Martin Hofmann Rund 100 000 Mediziner sind per Computer an das zentrale deutsche Gesundheitsnetz angeschlossen. Viele Patienten müssen um die Sicherheit ihrer Daten bangen. Von Martin Hofmann

Jens Ernst und sein Sohn Johannes sprechen von einer tickenden Zeitbombe. Sie betreuen mit ihrem Unternehmen Happycomputer mit Sitz in Schwerte mehrere Arztpraxen, vor allem in Nordrhein-Westfalen. Seit April warnen sie Mediziner davor, dass ihre Praxisnetzwerke gravierende Datenschutz-Mängel besäßen. Der Grund: Fehler beim Anschluss an die Telematik-Infrastruktur (TI), das Datennetz fast aller Akteure im Gesundheitswesen. 177 000 Arztpraxen, 2000 Kliniken und Reha-Einrichtungen, 19 500 Apotheken und die Krankenkassen sollen darüber Informationen austauschen. Techniker installieren dafür im Auftrag der Gesellschaft für Telematikanwendungen der Gesundheitskarte (Gematik) einen Konnektor. Er stellt eine verschlüsselte Internet-Verbindung her, um „den Schutz der sensiblen Informationen langfristig zu gewährleisten“, so die GmbH. Das Bundesamt für IT-Sicherheit hat das Gerät zertifiziert.

Die Ernsts gehen davon aus, „dass die meisten Arztpraxen derzeit nicht sicher an das Internet angeschlossen sind“. Sie fällen ihr Urteil auf der Basis „absolut gesicherter und nachprüfbarer Fakten“. Da ist zum einen die Firewall des Konnektors. „Es hat mich 20 Sekunden meiner Lebenszeit gekostet, dieses Schutzsystem in internen Tests zu hacken“, sagt Johannes Ernst. Einen Testvirus konnte der Vater „unerkannt und vollkommen problemlos über die TI in das Praxisnetz transferieren“. Er hat zahlreiche Installationen geprüft. Ergebnis: Egal, auf welche Weise die Geräte angeschlossen wurden, die Praxen erfüllen nur ganz selten den „Grundschutz für Datensicherheit“. Für Gesundheitsdaten sind aber hohe Standards erforderlich. Selbst wenn sie das interne Netz vom Internet durch eine Hardware-Firewall getrennt haben, blieben Datenzugänge offen, weil Programmierinformationen als geheim eingestuft und IT-Dienstleistern nicht mitgeteilt wurden. Sie hätten diese aber gebraucht, um den Schutz zu aktivieren.

Der IT-Experte Martin Mayr bestätigt diese Schwierigkeiten. Der Chef des Systemhauses Ulm, das Arztpraxen betreut, hält das Gesundheitsnetz überdies für einen absoluten Ladenhüter. „Die Architektur des Netzwerks ist mindestens zehn Jahre alt.“ Die IT habe sich in diesem Zeitraum fünfmal weiterentwickelt. Es werde weder den heutigen Ansprüchen gerecht, noch erreiche es den Stand der Technik. „Da wird alter Schrott installiert.“ Jeder Softwareentwickler wisse: „Wer ein System vorne flicken muss und hinten nicht abgeschlossen hat, wird nie fertig.“ Dies sei den Verantwortlichen in Berlin klar.

Ermitteln, wie viele Praxisrechner schutzlos am Internet hängen, will die Gematik nicht. Sie sagt, es handle sich um Einzelfälle. Datenschutzbeauftragte des Bundes und Nordrhein-Westfalens erklärten sich für unzuständig, berichtet Jens Ernst. Er hat Behördenvertretern die Missstände vorgeführt. Sie nahmen dies zur Kenntnis. Mehr nicht.

Im Gegenteil. Bundesgesundheitsminister Jens Spahn (CDU) setzt den Anschluss an das Gesundheitsnetz mit Sanktionen durch. Arztpraxen, die sich bis Ende Juni nicht angeschlossen oder einen Konnektor bis April bestellt hatten, verlieren ein Prozent ihres Honorars. Sein Digitale-Versorgungsgesetz erhöht den Honorarabzug auf 2,5 Prozent für Ärzte, die bis März 2020 keinen Konnektor installiert haben. Das Bundeskabinett hat die Strafverschärfung bereits gebilligt.

Spahn hat zudem die Mehrheit am Stammkapital der Gematik für 510 000 Euro gekauft, einen Manager aus der Pharmabranche zum neuen Geschäftsführer bestellt und mit dem Ausbau und Betrieb des Gesundheitsnetzes die Arvato Systems GmbH, eine Tochter des Bertelsmann-Konzerns, beauftragt – zunächst bis Juni 2027. Die Firma zeichnet seit 2013 bereits für den Datenverkehr rund um die elektronische Gesundheitskarte verantwortlich.

Kritiker wiesen schon damals auf Interessenskonflikte innerhalb des Unternehmens hin, zu dem mit der AZ Direkt ein großer Adresshändler gehört und die Arvato-Tochter Infoscore Inkassoservice sowie Wirtschafts- und Bonitätsauskünfte anbietet.

Spahns Druck beugen sich längst nicht alle Ärzte. Auf Anfrage des FDP-Abgeordneten Wieland Schinnenburg nennt sein Ministerium Anfang Juli Zahlen: „Zirka 100 000 Arzt- und Zahnarztpraxen waren Ende Juni an die TI angeschlossen“. Das sind 56,4 Prozent. Viele Ärzte und einige ihrer Verbände lehnen diese TI, die einmal alle Gesundheitsdaten auf zentralen Rechnern speichern soll, seit Jahren ab. Zuletzt forderte der Ärztetag Ende Mai, auf Zwangsanschlüsse zu verzichten. Der Datenschutz sei „unabdingbare Voraussetzung“. Vor allem Psychotherapeuten weigern sich, „streng vertrauliche Daten“ in ein Zentralnetz zu stellen. Dies betreffe bereits Diagnosen, Therapieanträge und Behandlungstermine. „Sie unterliegen der Schweigepflicht.“

Zu den Anschlussproblemen erklärt das Spahn-Ministerium, „die Sicherheit der Konnektoren war nicht betroffen“. Zudem habe die Gematik eine „Informationsbroschüre zur sicheren Installation“ an die Dienstleister verschickt. Weitere Maßnahmen würden geprüft. Zur Frage, welche Mängel in wie vielen Praxen konkret entstanden sind, schweigt die Behörde.

Verantwortung unklar

Gesundheitsdaten gehören zu den persönlichsten eines Menschen. Der IT-Experte Jens Ernst empfiehlt Praxisärzten deshalb, eine Datenschutz-Folgeabschätzung vorzunehmen, da die Gematik sich weigere, eine solche vorzulegen. Dadurch sei unklar, wer nach der Datenschutzgrundverordnung (DSGVO) für die Sicherheit der Patientendaten verantwortlich ist. Falle der Test negativ aus, sollten Praxen den Stecker ziehen und den obersten Datenschützer fragen, wie sie weiter verfahren sollen.

Der Ärzteverbund Medi rät, sich eine „korrekte Installation“ bestätigen zu lassen und von der Gematik eine schriftliche Haftungsbefreiung zu verlangen. Verstöße gegen den Datenschutz werden mit hohen Geldbußen belegt. fm