Die britischen Inseln haben schon einige Skandale um Datenlecks im Gesundheitssystem durchlitten. Aber das Gesundheitssystem hat aus den Fehlern beim Datenschutz gelernt. In Arbeit ist inzwischen eine einheitliche Cybersicherheitsstrategie, die ab 2030 alle Sektoren der Gesundheitsversorgung erfassen soll. Davon ist Deutschland weit entfernt. Deshalb machen wir auf dieser virtuellen Reise nun Halt in Großbritannien.
Auch wenn die Platzierung auf Rang sechs im Digital Health Index anderes suggeriert, gibt es im Vereinigten Königreich weiter Akzeptanzprobleme im Umgang mit digitaler Technologie im Gesundheitswesen. Ein Grund dafür könnten laut Prof. Dr. Dennis-Kenji Kipker von der Universität Bremen unter anderem die Nachwirkungen eines Big-Data-Projekts aus dem Jahr 2014 sein. 80 Prozent der Bevölkerung hatten damals die Kontrolle über ihre Daten verloren, denn die sensiblen personenbezogenen Daten wurden an Dritte weitergegeben, ohne dass die Betroffenen davon wussten.
Zentrale Steuerung für sichere Netzwerke
So wie Gesundheitseinrichtungen in anderen Ländern auch sehen sich britische Institutionen heutzutage mehr denn je Attacken von Hackern ausgesetzt. Zum Beispiel griffen Kriminelle im Sommer 2023 das IT-System des Bart Health NHS Trusts an, eines Krankenhausbetreibers in London mit über 2,5 Millionen Patientinnen und Patienten Die Eindringlinge forderten ein Lösegeld. 70 Terabyte an sensiblen Daten wie vertrauliche E-Mails hatten sie widerrechtlich an sich gebracht.
„Im internationalen Vergleich hat Großbritannien verhältnismäßig strenge Datenschutzstandards“, erklärt Professor Kipker. „Datenlecks lassen sich nie ausschließen, aber zumindest die Risiken können minimiert werden.“ Und das Land hat umfassend Konsequenzen gezogen und zentrale Institutionen für eine verbesserte Cybersicherheit eingerichtet. Das NHS Cyber Security Operations Centre (NHS CSOC) hat die Aufgabe, den Akteuren im Gesundheitswesen in Echtzeit Schutz vor verdächtigen Aktivitäten zu bieten und Maßnahmen für das Cybersicherheitsmanagement zu definieren.11 2030 soll eine neue, umfassende Cyberstrategie fertig sein, die die Sicherheitsstandards weiter erhöht.
SBK-IT-Experte Christian Ullrich ist überzeugt, dass auch wir in Deutschland entsprechende Maßnahmen brauchen: „Unser Gesundheitswesen hat eine enorme gesellschaftliche Bedeutung. Es sorgt dafür, dass wir im Krankheitsfall bestmöglich versorgt und finanziell abgesichert sind. Das ist von unschätzbarem Wert und muss bestmöglich geschützt werden.“ Wofür auch Großbritannien allerdings aus seiner Sicht kein Patentrezept hat, sind die analogen Notfallprozesse. „Beispielsweise können im Falle von Cyberangriffen digitale Prozesse in Gesundheitseinrichtungen nicht einfach analog abgewickelt werden“, so Ullrich. „Hier haben beide Länder noch Entwicklungspotenzial.“
Sanktionen bei fehlender Datenfreigabe
Trotz der Skandale rund um die Cybersicherheit ist die digitale Patientenakte mittlerweile die am häufigsten genutzte, verifizierte Datenbank für die Primärversorgung in Großbritannien.12 Denn für Briten wie den ebenfalls 54-jährigen Peter aus London überwiegen letztlich die Vorteile einer zentralen Datensammelstelle. Er hat keinen Gebrauch von der Opt-out-Option seiner Gesundheitsakte gemacht. Bei sämtlichen Terminen sind so seine Ärztinnen und Ärzte umfassend über seine Krankengeschichte informiert. Sollte er ein Rezept oder einen Termin benötigen, kann er dies unkompliziert online beantragen.
„Der Gebrauch von digitalen Gesundheitstechnologien ist im Vereinigten Königreich freiwillig. Das muss immer wieder betont werden“, sagt der Bremer Wissenschaftler. „Versicherte können eigenständig entscheiden, welche Daten sie teilen wollen und mit wem.“ Hausarztpraxen und medizinische Fachkräfte können bei Einwilligung in den Summary Care Record (SCR) auf Basisinformationen wie Allergien und Medikamente zugreifen. Wer will, kann auch sensiblere Informationen wie die medizinische Vorgeschichte oder Gründe für die Einnahme bestimmter Medikamente speichern. Auch was die Datenfreigabe zu Forschungs- und Planungszwecken angeht, können die Briten selbst entscheiden, ob sie dieser zustimmen. Es gibt nur wenige Ausnahmen, die die persönliche Entscheidung außer Kraft setzen können – wie zum Beispiel ein übergeordnetes öffentliches Interesse. Andererseits gibt es ebenfalls die Option, sich komplett gegen eine Freigabe seiner persönlichen Gesundheitsdaten auszusprechen. Der Widerspruch wird aber vom Gesundheitssystem sanktioniert. Man kann dann weder den elektronischen Rezeptdienst noch die elektronische Überweisung nutzen.
Fortschritt durch Daten
Für Briten wie Peter, dessen Mutter an Multipler Sklerose verstarb, ist es eine Herzensangelegenheit, dass er mit seinen Gesundheitsdaten einen Beitrag zur aktuellen Erforschung von Krankheiten leisten kann. Das britische Reglement gibt den Forscherinnen und Forschern hier ausreichend Spielraum, um die gesammelten Daten auszuwerten. Das Land gehörte während der Corona-Pandemie zu den Vorreitern, als es um die Analyse des Infektionsgeschehens und die Ableitung zielgerichteter Maßnahmen ging. In Deutschland tut man sich mit der Datennutzung in allen Bereichen, auch in der Forschung, schwer, die Vorgaben des Gesetzgebers sind rigide. Doch die Situation dürfte sich auch hierzulande allmählich ändern. „Durch das Digitalgesetz in Verbindung mit dem Gesundheitsdatennutzungsgesetz und der ePA können Forschende in Zukunft auf mehr Gesundheitsdaten zugreifen“, so Kipker.