Gesundheitsministerium ignoriert Probleme

Datenlecks in Tausenden Arztpraxen

Das Praxisnetzwerk, an dem bisher rund die Hälfte aller deutschen Arztpraxen hängt, ist total unsicher. Patientendaten sind nicht geschützt. Obwohl das Bundesminsiterium informiert ist, zwingt Gesundheitsminister Spahn noch nicht angeschlossene Praxen dazu, das System einzuführen. FOTO: LR / Andrei_R

Berlin. IT-Experten haben das Netzwerk von Arztpraxen, das hochsensible Gesundheitsdaten schützen soll, auf die Probe gestellt: Ergebnis: absolut unsicher. Das Gesundheitsministerium um Jens Spahn stellt sich taub.

Jens Ernst und sein Sohn Thomas sprechen von einer tickenden Zeitbombe. Sie betreuen mit ihrem Unternehmen Happycomputer mit Sitz in Schwerte mehrere Arztpraxen, vor allem in Nordrhein-Westfalen. Seit April warnen sie Mediziner vor gravierenden Datenschutz-Mängeln ihrer Praxisnetzwerke.

Der Grund: Fehler beim Anschluss an die Telematik-Infrastruktur (TI), das Datennetz fast aller Akteure im Gesundheitswesen. 177 000 Arztpraxen, 2000 Kliniken und Reha-Einrichtungen, 19 500 Apotheken und die Krankenkassen sollen darüber Informationen austauschen. Techniker installieren dafür im Auftrag der Gesellschaft für Telematikanwendungen der Gesundheitskarte (Gematik) einen Konnektor. Er stellt eine verschlüsselte Internet-Verbindung her, um „den Schutz der sensiblen Informationen langfristig zu gewährleisten“, erklärt die Firma. Zudem hat das Bundesamt für Sicherheit in der Informationstechnik das Gerät zertifiziert.

Arztpraxen nicht sicher

Die Ernsts gehen davon aus, „dass die meisten Arztpraxen derzeit nicht sicher ans Internet angeschlossen sind“. Da ist zum einen die Firewall des Konnektors. „Es hat mich 20 Sekunden meiner Lebenszeit gekostet, dieses Schutzsystem in internen Tests zu hacken“, sagt Johannes Ernst. Einen Testvirus konnte der Vater „unerkannt und problemlos über die TI ins Praxisnetz transferieren“.

Er hat zahlreiche Installationen geprüft: Egal, wie die Geräte angeschlossen wurden, die Praxen erfüllen nur ganz selten den „Grundschutz für Datensicherheit“. Für Gesundheitsdaten sind aber hohe Standards erforderlich. Selbst, wenn sie das interne Netz vom Internet durch eine Hardware-Firewall getrennt hätten, blieben Datenzugänge offen, weil Programmierinformationen als geheim eingestuft und IT-Dienstleistern nicht mitgeteilt wurden. Sie hätten diese aber gebraucht, um den Schutz zu aktivieren.

Gesundheitsnetz nicht auf dem Stand der Technik

IT-Experte Martin Mayr bestätigt das. Der Chef des Systemhauses Ulm, das Arztpraxen betreut, sagt über das Gesundheitsnetz: „Die Architektur des Netzwerks ist mindestens zehn Jahre alt.“ Es werde den heutigen Ansprüchen weder gerecht noch sei es auf dem Stand der Technik. „Da wird alter Schrott installiert“. Dies sei den Verantwortlichen in Berlin klar.

Ermitteln, wie viele Praxisrechner schutzlos am Internet hängen, will die Gematik aber nicht. Sie bleibt bei ihrer These, es handle sich um Einzelfälle. Datenschutzbeauftragte des Bundes und Nordrhein-Westfalens erklärten sich für unzuständig, berichtet Jens Ernst. Er hat Behördenvertretern die Missstände vorgeführt. Sie nahmen dies zur Kenntnis. Mehr nicht.

Gesundheitsministerium zwingt Praxen zu Gesundheitsnetz

Im Gegenteil. Bundesgesundheitsminister Jens Spahn (CDU) setzt den Anschluss ans Gesundheitsnetz mit Sanktionen durch. Arztpraxen, die sich bis Ende Juni nicht angeschlossen oder bis April einen Konnektor bestellt hatten, verloren ein Prozent ihres Honorars. Der Honorarabzug wird auf 2,5 Prozent erhöht für Ärzte, die bis März 2020 keinen Konnektor installiert haben. Das Bundeskabinett hat die Strafverschärfung bereits gebilligt.

Spahn hat zudem die Mehrheit am Stammkapital der Gematik für 510 000 Euro gekauft, einen Manager aus der Pharmabranche zum neuen Geschäftsführer bestellt und mit Ausbau und Betrieb des Gesundheitsnetzes die Arvato Systems GmbH, eine Tochter des Bertelsmann-Konzerns, beauftragt – zunächst bis Juni 2027. Die Firma ist seit 2013 für den Datenverkehr rund um die elektronische Gesundheitskarte verantwortlich. Kritiker wiesen schon damals auf Interessenskonflikte innerhalb der Firma hin, zu dem mit der AZ Direkt ein großer Adresshändler gehört, und die Arvato-Tochter Infoscore bietet Inkassoservice sowie Wirtschafts- und Bonitätsauskünfte an.

Ärzte lehnen Gesundheitssystem ab

Spahns Druck beugen sich längst nicht alle Ärzte. Auf Anfrage des FDP-Abgeordneten Wieland Schinnenburg nennt sein Ministerium Anfang Juli Zahlen: „Zirka 100 000 Arzt- und Zahnarztpraxen waren Ende Juni an die TI angeschlossen“. Das sind 56,4 Prozent. Viele Ärzte und einige ihrer Verbände lehnen diese TI, die alle Gesundheitsdaten auf zentralen Rechnern speichern soll, seit Jahren ab. Zuletzt forderte der Ärztetag Ende Mai, auf Zwangsanschlüsse zu verzichten. Der Datenschutz sei „unabdingbare Voraussetzung“. Vor allem Psychotherapeuten weigern sich, „streng vertrauliche Daten“ in ein Zentralnetz zu stellen. Dies betreffe bereits Diagnosen, Therapieanträge und Behandlungstermine. „Sie unterliegen der Schweigepflicht.“

Zu den Anschlussproblemen erklärt das Spahn-Ministerium, „die Sicherheit der Konnektoren war nicht betroffen“. Zudem habe die Gematik eine „Informationsbroschüre zur sicheren Installation“ an die Dienstleister verschickt. Weitere Maßnahmen würden geprüft. Zur Frage, welche Mängel in wie vielen Praxen konkret entstanden sind, schweigt die Behörde.