Die elektronische Patientenakte soll etwas ganz Tolles sein. Sie soll helfen, dass Ärztinnen und Ärzte alle wichtigen Infos über eine kranke Person sofort sehen können. So sollen Fehler vermieden werden. Medikamente sollen besser wirken. Doppeluntersuchungen sollen wegfallen. Alles soll einfacher, schneller und sicherer werden. So klingt es jedenfalls in der Werbung. Doch jetzt zeigt sich: Die ganze Sache ist nicht nur schlecht gemacht. Sie ist auch noch unsicher. So unsicher, dass man sagen muss: Hier spielen viele Verantwortliche mit dem Feuer.
Die Gematik ist die Firma, die diese elektronische Patientenakte gemacht hat. Sie gehört zu großen Teilen dem Bundesgesundheitsministerium. Sie hat also eine Aufgabe vom Staat. Sie soll die digitale Zukunft im Gesundheitsbereich gestalten. Dazu gehört auch, dass alles sicher ist. Also dass niemand einfach so an unsere Gesundheitsdaten kommt. Denn unsere Gesundheitsdaten sind besonders privat. Sie gehören zu den schützenswertesten Informationen überhaupt. Wenn jemand diese Daten klaut oder manipuliert, kann das unser Leben gefährden.
Aber genau da liegt das Problem. Denn der Chaos Computer Club – das ist eine Gruppe von Menschen, die sich mit Computer-Sicherheit auskennen – hat schon wieder gezeigt, dass man an diese Daten zu leicht rankommen kann. Und diesmal ist der Fehler besonders peinlich. Es geht um ein Dokument, das eigentlich nur beweisen soll, dass man versichert ist. Das heiĂźt „elektronische Ersatzbescheinigung“, abgekĂĽrzt eEB. Dieses einfache Papier reicht aus, um an bestimmte persönliche Daten zu kommen. Und mit diesen Daten kann man dann den sogenannten PrĂĽfwert ausrechnen. Der PrĂĽfwert ist eine Art geheimer Code. Eigentlich soll dieser Code den Zugang zur Patientenakte schĂĽtzen. Doch wenn man ihn ausrechnen kann, dann ist er kein Schutz mehr.
Die Gematik hat sofort gesagt: Wir machen dieses eEB-Ding erstmal aus. Aber dann kam noch etwas. Die Gematik hat in der Öffentlichkeit so getan, als sei das nicht ihr Fehler gewesen. Sie hat gesagt, dass sie ja eng mit dem BSI zusammenarbeitet. Das BSI ist das Bundesamt für Sicherheit in der Informationstechnik. Also die Behörde, die in Deutschland auf die Sicherheit von Computern und Daten achten soll. Damit wollte die Gematik sagen: Das BSI hätte doch was sagen müssen, wenn was unsicher ist.
Doch das BSI antwortet: Wir haben nichts falsch gemacht. Wir haben doch vor einem Restrisiko gewarnt. Restrisiko ist ein schwieriges Wort. Es bedeutet: Es kann sein, dass noch irgendwo eine kleine Gefahr besteht, die man nicht genau einschätzen kann. Das klingt toll, ist aber leider ziemlich schwammig. Schwammig heißt: Man kann damit alles oder nichts meinen. Niemand weiß so genau, ob das jetzt wirklich eine Warnung war oder einfach nur eine Absicherung für den Fall, dass was passiert.
Noch schlimmer ist aber das, was das BSI sonst sagt. Es sagt: Wir sind nicht zuständig dafür, zu prüfen, ob bestimmte Daten genug geschützt sind. Das sei nicht unsere Aufgabe. Das ist so, als würde ein Feuerwehrmann sagen: Ich bin nicht zuständig für den Brandherd in der Küche, ich schaue nur, ob der Rauchmelder blinkt. Dabei geht es hier um unsere Gesundheitsdaten. Um Krebsdiagnosen. Um HIV-Ergebnisse. Um Schwangerschaften. Um psychische Erkrankungen. Um alles, was kein Mensch freiwillig mit der Krankenkasse teilen würde, wenn er nicht müsste.
Das Verhalten vom BSI zeigt: Diese Behörde ist nicht mutig. Sie möchte nicht verantwortlich gemacht werden, wenn was schiefläuft. Sie versteckt sich hinter schwammigen Formulierungen und langen Sätzen. Aber das hilft den Menschen nicht. Es hilft nur denen, die Fehler gemacht haben und keine Kritik vertragen. Die Gematik hätte niemals sagen dürfen: Wir sind nicht schuld. Und das BSI hätte niemals sagen dürfen: Wir sind nicht zuständig. Denn beide haben versagt. Beide haben ihre Aufgabe nicht ernst genug genommen.
Noch schlimmer wird es, wenn man bedenkt, dass die ePA jetzt für alle Ärzte, Praxen und Krankenhäuser verpflichtend ist. Das bedeutet: Niemand kann mehr sagen, dass er da nicht mitmachen will. Jeder Patient muss jetzt aufstehen und seiner Krankenkasse Wiedersprechen und erklären das er die ePA nicht haben will. Dann dürfen weder Ärzte, noch Praxen oder Krankenhäuser etwas in die ePA einstellen und die Daten werden dann nicht automatisch gesammelt. Ein System das nicht sicher ist, kann sehr gefährlich werden. Für jeden Menschen in Deutschland.
Der Chaos Computer Club hat das öffentlich gemacht. Ohne diese Gruppe würden wir das alles nicht wissen. Die Gematik hätte weitergemacht. Das BSI hätte weitergeschwiegen. Und die Politik hätte behauptet, dass alles sicher ist. Nur weil eine Gruppe Hacker mit Gewissen hingeschaut hat, wissen wir, was da für ein Schrottsystem gebaut wurde.
Der Staat muss jetzt handeln. Nicht mit warmen Worten. Sondern mit echter Aufarbeitung. Es reicht nicht, das eEB abzuschalten. Es muss offen gesagt werden, wer für was verantwortlich war. Es muss geklärt werden, warum so viele Warnzeichen übersehen wurden. Und es muss Schluss sein mit dem Hin- und Herschieben von Verantwortung.
Wenn eine staatliche Behörde wie das BSI sich so aus der Affäre zieht, dann ist das ein Skandal. Wenn eine staatlich geführte Firma wie die Gematik so schlampig arbeitet, dann ist das ein Skandal. Und wenn dann noch behauptet wird, das sei alles halb so schlimm, dann ist das eine Verhöhnung der Bürgerinnen und Bürger.
Das Vertrauen in die elektronische Patientenakte ist verspielt. Und es wird erst dann wieder zurĂĽckkommen, wenn alle Fehler zugegeben und beseitigt sind. Das ist kein Technikproblem. Das ist ein Problem von Verantwortung und Ehrlichkeit. Und genau das fehlt in diesem Fall an allen Ecken.
Die ePA ist aktuell ein Risiko. Für unsere Gesundheit. Für unsere Daten. Für unsere Freiheit. Wer jetzt nicht handelt, handelt fahrlässig. Fahrlässig heißt: Man nimmt ein Risiko in Kauf, obwohl man es besser wissen müsste. Und wer fahrlässig mit Gesundheitsdaten umgeht, hat in einem digitalen Gesundheitssystem nichts zu suchen.