In Ihrem Jahresbericht 2018, veröffentlicht am 26.03.2019, widmet die Berliner Datenschutzbeauftragte den Abschnitt „6.3 Problematische Einführung einer elektronischen Gesundheitsakte“ der von ihr veranlassten Prüfung der elektronischen Gesundheitsakte von ViVy. Der Name der geprüften Akte bzw. des Unternehmens wird im Bericht zwar nicht benannt, der Fachöffentlichkeit ist dies aber seit Dezember 2018 bekannt.
Mitte September 2018 wurde die Gesundheits-App ViVy gestartet. Mitglieder der DAK-Gesundheit, mehrerer Innungskranken- und Betriebskrankenkassen sowie der Allianz Private Krankenversicherung und der Barmenia sollen sie kostenlos nutzen können; insgesamt 13,5 Millionen Versicherte. Weitere Krankenkassen kamen dazu, im Februar etwa die Gothaer. Bei der DAK-Gesundheit soll Vivy auch eingesetzt werden, um Bescheinigungen anzufordern oder Punkte für Bonusprogramme zu sammeln. All diesen Versicherten sei nahegelegt, vor der Entscheidung für die Nutzung von ViVy die Ergebnisse der Prüfung durch die Berliner Datenschutzbeauftragte zu lesen:
- „Das Angebot der Gesundheitsakte basiert auf Einwilligungen der Nutzerinnen und Nutzer. Dabei muss die Einwilligung für die verschiedenen Zwecke und Funktionalitäten jeweils separat und ausdrücklich erteilt werden. Das geprüfte Vorhaben ist im Laufe des Jahres dynamisch gewachsen. Dabei sind ständig neue Funktionalitäten hinzugekommen. Allerdings wurden die Nutzerinnen und Nutzer nicht hinreichend informiert und die nun notwendigen neuen Einwilligungen nicht eingeholt. Auf unsere Intervention hin wurde dieser Mangel nachträglich behoben.
- Der Anbieter der geprüften Gesundheitsakte betreibt die Gesundheitsakte bei einem großen Cloud-Dienstleister. Die Versicherten erhalten eine App für ihr Mobiltelefon und steuern damit die Akte. Möchten Patienten über die Gesundheitsakte eine Unterlage von einer behandelnden Ärztin oder einem behandelnden Arzt erhalten, dann teilen sie das über die App mit und der Anbieter wendet sich per E-Mail an die betreffende Ärztin oder an den betreffenden Arzt. Der Ärztin oder dem Arzt wird die Möglichkeit gegeben, das entsprechende Dokument über ihren oder seinen Webbrowser in die Akte hochzuladen. In diesem Prozess werden die Unterlagen verschlüsselt. Bevor Ärzte dies rechtmäßig tun können, müssen sie sich davon überzeugen, dass die Patienten diese Übertragung auch wirklich wünschen. Dafür unterschreiben die Patienten innerhalb der App eine Schweigepflichtentbindungserklärung auf dem Bildschirm ihres Mobiltelefons. Für die Ärzte ist es jedoch schwierig festzustellen, ob dieses Dokument tatsächlich von der richtigen Person kommt.
- Der Anbieter prüft die Identität der Patienten, allerdings nicht auf eine Weise, die der Sensibilität der später verarbeiteten Gesundheitsdaten Rechnung trägt. Somit sollten Ärzte auf anderem Wege den Willen der Patienten feststellen, z. B. bei Anwesenheit der Patienten in der Praxis. Selbstverständlich muss der Übergabeprozess der Daten sicher ausgestaltet werden.
- Ein unabhängiges Forscherteam hatte im konkret vorliegenden Produkt in diesem Prozess Sicherheitslücken gefunden, welche der Anbieter später behob. Das Verfahren führt allerdings zu einer neuen Schwachstelle in den Praxen der übermittelnden Ärztinnen und Ärzte: Mit dem Internet verbundene Rechner von Ärzten können Angriffsobjekte werden. Nach den von uns unterstützten Empfehlungen der Bundesärztekammer sollten Ärzte unverschlüsselte medizinische Unterlagen nicht auf Rechner überspielen, die freien Zugang zum Internet haben. Derzeit lassen sich der Gesundheitsakte jedoch nur von einem solchen Rechner aus Dokumente hinzufügen.
- Schon die Tatsache, dass jemand von einer bestimmten Ärztin oder einem bestimmten Arzt behandelt wird, ist geheim zu halten, da sich daraus Rückschlüsse auf die Art einer Erkrankung ziehen lassen. Die Abfrage der Unterlagen bei den medizinischen Leistungserbringern erfolgte zum Prüfungszeitpunkt jedoch unverschlüsselt. Wir haben den Anbieter aufgefordert, dies zu ändern.
- Letztendlich muss auch die Datenverarbeitung des Anbieters der Gesundheitsakte selbst hohen Sicherheitsanforderungen genügen. Das bereits genannte Forscherteam hatte weitere Lücken in der Sicherheit des Angebots gefunden. Auch im Zuge unserer Prüfung stellten wir Schwachstellen fest. Eine Datenschutz-Folgenabschätzung war zudem verspätet und unvollständig vorgenommen worden.”
ViVy ist die erste elektronische Gesundheitsakte nach den rechtlichen Vorgaben des § 68 SGB V. Zu diesen Gesundheitsakten hat die damalige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit am 19.07.2018 in einem Schreiben festgestellt: “Das Zurverfügungstellen einer elektronischen Gesundheitsakte (eGA) ist keine gesetzliche Aufgabe der Sozialleistungsträger im Sinne des Sozialgesetzbuches. Die Krankenkassen haben gemäß § 68 SGB V lediglich die Möglichkeit finanzielle Unterstützung zu einer persönlichen eGA ihrer Versicherten zu leisten. Es handelt sich bei den eGA-Lösungen um ein privates Angebot von Dritten, die weder Sozialdaten im Sinne des § 67 Abs. 1 SGB X verarbeiten noch das Sozialgeheimnis gemäß § 35 SGB I beachten müssen.”