Da haben wir den Salat: Die Daten von zahlreichen Politikern sind von einem Schüler (!) gehackt und verbreitet worden. So bedauerlich und ärgerlich das für die Betroffenen ist, kommt dies gerade recht. Denn spätestens jetzt dürfte auch dem letzten Politiker klar sein, dass datensicherheitstechnisch noch einige Hausaufgaben zu erledigen sind, bevor man sich in die Totaldigitalisierung sensibler Gesundheitsdaten stürzt.
Bei aller berechtigten Kritik gilt jedoch: Für Datensicherheit ist zuallererst jeder selbst verantwortlich. Was nützt die ausgeklügeltste Datenschutztechnik, wenn der Nutzer selbst die größte Sicherheitslücke ist. Jens Spahn hat das etwas vereinfacht auf den Punkt gebracht, als er davon sprach, dass es wohl kaum ein Beleg für Mängel in den staatlichen Sicherheitsstrukturen ist, wenn Passwörter wie „123456“ geknackt werden. Das leuchtet
einerseits ein, macht aber auch nachdenklich. Wenn Abgeordnete und Regierungsmitglieder derart sorglos mit persönlichen Daten umgehen, wie sieht das erst bei Otto-Normalverbraucher aus, der eher selten mit sensiblen Regierungsdaten zu tun hat?
Ob es Bequemlichkeit oder schlicht Sorglosigkeit auf User-Seite ist: Man wird Nutzern/Patienten/Ärzten kaum per Gesetz vorschreiben können, wie viel Sorgfalt bei der Wahl eines geeigneten Passworts angebracht ist. Ist auch gar nicht nötig, denn es gibt simple technische Anforderungen, mit denen man Nutzer „zwingen“ kann, ein Passwort zu generieren, das bestimmte Mindeststandards erfüllt. Werden solche simplen Vorkehrungen nicht implementiert, ist das dem Anbieter der Plattform anzukreiden. In diesem Fall ist es dann legitim, den Gesetzgeber aufzufordern, für die digitale Infrastruktur im Gesundheitsbereich solche Mindeststandards verbindlich festzulegen.
Diese erneute Diskussion jedoch nutzen zu wollen, um pauschal sämtliche Bestrebungen der Digitalisierung im
Gesundheitswesen zu bremsen, dürfte zum Scheitern verurteilt sein. Dass elektronische Patientenakten sinnvoll sind, zeigen nicht zuletzt die Erfahrungen
unserer europäischen Nachbarn. Auch dort ist – möglicherweise – nicht von Anfang an alles richtig gemacht worden, aber man hat schnell dazugelernt und die Systeme an wachsende Anforderungen adaptiert. Im Ergebnis profitieren dort mittlerweile die Akteure des Gesundheitswesens und Patienten gleichermaßen vom Austausch digitaler Daten – immer vorausgesetzt, dass der Wunsch, Herr über seine Daten zu sein, mit der nötigen Sorgfalt auf Nutzerseite verbunden ist, ein Maximum an Sicherheit zu erreichen.
Was die Anbieter von Plattformen zur Verwaltung sensibler Gesundheitsdaten tun müssen, um maximale Datensicherheit gewährleisten zu können, sollte verbindlich festgelegt werden. Ebenso sollte verbindlich festgelegt werden, dass Sicherheitsstandards regelmäßig auf den Prüfstand gestellt werden. Zu schnell ändern sich technische Möglichkeiten, zu schnell finden Datendiebe immer wieder neue Möglichkeiten, Sicherheitslücken aufzuspüren und auszunutzen – ein permanenter Wettlauf.
Datensicherheit ist nicht allein eine Sache digitaler Infrastruktur, sie beginnt bei jedem Einzelnen, zum Beispiel mit einem sicheren Passwort.