Das Gesundheitswesen soll digitalisiert werden — und zwar schnell. Der GesundheitsministerJens Spahn von der CDU hat dafür das Digitale-Versorgung-Gesetz im Bundestag eingebracht. Mit den Stimmen der großen Koalition wurde es auch durchgewinkt. Doch es regt sich Widerstand. Schließlich stellen sich bei solchen riesigen Digitalisierungsprojekten auch Sicherheitsfragen. Über diese sprechen wir mit dem IT-Security-Analysten Martin Tschirsich, der sich schon seit Jahren mit dem Thema beschäftigt.

Tschirsich betont, dass Gesundheits-Apps nicht mit üblichen Fitness- oder Health-Apps, wie man sie in den Smartphone-Appstores runterladen kann, zu vergleichen seien. Bei den hier besprochenen Gesundheitsapps gehe es um Produkte, die in der EU mindestens eine CE-Zertifizierung als Medizinprodukt benötigen. Dies seien Apps, wie sie von Krankenkassen angeboten würden oder auch die kommende elektronische Patientenakte.

Vor allem in dieser, aber auch in ihren Vorläufern, den sogenannten privaten Gesundheitsakten, seien die wirklich intimen Diagnosen, Arztbriefe oder auch der Impfpass gespeichert. "Das sind dann Daten, die Aufschluss über meine komplette Gesundheitshistorie geben werden.", so Tschirsich.

Natürlich sei es für die Funktion der Apps wichtig, dass diese Daten gesammelt werden, denn sie unterstützen dadurch Diagnosen und beeinflussen Therapien. Doch laut Tschirsich werden nicht nur diese Daten erhoben, sondern auch andere Faktoren getrackt und das Nutzerverhalten verfolgt. Dies geschehe, damit die Unternehmen, die die Apps entwickeln, Bugs finden und ihre Programme verbessern können.

Das Problem, so Tschirsich, sei, dass diese Analyse-Tools so gut wie nie von den Anbietern selbst geschrieben würden, sondern fast immer von Dritten kämen: "Da ist dann die Frage berechtigt: Wohin fließen denn diese Daten?" Außerdem sei empirisch belegt, dass die hierzulande momentan verfügbaren Apps, größtenteils unsicher sind. So sei es Hackern in vielen Fällen sogar gelungen in zentrale Plattformen einzudringen und alles komplett einzusehen.

Dies sei vor allem für Erpressungsversuche interessant. "Das passiert beispielsweise bei Prominenten, die eine Geschlechtskrankheit haben. Damit kann man viel Geld erpressen – auch bei anderen Personengruppen. Es gibt viele Diagnosen die wirklich den sozialen Status gefährden können, vielleicht auch das berufliche Vorankommen."

Doch nicht nur Kriminelle, auch Behörden könnten einen Zugriff auf die gespeicherten Daten haben wollen. Um Gefährder zu erkennen, habe es Bayern mit dem "Psychisch-Kranken-Hilfe-Gesetz" den Vorstoß gegeben Zugriff auf Patientenakten zu bekommen. Im Vereinten Königreich griffen Behörden bereits auf über 10.000 Akten im Jahr zu, so Tschirsich, um Menschen ohne gültigen Aufenthaltsstatus zu finden. "Das ist natürlich ein großes Problem, denn das hat einen Einfluss auf das Vertrauensverhältnis zwischen dem Arzt und dem Patienten und beeinflusst dann natürlich die die Versorgung der Patienten, die dann lieber nicht zum Arzt gehen würden."

Auch die tatsächliche Anonymität hinter den Datensätzen sieht Tschirsich kritisch. Denn durch die Sammlung der Datenpunkte könnten Interessierte, die in der Lage sind verschiedene Behandlungen und Institutionen zusammenzubringen, Personen wieder re-identifizieren, selbst wenn die Daten an sich keine identifizierbaren personenbezogene Daten beinhalten..

Trotzdem ist selbst der IT-Experte Tschirsich nicht völlig gegen die Einführung von Gesundheits-Apps. Es ginge nur darum, eine Technologie-Folgenabschätzung zu machen, also Nutzen, Kosten und Risiko zu bewerten: "Wenn wir diese Fragen gelöst haben, dann bin ich dafür, dass wir solche Sachen nutzen."

(hte)