Sicherheit digitaler Strukturen in der Psychotherapie – eine Frage des Vertrauens?
Erster „Digital Talk“ des DGVT-Berufsverbands am 19. Juni 2021 (online per Zoom) mit dem renommierten IT-Experten Martin Tschirsich brachte wichtige Hinweise für den Umgang mit sensiblen Daten
Digitalisierung im Gesundheitswesen ist seit Jahren ein heiß diskutiertes Thema, das durch die Pandemie einen zusätzlichen Schub erhalten hat. Auch für psychotherapeutische Anwendungen versprechen Apps auf Rezept, Videosprechstunden und elektronische Patient*innenakten neue Möglichkeiten. Doch wie sicher sind sie? Und was bedeutet es für die Beziehung zwischen Patient*innen und Therapeut*innen, wenn ein vertrauenswürdiges Identitätsmanagement für digitale Formen des Austausches nicht garantiert ist?
Die Fachgruppe E-Health des DGVT-Berufsverbands hatte im Juni 2021 Martin Tschirsich als Referenten für die erste Ausgabe des neuen Veranstaltungsformats „Digital Talk“ in Form einer Zoom-Konferenz eingeladen. Der unabhängige Berater ist ausgewiesener Experte auf dem Gebiet der Informationssicherheit im Gesundheitsbereich. Er modelliert Bedrohungen und identifiziert Schwachstellen in digitalen Anwendungen und Infrastrukturen. Sein Ziel ist die transparente Handhabung solcher Anwendungen gerade im Gesundheitssektor. Tschirsich ist unter anderem auch im Chaos Computer Club (CCC) aktiv und deckte mit Kolleg*innen des CCC bereits zahlreiche Sicherheitsmängel in Gesundheitsanwendungen auf. Zuletzt war er erneut in den Schlagzeilen, weil er gemeinsam mit einem weiteren IT-Sicherheitsexperten zeigte, wie leicht sich das System zur Herstellung von digitalen Impf-Zertifikaten in Apotheken manipulieren lässt, was zu einer mehrtägigen Sperrung dieses Angebots führte.
Dass ein verlässliches digitales Identitätsmanagement gerade auf dem Gebiet der Psychotherapie von herausragender Bedeutung ist, liegt nicht allein an den besonders sensiblen und schutzwürdigen Daten, die mit dem Austausch zwischen Patient*in und Therapeut*in einhergehen. Hinzu kommt, dass in keinem anderen Gesundheitsbereich digitale Anwendungen wie Video-Sprechstunden so häufig genutzt werden: Drei Viertel aller digitalen Konsultation im Gesundheitswesen entfielen im zweiten Quartal des vergangenen Jahres auf den Bereich der Psychotherapie. Mehr als die Hälfte aller Psychotherapeut*innen bietet inzwischen eine Videosprechstunde an, sowohl für Erwachsene als auch für Kinder und Jugendliche.
In seinem höchst informativen Online-Vortrag legte Martin Tschirsich die Probleme in der Sicherheitsarchitektur der digitalen Infrastrukturen für Videosprechstunden, aber auch für die elektronische Patient*innenakte und die digitalen Gesundheitsanwendungen (DIGAs) dar. Insbesondere der damit verbundene Datenaustausch stellt ein mögliches Einfallstor für Missbrauch dar. Hauptverantwortlich für solche Sicherheitsmängel sind aus seiner Sicht mehrere Faktoren: Neben einer Verantwortungsdiffusion zwischen den beteiligten Akteur*innen, fehlten auch wirksame Sanktionen bei Verstößen. Zu lange sei außerdem die Zeitspanne, die zwischen der Gesetzgebung und deren technischer Umsetzung vergeht.
Anhand zahlreicher Praxisbeispiele zeigte Tschirsich auf, welche enormen Folgen mangelnde Sicherheit im digitalen Identitätsmanagement für die Betroffenen von Datenlecks oder gezielter Ausspähung haben kann. Sie reichen von individuellen Erpressungsversuchen bis zum wirtschaftlichen Niedergang selbst großer Einrichtungen des Gesundheitswesens. Neben den finanziellen Auswirkungen geht es bei diesem Thema aber vorrangig um den Schutz der Patient*innen vor einem Missbrauch ihrer Daten.
Einfache Auswege aus dem Dilemma, dass digitale Anwendungen auch im Gesundheitswesen immer stärker nachgefragt werden und von politischer Seite forciert werden, gleichzeitig aber die Datensicherheit in vielen Fällen nicht garantiert werden kann, gibt es nicht. Als Verantwortliche für die Datensicherheit ihrer digitalen Angebote können sich Psychotherapeut*innen grundsätzlich nicht der daraus resultierenden Verpflichtungen entledigen, indem sie zum Beispiel mit Patient*innen eine Vereinbarung über ein „abgesenktes Datenschutz-Niveau“ abschließen. Ebenso wie die Anbieter technischer Lösungen müssen sie vielmehr „geeignete technische und organisatorische Maßnahmen [treffen], um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“, wie es in der Datenschutzgrundverordnung heißt.
Konkret bedeutet dies zum Beispiel für Praxisinhaber*innen, beim Einsatz von IT-Systemen stets darauf zu achten, dass diese bestmöglich nach dem aktuellen Stand der Technik gegen Manipulation und Missbrauch geschützt sind. Dazu zählen für Tschirsich neben regelmäßigen Updates von Betriebssystemen und Virenschutzprogrammen insbesondere eine Ende-zu-Ende-Verschlüsselung bei Datentransfers und eine Zwei-Faktor-Authentifizierung als Voraussetzung für vertrauliche Kommunikation übers Internet. Auch die Verschlüsselung von Daten auf der eigenen Festplatte und die Trennung von ausschließlich intern genutzten Datennetzen von solchen, mit denen Internet-Aktivitäten vorgenommen werden, bieten zusätzlichen Schutz.
Sich allein auf die Vorgaben zu verlassen, wie sie beispielsweise der IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung macht, sei hingegen nicht ausreichend, so Tschirsich. Sie genügten bei weitem nicht, um ein vertrauenswürdiges Identitätsmanagement zu gewährleisten. So hätten alle von ihm analysierten Videosprechstunden-Anwendungen kritische Sicherheitsmängel gehabt, obwohl sie von der KBV zertifiziert worden waren. Nach seiner Meldung an die Anbieter sei zwar eine Behebung der Mängel zugesichert worden. „Angesichts der Schwere der Mängel und der unzureichenden Zertifizierungskriterien der KBV sagt dies aber nichts über das aktuelle Sicherheitsniveau aus“, betont der Experte für Informationssicherheit.
Auch viele der 120 Teilnehmer*innen der Online-Konferenz äußerten sich in einer lebhaften Frage- und Diskussionsrunde kritisch zu den Rahmenbedingungen der Digitalisierung in der Psychotherapie. Gerade mit Blick auf den Datenschutz und die Gewährleistung der gesetzlich verankerten Schweigepflicht sei die gegenwärtige Situation nicht hinnehmbar, urteilten mehrere Psychotherapeut*innen in ihren Wortmeldungen. Rechtliche Fragen, beispielsweise zur Haftung bei Datenmissbrauch, wurden von der Juristin des DGVT-BV, Kerstin Burgdorf, beantwortet. Trotz aller Bedenken sieht allerdings auch Martin Tschirsich keinen Ausweg darin, digitale Anwendungen aus dem Gesundheitswesen fernzuhalten. Wichtig sei, sich der Problematik der Informationssicherheit bewusst zu sein und daraus Konsequenzen abzuleiten: im individuellen Verantwortungsbereich als Therapeut*in, aber auch in (berufs-)politischen Zusammenhängen. Denn damit die durchaus vorhandenen sicheren Technologien auch tatsächlich verpflichtend eingesetzt würden, bedürfe es entsprechender Vorgaben auf politischer Ebene.
Fachgruppe E-Health des DGVT-Berufsverbands
Kontakt: info@dgvt-bv.de
Info: Der 2. Digi-Talk der Fachgruppe E-Health des DGVT-Berufsverbands findet Samstag, den 13. November 2021, statt. Dann geht es mit fachkundigen Referent*innen um die elektronische Patientenakte (ePA).