© 3quarks / 123RF.com

Das deutsche Gesundheitssystem entspricht laut Gesundheitspolitikern grundsätzlich dem Design von Bismarcks Krankenversicherung aus dem 19. Jahrhundert. Derzeit tobt eine Lobbyschlacht darum, es auf den Stand der Anforderungen der EU zu bringen.

Manchmal ist Open Data weder gewünscht noch geeignet oder gar durchzusetzen. Je sensibler die Daten, desto schwieriger wird die Sache, und desto weniger freigiebig werden wir. Vor allem, wenn Begehrlichkeiten der Industrie ins Spiel kommen, kommt Misstrauen auf, etwa bei den Daten aus unseren vernetzten Autos (sogenannte Mobilitätsdaten). Noch genauer sehen wir hin, wenn es um unsere Gesundheitsdaten geht.

In Sachen Autos tobt schon länger ein Streit, der Gesundheitsbranche steht er erst noch bevor. Moderne Pkw erzeugen mehr als 600 GByte Daten am Tag [1]. Wo ein Trog ist, da kommen die Schweine, so lautet eine alte Weisheit unter Datenschützern. Die Daten aus dem Kraftfahrzeug gehören selbstverständlich der Person, die das Auto gekauft hat, genauso wie beim heimischen IoT-Kühlschrank.

Industrievertreter sehen das anders: Sie finden beim European Data Act [2] durchaus Raum für Interpretationen [3] und verlangen eine deutliche Verbesserung. Die von Pkw generierten Daten zum Beispiel gehören den Herstellern zufolge eindeutig … dem Hersteller. Sogenannte Mobility Data Spaces sollen für die vernetzten Geräte sicherstellen, dass die Industrie Wertschöpfung am neuen Öl betreiben kann [4]. Vertrauensbildend wirken derlei Diskussionen nicht, und auch im Gesundheitsbereich will man “europäische Datenräume” schaffen.

Am Ende geht es immer darum, wer wann wem und wie die Daten verkaufen darf, die der Kunde (Endnutzer, Autobesitzer, Patient) “erzeugt” hat. Ein Marktplatz für Mobilitäts- und Gesundheitsdaten muss her. Die Patientendaten sollen selbstverständlich “nur zu Forschungszwecken” monetarisiert werden können. Wie der Bürger da einwilligen kann, darf und soll, bleibt bislang ungeklärt. Dasselbe gilt für das Widerrufsrecht gemäß DSGVO und dem Umgang mit bereits verkauften Daten, die Konzerne beispielsweise aus dem Nicht-EU-Ausland gekauft haben.

Klar ist nur: Fast zwei Drittel der Benutzer lehnen beispielsweise beim Auto die Datenweitergabe ab [5], bei Gesundheitsdaten dürften es noch deutlich mehr sein. Gleichzeitig kann ein Datenmarktplatz laut Verbraucherzentrale Bundesverband nur auf freiwilliger Basis gelingen.

Gesundheit!

Doch genau diese Freiwilligkeit braucht Vertrauen, und das fehlt im Gesundheitssystem offenbar: Auf freiwilliger Basis 2021 eingeführt, konnte die elektronische Patientenakte (ePA) des Gesundheitsministeriums nicht überzeugen. Nur ein Prozent der Versicherten nutzt sie heute. Auch deshalb präsentierte Minister Karl Lauterbach Anfang des Jahres eine neue Digitalstrategie (Abbildung 1). Technisch gesehen wäre die ePA durchaus funktional, aber die Beteiligung der Bürger blieb mau, mangels Interesse und Vertrauen seitens der Patienten. Dabei steckt in der Karte großes Potenzial für das Erheben und Verarbeiten von Daten, vor allem für die Forschung. Für Patienten würde sie die Versorgung sicherer machen, die Behandlung erleichtern und die Bürokratie abbauen.

Abbildung 1: Die Digitalisierungsstrategie der Bundesregierung.

Die spärliche Begeisterung der Bürger stört den Minister. Lauterbach tourt derzeit durch Ministerien und Gremien [6], um die Werbetrommel zu rühren. Doch seine Entscheidung, die Freiwilligkeit der Datenabgabe abzuschaffen, also die elektronische Patientenakte zur Pflicht zu machen, kommt nicht gut an. Aber nur so könne man die Daten der Bürger zum Wohle aller für die Forschung nutzbar machen, beteuert Lauterbach (wie die meisten Unternehmen der Healthcare-Branche) gebetsmühlenartig.

Ab 2024 soll die ePA deshalb Pflicht werden, bis 2025 sollen 80 Prozent der gesetzlich Versicherten über eine ePA und damit eine digitale Medikationsübersicht verfügen, bis Ende 2026 sollen mindestens 300 Forschungsvorhaben mit Gesundheitsdaten durch das Forschungsdatenzentrum Gesundheit realisiert werden, erklärt Lauterbach.

Aus einem Opt-in wird mangels Interesse der Betroffenen so ein Opt-out für Informierte – beim Arzt, bei der Frage nach der Erlaubnis zur Datennutzung. Ein Zwang zur Datenfreigabe sei ja dank der DSGVO nicht möglich, erläutert der Minister im Digitalausschuss. Die Regierung kann also zwar die Karte vorschreiben, nicht aber die Freigabe der Daten und schon gar nicht die Datenspende für die Forschung. Kritiker bemängeln, dass nur diejenigen die Vorteile der ePA nutzen können, die der Weitergabe der Daten zustimmen. Deren Auswertung geschieht ausschließlich zu Forschungszwecken. Sie sind im European Health Data Space [7] für alle nutzbar, die wissenschaftliche Gründe vorweisen können.

Das Framework will einen Raum zur Verfügung stellen, der “das Potenzial von Austausch, Nutzung und Weiterverwendung von Gesundheitsdaten unter gesicherten Bedingungen voll auszuschöpfen” vermag. Es scheint jedoch ein paar Konstruktionsfehler aufzuweisen: Datenschützer sind sich sicher, dass die Datenpools die DSGVO nicht richtig oder nicht vollständig umsetzen. Wie bei den Mobilitätsdaten sind die Betreiber jedoch auch hier der Meinung, man handele vollständig datenschutzkonform [8]. Vertrauensbildende Maßnahmen sehen anders aus.

Probleme, die jeder Administrator, Datenschützer und Sicherheitsexperte kennt, wirken nur unzureichend gelöst. Forderungen nach dezentraler Datenspeicherung mit Ende-zu-Ende-Verschlüsselung und Datenhoheit beim Patienten würden nicht genug Analysen zulassen. Zudem gibt es Bedenken, die Anonymisierung und Pseudonymisierung seien zwar auf heutigem technischen Stand sicher, doch weder lasse sich dasselbe für die Zukunft nachweisen, noch könne man Missbrauch durch beispielsweise das Verschneiden mit anderen Daten(quellen) sicher unterbinden. Für all diese Vorwürfe gibt es Präzedenzfälle.

Kriminelles Potenzial

Nicht auszudenken, was Kriminelle mit Zugriff auf den zentralen europäischen Datentrog anfangen könnten. Die europäischen Silos sind politisch und wirtschaftlich gewollt, obwohl Staatsrechtler dem gesamten Konzept strukturelle Sicherheitsprobleme attestieren [9]. Das liegt nicht zuletzt daran, dass Lobbyisten wie die des Deutschen Netzwerks Versorgungsforschung (DNVF) auf einem zentralen, pseudonymisierten Speicher bestehen und sich dabei auf “Datensolidarität” berufen. Wer da nicht mitmacht, gilt quasi als asozial, weil er anderen Patienten nicht helfen will [10].

Am fragwürdigsten erscheint jedoch ein Konzept im europäischen Raum für Gesundheitsdaten (EHDS), das sich Sekundärnutzung nennt. Darunter versteht man die Möglichkeit, Gesundheitsdaten anonymisiert und pseudonymisiert auch an Dritte freizugeben, eventuell sogar außerhalb des Geltungsbereichs der DSGVO. Anonymisiert ist das ohne Einwilligung des Patienten möglich, ohne Widerrufsrecht, ohne Informationspflicht, kritisierten EU-Datenschützer schon im Juli 2022. Lobbyisten kontern, mit zu viel Datenschutz würde man im Wettbewerb mit den USA und China zurückfallen.

Bis Ende 2023 muss ein Kompromiss her. Viele Experten prognostizieren, dass wie häufig darüber am Ende der Europäische Gerichtshof ein Urteil sprechen wird. Schwer vorzustellen, dass vor diesem Gericht eine Regelung mit Vollzugriff bestehen kann, die beispielsweise die Nutzung in zukünftigen KI-Produkten oder anderen digitalen Helfern erlaubt.

Gesundheitsvorrat

Der bayerische Datenschutzbeauftragte Thomas Petri sieht gar eine Vorratsdatenspeicherung von Gesundheitsinformationen im Anmarsch, die auch zur Strafverfolgung herausgegeben werden dürften. Wird hier wieder einmal unter dem Verweis auf ein höheres Gut Politik zugunsten lobbymächtiger Unternehmen gemacht?

Egal, wie man die Intentionen der Akteure beurteilt, ob man Hanlon’s Razor [11], Cui bono [12] oder die neoliberale Sicht bevorzugt, bleiben umfangreiche Hausaufgaben für die Politik. Zahlreiche Ministerien sind beteiligt: Gesundheit, Bildung/Forschung, Wirtschaft und Verbraucherschutz, dazu die beiden für Digitalisierung zuständigen Häuser, alle Parteien der Ampelkoalition müssen zusammenarbeiten. Angesichts der wenig harmonischen Arbeit der letzten Monate scheinen Kompromisse unwahrscheinlich.

Doch Vertrauen wäre das Wichtigste bei dem komplexen Thema. Nur wenn möglichst viele Patienten mitmachen, lässt sich das Ziel erreichen, der Forschung zu helfen, weil die sogenannte Kohortenstärke maßgeblich die Aussagekraft von Studien und Auswertungen bestimmt. Wenn aber die Architekten eines digitalen Gesundheitssystems dabei versagen, technisch fundierte, überzeugende und sichere Lösungen zu finden, bleibt das eine Illusion [13].

Erschwerend kommt hinzu, dass die Bereitschaft mitzuwirken umso größer ist, je kleiner die Kohorte ausfällt: Wer unter einer seltenen oder lebensbedrohenden Krankheit leidet, teilt seine Daten bereitwilliger, um anderen mit demselben Schicksal zu helfen. Der Großteil der (gesunden) Bürger hat hier verständliche Vorbehalte.

Dauerbaustelle

Aber die elektronische Patientenakte und die European Health Dataspaces bilden derzeit nicht die einzige offene Baustelle im Gesundheitssystem. Das Bundesministerium für Gesundheit nennt als Schwerpunkte der digitalen Transformation den “Aufbau der sicheren Vernetzung im Gesundheitswesen (Telematikinfrastruktur, TI), die Einführung der elektronischen Gesundheitskarte (eGK) mit ihren Anwendungen, die Einführung der elektronischen Patientenakte (ePA) und des elektronischen Rezepts (E-Rezept), das neue Angebot der digitalen Gesundheitsanwendungen (DiGA) und der digitalen Pflegeanwendungen (DiPA) für die Versicherten, die Ausweitung der Nutzungsmöglichkeiten für die Videosprechstunde und weitere Leistungen in der Telemedizin.”

Da kommen dann zahlreiche Gesetzesvorhaben zusammen, vom E-Health-Gesetz über das Terminservice- und Versorgungsgesetz (TSVG), das Gesetz für mehr Sicherheit in der Arzneimittelversorgung (GSAV), das Digitale-Versorgung-Gesetz (DVG) und das Patientendaten-Schutz-Gesetz (PDSG) bis hin zum Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz (DVPMG). Man baut ein Forschungsdatenzentrum Gesundheit (FDZ) im Bundesinstitut für Arzneimittel und Medizinprodukte auf, entwickelt das Interoperabilitätsverzeichnis zu einer Wissensplattform weiter und will “Erprobungsräume für digitale Innovation” in der Gesundheitsversorgung schaffen und ein nationales Gesundheitsportal aufbauen [14].

Diese Sammlung an Vorhaben dürften zum Kompliziertesten gehören, das in der Informationstechnologie zu bewältigen ansteht. “Das System, das wir verwenden, stammt in den Grundzügen immer noch von Bismarck, und jetzt müssen wir es auf die Anforderungen aus Brüssel trimmen”, kommentieren das hinter vorgehaltener Hand Personen aus dem Umfeld des Bundestags.

Der preußische Ministerpräsident und Reichskanzler etablierte 1883 die erste Pflichtkrankenversicherung der Welt, wodurch selbst die ärmsten Arbeiterfamilien Zugang zu medizinischen Leistungen erhielten. Die Ideen des konservativen Politikers hatten durchschlagenden Erfolg und gingen als Bismarcksche Sozialgesetze in die Geschichte ein. Im folgenden Jahrzehnt sank die Sterblichkeit in Preußen um knapp 10 Prozent.

Das älteste soziale Krankenversicherungssystem der Welt ist aber nicht nur über 140 Jahre alt, sondern auch historisch gewachsen. Es umfasst heute neben mehr als hundert Krankenkassen private Krankenversicherungen, verschiedenste Kliniken, Ärzte, Therapeuten und Spezialisten wie Hebammen, Masseure oder ganze Märkte wie Apotheken oder Sanitätshäuser. Für fast alle Praxen und Einrichtungen gibt es branchenspezifische Software, wobei aber mangels Community nur selten Open Source im Spiel ist.

Die Gematik

Für das Zusammenspiel auf diesem Markt zeichnet seit fast zwei Jahrzehnten die “Nationale Agentur für Digitale Medizin” verantwortlich, die Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH, kurz Gematik (Abbildung 2). Sie wurde 2005 für die elektronische Gesundheitskarte und deren Infrastruktur gegründet [15]. Als Koordinierungsstelle für Interoperabilität soll sie “Bedarfe identifizieren, Expertenwissen einsetzen, beraten und koordinieren”. Der Verantwortungsbereich der Gematik umfasst das E-Rezept und die elektronische Patientenakte, aber auch Notfalldaten, E-Medikationspläne oder den TI-Messenger für den medizinischen Alltag (“eine schnelle und sichere Echtzeit-Kommunikation auch im Gesundheitswesen”).

Abbildung 2: Die Gematik ist verantwortlich für eine ganze Reihe von Anwendungen im Gesundheitssektor, von der elektronischen Patientenakte bis zur Infrastruktur dahinter.

Nach eigener Aussage ist vieles, das von der Gematik kommt, Open Source, erklärt Sergej Suskov, Leiter Systems Engineering bei der GmbH. Man nutze freie Software nicht nur auf den Servern und in der IT-Security, sondern auch in Projekten wie dem E-Rezept, allerdings noch nirgendwo beim Endanwender. Standards wie HL7 FHIR (Fast Healthcare Interoperability Resources), die den Datenaustausch zwischen Software definieren, müssen offene Standards sein, damit die Vielzahl der Player auf dem Markt mitwirken können. Für das mittlerweile 18 Jahre alte FHIR (Abbildung 3) gibt es eine Open-Source-Implementierung in Java, HAPI FHIR [16], die mit einer stolzen Weltkarte auf der Webseite daherkommt (Abbildung 4). Auch von der Gematik stehen diverse Projekte bereits als Code und Referenzimplementierungen auf Github zur Verfügung [17].

Abbildung 3: HL7 Deutschland arbeitet an der Weiterentwicklung des FHIR-Standards.

Abbildung 4: HAPI FHIR ist eine Open-Source-Implementierung des FHIR-Standards.

Totgesagte leben länger

Doch damit nicht genug: Wer dachte, das Europäische Hyperscaler-Projekt Gaia-X sei tot, liegt völlig falsch. Erst letztes Jahr stattete Wirtschaftsminister Robert Habeck das Berlin Institut of Health an der Charité mit 13 Millionen Euro aus, um mit dem Health-X Dataloft die Zukunft der Gesundheitsversorgung sicherzustellen.

Legitimiert, offen und föderiert (LOFT) soll Health-X sein, auf Basis der Entscheidungen der Bürger und gemäß Gaia-X-Standards zugänglich gemacht (Abbildung 5). “Anders als bestehende Angebote, wird unser Datenraum bürger:innen/patient:innen-zentrisch aufgebaut sein: Die Bürger:innen/Patient:innen haben Zugriff auf und Kontrolle über ihre persönlichen Gesundheitsdaten, unabhängig von deren Herkunft” [18].

Abbildung 5: Der Health-X Dataloft möchte einen auf offenen Standards basierenden Innovations-Hub für die Daten im Gesundheitssektor bieten.

Fazit

Vielleicht ist bei der Mammutaufgabe Digitalisierung des Gesundheitssystems doch noch nicht alles verloren. Zwar herrscht beim Endanwender proprietäre Software vor, doch wie vielerorts kommen im Backend Open Source und offene Standards zum Einsatz. Wie Technokraten, Lobbyisten und technisch wenig versierten Entscheider jedoch Datenschutz, Sicherheit und das Bürgervertrauen mit dem Profitstreben der Unternehmen in Einklang bringen wollen, steht bislang noch in den Sternen. Eines scheint sicher: Nur wenn die Patienten mitmachen, wird daraus etwas, mit Zwang funktioniert es bekanntlich kaum. Das Misstrauen gerade gegenüber Konzernen wie den “forschenden Pharmaunternehmen” bleibt groß, ganz egal, wie sehr diese sich bemühen, sich dem Wohl der Menschheit verpflichtet zu zeigen. (csi)