Es kommt nicht oft vor, dass beim Luncheon Roundtable der Rhön Stiftung zur Revolution aufgerufen wird, aber diesmal war es so: Ein Teilnehmer des Gesprächsformats für Experten im Gesundheitswesen brachte mit diesem emotionalen Ausruf seine Unzufriedenheit – oder besser: seinen Frust – darüber zum Ausdruck, wie der Datenschutz seit Jahren und Jahrzehnten dazu missbraucht wird, die dringend notwendige Digitalisierung des Gesundheitswesens auszubremsen. Die Quittung dafür: In einschlägigen Rankings landet Deutschland regelmäßig auf den letzten und vorletzten Plätzen, was letztlich zu Lasten der Patienten geht. Anlass für das „revolutionäre“ Statement war das Thema der online-Diskussion – „IT-Sicherheit im Krankenhaus: Daten und Infrastruktur schützen“ –, an der sich folgende Expertinnen und Experten beteiligten:
- Christina Leinhos, stellvertretende Geschäftsführerin der Bayerischen Krankenhausgesellschaft
- Martin Gösele, Vorstand der Wertachkliniken Bobingen und Schwabmünchen sowie Vorstand der 2023 gegründeten Klinik IT Genossenschaft eG
- Dr. Nicolas Krämer, Vorstandsvorsitzender des Krankenhausmanagementunternehmens hc&s
- Andreas Lockau, Vorsitzender des Bundesverbandes der Krankenhaus-IT-Leiterinnen/Leiter und Abteilungsleiter IT und Medizintechnik der Niels-Stensen-Kliniken im Landkreis Osnabrück
- Prof. Dr. David Matusiewicz, Dekan und Institutsleiter an der privaten und gemeinnützigen FOM Hochschule für Ökonomie und Management in Essen.
Von der Rhön Stiftung nahmen Stifter Eugen Münch, Stiftungsvorstand Professor Boris Augurzky und Geschäftsführerin Annette Kennel teil.
„Hundertprozentige Datensicherheit ist eine Utopie“
Einer der Teilnehmer hat vor wenigen Jahren in einer Klinik selbst erlebt wie es ist, aus dem Cyberraum angegriffen zu werden: Ein Trojaner legte die komplette IT des Hauses über mehrere Wochen lahm. „Ich kenne also die Risiken und Nebenwirkungen der Digitalisierung“, berichtete er den Mit-Diskutanten. Doch selbst dieser Leidgeprüfte war wie die anderen überzeugt, dass es zur Digitalisierung keine Alternative gibt und man mit einem Restrisiko leben müsse: „Hundertprozentige Sicherheit ist eine Utopie, es gibt sie weder vor Coronaviren noch vor Computerviren.“ Vielfach würde aber der Datenschutz ins Feld geführt, um eben diese Illusion des hundertprozentigen Schutzes zu nähren, so die einhellige Meinung. Ein Diskutant sprach von einer regelrechten Datenschutzparanoia in Deutschland, ein anderer meinte, die Gesetzgebung hierzulande verzettele sich im Kleinklein, während andere Länder nur grobe Linien vorgeben würden.
Wie sinnvoll ist ein Gesetz, dessen Einhaltung nicht kontrolliert wird?
Als ein Beispiel fürs Verzetteln aus falsch verstandenem Datenschutz nannten Teilnehmer die Pflicht für Kliniken, nachzuweisen, wie sie ihre IT-Infrastruktur vor Angriffen schützen. Diese gesetzliche Vorgabe werde oftmals gar nicht kontrolliert, wusste ein Praktiker zu berichten, auch deshalb, weil die zuständige Datenschutzbehörde gar nicht das Personal dafür habe. Kritisch diskutierten die Gäste der Rhön Stiftung auch über die Pflicht, Patientendaten für dreißig Jahre aufzubewahren. „Wie soll das praktisch funktionieren?“, fragte ein Teilnehmer. Allein schon wegen der sich schnell ändernden Dateiformate, die manchmal schon nach wenigen Jahren nicht mehr lesbar sind, sei das kaum leistbar: „Mit diesem Tempo der Digitalisierung können die Kliniken nicht Schritt halten.“ Bei aller Kritik sei der Wunsch nach sicheren Daten grundsätzlich natürlich berechtigt und Grundlage für das Vertrauensverhältnis zwischen Patient und Versorgungsdienstleister – nur eben müsse der Blick auch aufs richtige Maß und aufs Machbare gerichtet sein.
Sich im Verbund gegen Cyberattacken wappnen
Wie manches machbarer wird, weil man sich häuserübergreifend zusammentut, berichtete ein Teilnehmer der Runde. Im Verbund mit anderen Kliniken richte man gerade ein Cyber-Incident-Team ein, um für den Ernstfall gewappnet zu sein; weitere Projekte seien die Datenarchivierung in Tresoren sowie ein Patientenportal, das Behandelten die Möglichkeit gibt, medizinische Dokumente abzurufen, Formulare auszufüllen, Termine zu verwalten und vieles mehr.
„Aus einem IT-Notfall darf nie ein medizinischer Notfall werden“
Aber nicht nur Cyberangriffe durch Kriminelle bringen Patientendaten in Gefahr, „es kann ja auch mal ein Rechenzentrum abbrennen“, stellte ein Teilnehmer klar. Deshalb sei es ratsam, die wichtigsten Daten „so gut zu sichern wie Fort Knox“, so dass sich daraus im Notfall die verlorenen Daten wiederherstellen lassen. Und zu den wichtigsten Daten gehöre die IT-Architektur. Der Experte empfahl deshalb, die IT-Architektur eines Krankenhauses einmal ausgedruckt auf Papier an einem sicheren Ort aufzubewahren. Denn: „Aus einem IT-Notfall darf nie ein medizinischer Notfall werden, wir müssen in jedem Fall die Versorgung garantieren.“
Ein Einfallstor für Hacker – soviel Ehrlichkeit muss das Gesundheitssystem aufbringen – öffnen aber auch die Mitarbeiter selber. Ein Roundtable-Teilnehmer berichtete von Tests, bei denen Klinikangestellte bedenkenlos Word-Dokumente zweifelhafter Absender öffneten in der Hoffnung auf Gratis-VIP-Karten für ein Bundesligaspiel: „Sie glauben gar nicht, wie sich selbst Chefärzte, die schon Sicherheitsschulungen durchlaufen haben, von Emotionen leiten lassen. Solange wir den Faktor Mensch nicht in den Griff bekommen, ist es teilweise sinnlos, sich um anspruchvolle IT-Sicherheitsysteme zu bemühen.“
Nicht zu digitalisieren kostet Geld – und kann auch Leben kosten
So wichtig das Thema IT-Sicherheit sei, so sehr sei es bedauerlicherweise zuletzt in den Hintergrund gedrängt worden von Corona, der Krankenhausreform und von drohender Insolvenzgefahr. „Aber das Thema wird wiederkommen, spätestens wenn es neue prominente Fälle von Cyberattacken gibt.“ Und weil dann wieder Stimmen laut werden, die noch strengeren Datenschutz einfordern und die Digitalisierung erneut ausbremsen. Dem müsse entschieden entgegengetreten werden, waren sich die Teilnehmer einig. „Mir fehlt in der Debatte um die Digitalisierung im Gesundheitswesen, dass die Politik sich ehrlich macht und zum Ausdruck bringt, dass es auch eine Kostenfrage ist, so schleppend zu digitalisieren“, kritisierte ein Teilnehmer: „Wie lange können wir uns als Gesellschaft die unnötigen Doppeluntersuchungen, die redundanten Daten und Fehlmedikationen noch leisten? Man könnte auch mal überlegen, ob nicht diejenigen Versicherten einen teureren Tarif zahlen müssen, die sich draußen halten.“ Ein Teilnehmer bestätigte: „Ja, ein Hacker-Angriff auf ein Krankenhaus kann Menschenleben in Gefahr bringen, aber Menschenleben sind auch gefährdet, wenn wir die Digitalisierung nicht nutzen.“
„Es braucht eine Revolution von unten“
Die Angst vor dem Missbrauch von Gesundheitsdaten sei geradezu irrational und absurd angesichts der tiefen digitalen Fußabdrücke, die Menschen freiwillig in den sozialen Medien hinterließen, ärgerte sich ein Teilnehmer: „Und ausgerechnet solche Leute machen sich dann Sorgen, dass anonymisierte Patientendaten in die falschen Hände geraten könnten.“ Tatsächlich seien aber die meisten Versicherten und Patienten für den digitalen Fortschritt auch im Gesundheitswesen, dies würden Studien ein ums andere Mal ergeben: „Eine sehr große Mehrheit will den elektronischen Organspendeausweis und die elektronische Patientenakte, die wollen ihre Arzttermine online buchen, weil es das Leben erleichtert.“
Die laute Sorge der Minderheit über möglichen Missbrauch würde aber in der Politik mehr gehört, dort liege der eigentliche Bremsklotz. Ein Teilnehmer erinnerte an ein Gespräch mit einem israelischen Gesundheitsexperten, der ihm riet: „Don´t wait for the governement.“ An dieser Stelle forderte ein anderer Teilnehmer die eingangs erwähnte „Revolution von unten“, eine „partizipative Bewegung, die mit einer großen Anzahl von Menschen Eindruck auf die Politik macht, damit sich endlich substanziell etwas bewegt“. Vertreter der Rhön Stiftung fanden diesen Ansatz bedenkenswert und kündigten an, das Thema weiter zu bearbeiten und entsprechende Initiativen gegebenenfalls kommunikativ, finanziell oder juristisch zu unterstützen.