Offener NGO-Brief an SPD, Grüne und FDP: Keine anlasslose Vorratsdatenspeicherung von IP-Adressen!

Über 20 zivilgesellschaftliche Organisationen wie Datenschutz- und Berufsverbände warnen heute in einem Brief an die Ampel-Koalition, die von Bundesinnenministerin Faeser (SPD) geforderte Vorratsspeicherung von Internetadressen (IP-Adressen) wäre zum Schutz von Kindern ungeeignet und ein schwerer Eingriff in Grundrechte. Es drohten das Ende der Anonymität im Internet und unzumutbare Folgen etwa für Opfer von Gewalt- oder Sexualdelikten sowie Presseinformanten.

Morgen wird der EU-Gerichtshof mit einem Grundsatzurteil entscheiden in wieweit das deutsche Gesetz zur Vorratsdatenspeicherung mit EU-Recht vereinbar ist. Eine generelle IP-Vorratsdatenspeicherung ist europarechtlich nicht verboten, wird jedoch vom Koalitionsvertrag abgelehnt. Offener NGO-Brief an SPD, Grüne und FDP: Keine anlasslose Vorratsdatenspeicherung von IP-Adressen! weiterlesen

Offener Brief an Bundesgesundheitsminister Karl Lauterbach (SPD): Teuren Konnektortausch im Gesundheitswesen verhindern

Mit einem Offenen Brief haben sich die Chefredakteure von c’t und heise online am 26.08.2022 an Minister Lauterbach gewandt. Der Anlass: 130.000 spezielle Hardware-Router, die für einen sicheren Austausch von Patientendaten zwischen Ärzten, Kliniken, Apotheken und Versicherten gedacht sind, sollen ausgetauscht werden. Damit fallen bei den Krankenkassen Kosten in Höhe von 400 Millionen Euro an – zulasten der Versicherten. Analysen von c’t haben jedoch ergeben, dass es alternative Lösungen gibt, die ohne den teuren Hardware-Tausch auskommen. Offener Brief an Bundesgesundheitsminister Karl Lauterbach (SPD): Teuren Konnektortausch im Gesundheitswesen verhindern weiterlesen

Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein: Codes des E-Rezept-Verfahrens sind zu schützen!

Am 22.08.2022 wurde anlässlich einer Pressemitteilung der Kassenärztlichen Vereinigung Schleswig-Holstein (KVSH) berichtet, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) habe das „E-Rezept“ in Schleswig-Holstein untersagt.

Stimmt das? Verhindert der Datenschutz sogar gute Lösungen im Medizinbereich? Nein!

In einer Pressemitteilung vom 23.08.2022 hat das ULD dazu und zu den Gerüchten bzw. Falschmeldungen aus dem Kreis der Lobbyisten der IT-Gesundheiutsindustrie wie folgt Stellung genommen: Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein: Codes des E-Rezept-Verfahrens sind zu schützen! weiterlesen

Pannenfabrik Gematik – das System dahinter

Die Gematik ist die Projektgesellschaft für die Digitalisierung des Gesundheitsbereichs. Seit 15 Jahren verspricht sie mit vielen bunten Bildern, dass nächstes Jahr alles anders wird: elektronische Rezepte, elektronische Patientenakten und vieles mehr wird es sehr bald geben.

Zur Zeit steht die Gematik von mehreren Seiten unter Beschuss. IT-Experten zeigen, dass die Gematik-Projekte nicht leisten, was sie sollen. Die elektronische Patientenakte ist nicht sicher, das 400-Millionen-Projekt des Konnektortauschs ist überflüssige Geldverschwendung. Warum ist das so? Es liegt am System.

Über den geplanten Konnektortausch haben wir hier und hier berichtet. Die neueste Entwicklung ist, dass die Gematik am 400-Millionen-Projekt festhält, und die Kassenärztliche Bundesvereinigung nicht dagegen vorgehen wird. Den Kassenärzten, so sagt sie, entsteht kein Schaden, die Krankenkassen zahlen ja. Also alles in bester Ordnung. Neue Analysen zeigen, dass die vorgebrachte technische Notwendigkeit des Konnektor-Tausches von der Gematik schon 2012 fast verhindert worden wäre, diese angebliche Tausch-Notwendigkeit später unter seltsamen Umständen herbeigeführt wurde.

Ähnlich verhält es sich mit der soeben vom Chaos Computer Club nachgewiesenen Unsicherheit der elektronischen Patientenakte (ePA). 2019 hatte der CCC (u.a.: der IT-Sicherheitsforscher Martin Tschirsich) nachgewiesen, dass die Ausgabe-Prozesse der EGK unsicher sind, und es sehr einfach ist, sich die EGK einer anderen Person zu besorgen. Deswegen wurde, in der Ära Spahn, für die Elektronische Patientenakte (ePA) ein zusätzlicher Identitäts-Nachweis gefordert. Die Gematik genehmigte dafür das VideoIdent-Verfahren, obwohl das schon vorher vom Bundeamt für Sicherheit in der Informationstechnik (BSI) als unsicher beurteilt wurde. CCC und Tschirsich zeigten gerade, es ist wirklich sehr unsicher.

Die Krankenkassen zahlen, und zahlen, und zahlen. Solange sie das tun, kann weder CGM noch der Gematik was passieren. Warum tun sie das nur?

Das System dahinter

Für tolle elektronische Innovationen, die den Versicherten zugute kommen sollen, finanzieren die Krankenkassen die Gematik, und eigene Projekte. Die Gematik schreibt selbst keine Programme und stellt keine Hardware her. Auch die Krankenkassen machen das kaum. Beide beauftragen einige Firmen, die seit 2004 jährlich Unsummen damit verdienen, dass sie an einem Gebilde namens “Telematik-Infrastruktur” arbeiten. Die “Telematik-Infrastruktur” soll alle bunten Bilder zur Wirklichkeit machen. Es ist ein kleines Kartell mit großen Namen, das die “Telematik-Infrastruktur im Gesundheitswesen” gestaltet. Seine Beteiligten sind vor allem:

Dazu kommen Chipkarten-Hersteller:

Die Chipkarten-Hersteller durften bisher vier technische Versionen von Elektronischen Gesundheitskarten (EGK) an alle Versicherten verteilen. Die vierte Version (nach den Generationen eins, einsplus und zwei) wird gerade jetzt verteilt. Jeder der 75 Millionen Versicherten der Gesetzlichen Krankenkassen hat schon nacheinander drei verschiedene EGK erhalten, jeweils mit neuen Schlüsseln und Funktionen. Jede EGK hat weiterhin geleistet, was  schon der Vorgänger, die Krankenversichertenkarte (KVK) konnte. Dazu noch vieles andere, vor allem Schlüssel und Verschlüsselung. Die weiter gehende Funktionalität all dieser Karten ist nie genutzt worden. Es waren und sind alles High-Tech Karten mit genialen Funktionen, die auch ziemlich teuer waren, mehrere EUR pro Stück. Es ist aber immer was dazwischen gekommen, deshalb wurden die tollen Funktionen nie genutzt. Ca. 300 Millionen Karten wurden bezahlt, benutzt und weggeworfen.

Das elektronische Rezept hätte es schon mit der ersten  Chipkarten-Generation geben sollen, die ab 2006 verteilt wurde. Wenn das elektronische Rezept schon damals gekommen wäre. Es kam aber nicht. Deshalb konnte und kann man  Generationen einsplus, zwei und drei der EGK verkaufen. Diese noch tolleren und teureren Chipkarten  hätte die Chipkarten-Industrie gar nicht herstellen dürfen, wenn das elektronische Rezept 2006 gekommen wäre. Wenn das E-Rezept mit dieser 1. Generation funktioniert hätte, hätte man so schnell keine tolleren Funktionen für die Chipkarte gebraucht. Das Rezept kam nicht. So konnte die Chipkarten-Industrie über 300 Millionen Super-Hightech-Chipkarten absetzen, die sie nicht hätte absetzen können, wenn es das elektronische Rezept früher gegeben hätte. Jetzt könnte die aufmerksame Leserin das System der “Telematik-Infrastruktur” verstanden haben. Es dient dem oben beschriebenen Firmen-Kartell und dem technischen Fortschritt. Die Telematik-Infrastruktur funktioniert schon die ganze Zeit ganz exzellent. Für diejenigen, für die sie da ist. In diesem Sinne macht die Gematik einen großartigen Job. Im eigenen Umfeld wird die Gematik und ihre Expertise völlig zu Recht hoch geschätzt! “Murphys Gesetz“, die alte IT-Regel, das alles schiefgeht, was schiefgehen kann, ist im System der Gematik keine Störung. Murphys Gesetz ist Teil ihres Geschäftsmodells.

Gematik-Umfeld

Die oben angeführten sechs Firmen, und die Gematik GmbH sind  nur Kern des Systems. Drum herum gibt es ein größeres Umfeld, das von jeder “neuen Generation”, jeder “Innovation” der Gematik profitiert, ohne dass man nennenswerten gestaltenden Einfluss hat. Trotzdem identifiziert man sich meist mit der Gematik und ihren Vorgaben:

Es gibt über 10.000 Menschen in Deutschland, die Vollzeit vom Gematik-System leben. Es werden immer mehr. Wenn irgendeine größere Gematik-Baustelle einmal fertig würde, würden viele von ihnen den Job verlieren, oder Status-Einbußen erleiden. Daher kann sich die Gematik jederzeit auf öffentliche Unterstützung verlassen, falls sie kritisiert wird.

Versagen der Krankenkassen-Selbstverwaltung

Die Ärzteschaft ist schon vielfach gegen die Gematik Sturm gelaufen. Dieser ist nur der aktuellste von jährlichen Beschlüssen der  Ärztetage oder Vertreterversammlungen gegen die Gematik, seit Jahren. Die privaten Krankenversicherungen haben noch nie einen Cent für die Gematik gezahlt, nutzen eine komplett eigene technische Infrastruktur. Obwohl sie jederzeit berechtigt waren oder sind, gegen ein geringes Entgelt die Telematik-Infrastruktur der Gematik zu nutzen. (Ihre Mitspracherechte nutzen sie selbstverständlich.)

Die Krankenkassen haben 24,9 % der Anteile an der Gematik, und zahlen 100 % ihrer Kosten. Zusätzlich zahlen sie die mittelbar von der Gematik veranlassten Kosten: erstens die bei ihnen selbst veranlassten Kosten (z.B. neue Chipkarten), zweitens die Kosten der Ärzt:innen und sonstigen Leistungserbringer. (z.B. Konnektoren). Nutzen für die Versicherten, seit 2004: keiner. Kritik aus der Selbstverwaltung der Krankenkassen, insbesondere von Gewerkschaften oder Arbeitgeberverbänden: keine.

Gewerkschaften und Arbeitgeberverbände sind im System der deutschen Sozialversicherung als Kontrolleure und Wegweiser fest installiert. Die nächsten Sozialwahlen zu den Selbstverwaltungen der Krankenkassen sind 2023. Man darf gespannt sein, ob Gematik und Telematik-Infrastruktur dort ein Thema werden. Die Stimmabgabe wird bei den großen Krankenkassen Online möglich sein.

 

Auch dezentral lassen sich gut Patient*innen-Daten verlieren

Unter diesem Titel informiert „Zerforschung“, eine Gruppe von IT-Sicherheitsforscher*innen, über ihre Erfahrungen bei der Untersuchung der in Arztpraxen eingesetzten Software “InSuite” von DocCirrus.

Die Software “inSuite” soll Ärztinnen und Ärzten ihren Praxisalltag erleichtern: Durch ein Terminbuchungstool, digitalisierte Patientenakten oder die Möglichkeit, Dokumente wie etwa Laborbefunde direkt mit Patienten oder anderen behandelnden Ärzten zu teilen. Wer auf die Homepage der Berliner Firma Doc Cirrus geht, wird mit Werbeversprechen überhäuft: Die Software sei wartungs- und sorgenfrei, eine maßgeschneiderte und zukunftsorientierte Lösung für jede Arztpraxis. Und natürlich – so schreibt der Hersteller – seien die Patientendaten absolut sicher: Er verspricht ein 360°-IT-Sicherheitskonzept und den Schutz vor unbefugten Zugriffen.

Schon im ersten Absatz des Erfahrungsberichts der Gruppe „Zerforschung“ wird deutlich, was von diesem Heilsversprechen zu halten ist: Unfassbar, aber wahr: Auch in Deutschland kommt die Digitalisierung an. Mittlerweile sogar in Arztpraxen. Termine buchen, Akten durchsuchen, Krankschreibungen und Abrechnungen ausstellen – das alles kann mit einer Software erledigt werden. Die kennt dann Praxen und Patient*innen sehr gut – sehr, sehr gut sogar. Genauso unfassbar, aber leider auch wahr: Als wir uns eine dieser Softwarelösungen für Arztpraxen mal genauer angeschaut haben, hat sie sehr viele Daten verloren. Sehr, sehr viele: Von mehr als einer Million Patient*innen.“ Auch dezentral lassen sich gut Patient*innen-Daten verlieren weiterlesen

Stiftung Datenschutz: Nützliche Hinweise zum Thema besonders schützenswerte Daten i. S.d. Art. 9 DSGVO – dazu zählen auch Gesundheitsdaten

Art. 9 DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten) normiert in Abs. 1, welche Kategorien von Daten grundsätzlich untersagt ist:

  • Rassische und ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder weltanschauliche Überzeugungen,
  • Gewerkschaftszugehörigkeit,
  • genetische Daten,
  • biometrische Daten,
  • Gesundheitsdaten,
  • Daten zum Sexualleben oder der sexuellen Orientierung.

Dieses grundsätzliche Verbot der Verarbeitung der genannten Datenkategorien wird in Art. 9 Abs. 2 ergänzt um Fallkonstellationen, in denen die Verarbeitung der genannten Daten zulässig sein kann und welche Voraussetzungen dafür vorliegen müssen.Die Stiftung Datenschutz hat dieser Thematik zwei gut verständliche Beiträge gewidmet:

Großbritannien: Ehemaliger Gesundheitsberater wegen illegalen Zugriffs auf Patientendaten schuldig gesprochen

Das teilte das Information Commissioner’s Office (ICO), die unabhängige britische Aufsichtsbehörde für das Datenschutz- und Informationsrecht, am 05.08.2022 mit.

Ein ehemaliger Gesundheitsberater wurde für schuldig befunden, ohne triftigen Grund auf die Krankenakten von Patienten zugegriffen zu haben. Er arbeitete beim National Health Service (NHS),dem nationalen staatlichen Gesundheitsdienst in Großbritannien. Zwischen Juni und Dezember 2019 griff er unrechtmäßig auf die Akten von 14 Patient*innen zu, die ihm persönlich bekannt waren. Er wurde zur Zahlung einer Entschädigung in Höhe von 250 £ an 12 Patienten verurteilt, insgesamt also 3.000 £ (= ca. 3.550 €). Großbritannien: Ehemaliger Gesundheitsberater wegen illegalen Zugriffs auf Patientendaten schuldig gesprochen weiterlesen

Abzock-Maschen der Gematik

Hintergrund

In jeder deutschen Arztpraxis oder Krankenhaus-Ambulanz muss ein Konnektor installiert sein. Der Konnektor ist ein technisches Bauteil, ein spezieller IT-Router, mit dem die Verbindung zwischen der Arztpraxis und der “Telematik-Infrastruktur” hergestellt wird. Jede Arztpraxis ist gesetzlich verpflichtet, damit verbunden zu sein. Nach einer Vorgabe der Gematik, der Zentralbehörde für diese “Telematik-Infrastruktur”, müssen alle Konnektoren ausgetauscht werden, Kosten: 400 Mio EUR. Zur Vorgeschichte empfehlen wir diesen Artikel von uns vom April 2022. Wir bezweifelten damals, dass der Austausch notwendig sei. Die Gematik will den Konnektor sowieso bald abschaffen, für ihre  nächste Informatik-Architektur “TI 2.0”. Es handle sich bei diesem Austausch nur um eine “Abzock-Masche” gewisser IT-Firmen, allen voran der Koblenzer CGM, der “Compugroup Medical SE & Co KGaA”, so schrieben wir damals. Selbstverständlich würden die Ärzte fordern, dass die gesamten Kosten dieses Konnektor-Tausches von den Krankenversicherten getragen würden.

Der Schiedsspruch

So geschah es. Die Kassenärztliche Bundesvereinigung verlangte den Abschluss einer Vereinbarung, wonach die Krankenkassen alle Kosten des Konnektor-Tausches tragen müssen. Eine nachvollziehbare Forderung, die Ärztinnen und Ärzte konnten darauf verweisen:

  1. Die “Telematik-Infrastruktur” und der Konnektor haben keinerlei Nutzen bei der Versorgung der Patientinnen und Patienten oder für die Abrechnungen der Ärztinnen und Ärzte. Der Nutzen des Konnektors für sie ist gleich Null.
  2. Die bisherigen Konnektoren und die gesamte “Telematik-Infrastruktur” wurden bisher ausschließlich von den Versicherten finanziert. Wieso sollen jetzt die Ärzt:innen zahlen?

Als die Kassen die gewünschte Vereinbarung nicht abschließen wollten, riefen die Ärzte das Bundes-Schiedsamt nach § 89 Abs. 2 SGB V an, eine Schiedsstelle, die dafür zuständig ist, über Honorarordnungen und Ähnliches zu entscheiden. Das Schiedsamt entschied am 18.07.2022, dass jede deutsche Arztpraxis 2.300 EUR für den Konnektor-Tausch erhält, insgesamt müssen die Kassen dafür 400 Mio EUR zahlen.

Heise- und c’t-Artikel

Die Ärzte- und Krankenkassen-Funktionär:innen des Schiedsamtes lesen keine Computer-Medien. Sonst hätte ihnen dieser Artikel bei Heise.de im April 2022 auffallen können, in dem der Konnektor und die Telematik-Infrastruktur kritisiert wurden, verfasst vom IT-Sicherheits-Experten Thomas Maus und dem c’t Redakteur Lorenz Schönberg. Zwei Tage vor dem Schiedsspruch, am 16.07.2022 ist in der c’t dieser Artikel erschienen (online-Version hier), von denselben Autoren. Darin wird technisch detailliert nachgewiesen, dass der Konnektor-Tausch technisch nicht erforderlich ist. Es würde reichen, den Konnektor mit dem Schraubenzieher zu öffnen, und darin drei Chips auszutauschen, die wie SIM-Karten aussehen und im Konnektor ähnlich wechselfreundlich befestigt sind, wie SIM-Karten im Handy. Die Konnektoren anderer Firmen brauchen gar nicht getauscht zu werden, sie können ein Online-Update bekommen. Damit aber deren Hersteller gegenüber CGM nicht benachteiligt werden, werden laut Schiedsamt auch ihre Konnektoren getauscht!

Besonders interessant ist, dass dieser erste und meistverkaufte Konnektor, die Koco-Box von CGM, auf einer Platine eines anderen Unternehmens beruht, die im Handel für 250 EUR zu haben ist. Dazu kommen nur weitere Standard-Teile, so dass die c’t-Autoren für die 2.300 EUR teure Box auf einen Herstellungspreis von 400 EUR kommen. Eine schöne Gewinnspanne von rund 400 Prozent, die CGM ja bereits einmal auf Kosten der Krankenversicherten verdient hat. Und die CGM jetzt, nach dem Schiedsspruch, ein weiteres Mal verdienen soll.

Das Echo

Die Kasssenärztliche Bundesvereinigung (KBV) will jetzt gegen den Schiedsspruch vorgehen. Mittlerweile soll es Aussagen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zum Thema geben, wonach die Gültigkeit der Sicherheits-Zertifikate in den Konnektoren problemlos um 1-2 Jahre verlängert werden könnte, und der Austausch gar nicht erforderlich sei. Schließlich kommt ja 2024 die neue, super-sichere Architektur der Gematik, TI 2.0, ohne Konnektoren, die dann schließlich auch wieder bezahlt werden muss. Die Gematik hat das ja so angekündigt. Bis dahin könnte man die alten Konnektoren weiterlaufen lassen, laut BSI.

Nur müsste man mit dieser neuen Infrastruktur spätestens 2024 fertig werden, damit spätestens dann CGM wieder was verdienen kann. Bisher haben sich aber alle Projekte der Gematik um mehrere Jahre verzögert. Es wird wahrscheinlich so sein, dass die TI 2.0 erst 2026 oder -27 kommt. Sollen die Sicherheitszertifikate solange verlängert werden, und die Konnektoren bis dahin die ganze Zeit weiterlaufen? Was soll bis dahin aus CGM werden?

Wir berichten weiter!

Folge des Klimawandels: Chaos nach Computerausfall durch Hitze in führenden Londoner Krankenhäusern – Patientensicherheit durch IT-Ausfall gefährdet

Das meldet die britische Zeitung The Guardian am 07.08.2022. In dem Bericht wird u. a. mitgeteilt:

Zwei der führenden Krankenhäuser Großbritanniens mussten in den letzten drei Wochen Operationen absagen, Termine verschieben und schwerkranke Patienten in andere Zentren verlegen, nachdem ihre Computer auf dem Höhepunkt der Hitzewelle im letzten Monat abgestürzt waren. Folge des Klimawandels: Chaos nach Computerausfall durch Hitze in führenden Londoner Krankenhäusern – Patientensicherheit durch IT-Ausfall gefährdet weiterlesen

Kassenärztliche Vereinigung Niedersachsen zum Konnektorentausch: Bundesgesundheitsministerium entzieht sich der Verantwortung

Der Vorstand der Kassenärztlichen Vereinigung Niedersachsen (KVN) hat am 04.08.2022 völliges Unverständnis zum Verlauf der jüngsten Sitzung der Gesellschafter der gematik zum Tausch der Konnektoren in Krankenhäusern und Praxen von Ärzt*innen und Psychotherapeut*innen geäußert. Kassenärztliche Vereinigung Niedersachsen zum Konnektorentausch: Bundesgesundheitsministerium entzieht sich der Verantwortung weiterlesen

Patientenrechte und Datenschutz e.V.