins wirtschaftliche Aus führen: „Cyberangriff resultiert in Praxisauflösung“.

An den Wissensdefiziten wird sich so schnell auch nix ändern: In der Approbationsordnung für Ärzte konnte ich noch nicht einmal die Begriffe „Datenschutz“ oder „Datensicherheit“ finden. Die 473-seitige „(Muster-)Weiterbildungsordnung 2018“ der Bundesärztekammer „in der Fassung vom 14.06.2024“ verlangt nach „Umsetzung datenschutzkonformer Lösungen in Versorgung und Forschung“ und „Erstellung eines Datenschutzkonzeptes“. Ich hätte ich gefreut, wenn ich außerdem noch die „IT-Compliance“ und das „IT-Risikomanagement“ gefunden hätte.

Weder Lücken, Pannen, Geldbußen, Schadenersatz, Praxisauflösungen oder mangelnde Kenntnisse der Heilberuflerinnen bezüglich IT-Compliance können das Gesundheitsministerium jedoch daran hindern, unverdrossen für „jede Menge Vorteile“ der Patientenakte zu  werben: „Ab 2025 beginnt für rund 73 Millionen gesetzlich Versicherte der Roll-Out der ‚elektronischen Patientenakte für alle‘ (‚ePA für alle‘). Die Krankenkassen stellen ihren Versicherten dann ohne deren Zutun eine ePA zur Verfügung. Wer dies nicht möchte, kann ganz einfach widersprechen.

Die ePA wird den Austausch und die Nutzung von Gesundheitsdaten zwischen allen behandelnden Leistungserbringern verbessen und so gezielt die Versorgung der Patientinnen und Patienten unterstützen.“

Es ist nämlich Wahlkampf und die Interessen von Verantwortlichen und Patientinnen sind da irrelevant. Bundeskanzler Olaf Scholz bejubelt seinem Gesundheitsminister voller Stolz in der „Heute Show“: „Seit 23 Jahren wird in Deutschland versucht, eine elektronische Patientenakte zustande zu bringen! Seit 23 Jahren! Und wer machts? Karl Lauterbach!“

Derart vollmundige Ankündigungen könnten sich rächen — Sicherheitsforscher vom CCC zeigten im Dezember 2024 „wie sie sich mit wenig Aufwand und zum wiederholten Male gültige Heilberufs- und Praxisausweise sowie Gesundheitskarten Dritter beschaffen und damit auf Gesundheitsdaten zugreifen konnten. Ursächlich sind erneut Mängel in den Ausgabeprozessen, den Beantragungsportalen sowie im real existierenden Umgang mit den Karten im Feld […] Zudem demonstrieren die Forscher, wie Mängel in der Spezifikation es ermöglichen, Zugriffstoken für Akten beliebiger Versicherter zu erstellen. Dies ist möglich, ohne dass die Gesundheitskarten präsentiert oder eingelesen werden müssen. Damit hätten Kriminelle auf einen Schlag Zugriff auf mehr als 70 Millionen Akten.“

Im Januar 2025 meldet der CCC außerdem eine Panne bei D-Trust: „d(on’t)-trust ist ein qualifizierter Vertrauensdiensteanbieter und ein Unternehmen der Bundesdruckerei. Das Unternehmen will ‚Vertrauen in die Digitalisierung stärken‘ und ‚sichere digitale Identitäten‘ bereitstellen.

Unter anderem stellt d(on’t)-trust die elektronischen Heilberufeausweise und Praxisausweise aus, die für den Zugriff auf die Telematik-Infrastruktur und damit die elektronische Patientenakte benötigt werden.

Ungeschützte Bereitstellung tausender Kundendaten

Durch eine Kombination aus Versehen, Inkompetenz und mangelnder Sorgfalt hat d(on’t)-trust Daten seiner Kund*innen im Internet veröffentlicht. Zu den von d(on’t)-trust veröffentlichten Daten gehören Vor- und Nachname, E-Mail-Adresse, Geburtsdatum sowie teilweise Adressdaten und Nummern des jeweiligen Ausweisdokuments.“

Eigentlich müsste D-Trust diesen Menschen auf Knien dafür danken, dass sie sie vor einer Katastrophe bewahrt haben. Eigentlich! Tatsächlich ist das Unternehmen empört: „Am 23.1.2025 hat die D-Trust ein Schreiben des Chaos Computer Clubs erreicht, in dem der Verein die Verantwortung für den Angriff auf das Antragsportal für Signatur- und Siegelkarten der D-Trust einem ‚anonymen Sicherheitsforscher‘ (sic!) zuschreibt. Dieser hat demnach Anfang Januar unzulässigerweise in mehreren Sitzungen Daten aus dem Antragsbearbeitungssystem entwendet […] Laut Aussage des ‚Sicherheitsforschers‘ seien die ausgelesenen Daten im Nachgang gelöscht worden, so dass den Betroffenen kein weiterer Schaden entstehe. Die in dem Schreiben gemachten Aussagen werden aktuell ausgewertet. In diesem Zusammenhang arbeitet die D-Trust weiterhin eng mit den involvierten Sicherheitsbehörden und externen Sicherheitsexperten zusammen.“

Bild: Deutsche DepressionsLiga e.V.

Der Freie Verband Deutscher Zahnärzte fordert „eine echte Sicherheitsüberarbeitung von ePA und TI“: „Es geht um sehr sensible Daten von unseren Patientinnen und Patienten – und an der Stelle sind wir wiederum sehr sensibel, wenn auch nur die Möglichkeit besteht, dass diese Gesundheitsdaten einfach abgegriffen werden könnten“, betont der FVDZ-Bundesvorsitzende Öttl.

Die „Datenschutz-Notizen“ halten einen „kurzfristigen Stopp der ePA“ für „wahrscheinlich“: „Die durch den CCC aufgedeckten Schwachstellen haben zwar zu einem breiten Medienecho geführt und dem Image der ePA als Vorzeigeprojekt des deutschen Gesundheitswesens wahrlich keinen Gefallen getan.“

Die Deutsche Depressionsliga verlangt in einem Offenen Brief: „Ein bundesweiter Start der ePA darf erst erfolgen, wenn alle berechtigten Bedenken ausgeräumt sind.“ Dieser Brief wurde von 42 Organisationen unterzeichnet. Gesundheitsminister Karl Lauterbach verspricht mittlerweile auf X: „Die ePA bringen wir erst dann, wenn alle Hackerangriffe, auch des CCC, technisch unmöglich gemacht worden sind.“

Bild: Karl Lauterbach, X

Ich vermute: Auch die Verantwortlichen von Arztpraxen werden ihn beim Wort nehmen – denn auch wenn es in der ePA zu einer Panne mit „ihren“ Daten kommt, haften sie für den Nachweis, dass ihre Datenverarbeitung regelkonform ist!

Das ist die Bürde, die mit dem kleinsten KI-Supercomputer der Welt einhergeht.

 

Compliance 4.0 berichtet einmal wöchentlich über Digitalisierung, ihre Risiken und Rechtsfolgen auf dem Weg in die regelkonforme Vollautomatisierung der Welt.