Im Fokus: Großbritannien und der Datenschutz - aus Fehlern gelernt
In Großbritannien beschäftigen wir uns mit dem Datenschutz. Die Briten haben eine landesweite Cyber-Security-Strategie initiiert.
Die britischen Inseln haben schon einige Skandale um Datenlecks im Gesundheitssystem durchlitten. Aber das Gesundheitssystem hat aus den Fehlern beim Datenschutz gelernt. In Arbeit ist inzwischen eine einheitliche Cybersicherheitsstrategie, die ab 2030 alle Sektoren der Gesundheitsversorgung erfassen soll. Davon ist Deutschland weit entfernt. Deshalb machen wir auf dieser virtuellen Reise nun Halt in Großbritannien.
Auch wenn die Platzierung auf Rang sechs im Digital Health Index anderes suggeriert, gibt es im Vereinigten Königreich weiter Akzeptanzprobleme im Umgang mit digitaler Technologie im Gesundheitswesen. Ein Grund dafür könnten laut Prof. Dr. Dennis-Kenji Kipker von der Universität Bremen unter anderem die Nachwirkungen eines Big-Data-Projekts aus dem Jahr 2014 sein. 80 Prozent der Bevölkerung hatten damals die Kontrolle über ihre Daten verloren, denn die sensiblen personenbezogenen Daten wurden an Dritte weitergegeben, ohne dass die Betroffenen davon wussten.
Zentrale Steuerung für sichere Netzwerke
So wie Gesundheitseinrichtungen in anderen Ländern auch sehen sich britische Institutionen heutzutage mehr denn je Attacken von Hackern ausgesetzt. Zum Beispiel griffen Kriminelle im Sommer 2023 das IT-System des Bart Health NHS Trusts an, eines Krankenhausbetreibers in London mit über 2,5 Millionen Patientinnen und Patienten Die Eindringlinge forderten ein Lösegeld. 70 Terabyte an sensiblen Daten wie vertrauliche E-Mails hatten sie widerrechtlich an sich gebracht.
„Im internationalen Vergleich hat Großbritannien verhältnismäßig strenge Datenschutzstandards“, erklärt Professor Kipker. „Datenlecks lassen sich nie ausschließen, aber zumindest die Risiken können minimiert werden.“ Und das Land hat umfassend Konsequenzen gezogen und zentrale Institutionen für eine verbesserte Cybersicherheit eingerichtet. Das NHS Cyber Security Operations Centre (NHS CSOC) hat die Aufgabe, den Akteuren im Gesundheitswesen in Echtzeit Schutz vor verdächtigen Aktivitäten zu bieten und Maßnahmen für das Cybersicherheitsmanagement zu definieren.11 2030 soll eine neue, umfassende Cyberstrategie fertig sein, die die Sicherheitsstandards weiter erhöht.
SBK-IT-Experte Christian Ullrich ist überzeugt, dass auch wir in Deutschland entsprechende Maßnahmen brauchen: „Unser Gesundheitswesen hat eine enorme gesellschaftliche Bedeutung. Es sorgt dafür, dass wir im Krankheitsfall bestmöglich versorgt und finanziell abgesichert sind. Das ist von unschätzbarem Wert und muss bestmöglich geschützt werden.“ Wofür auch Großbritannien allerdings aus seiner Sicht kein Patentrezept hat, sind die analogen Notfallprozesse. „Beispielsweise können im Falle von Cyberangriffen digitale Prozesse in Gesundheitseinrichtungen nicht einfach analog abgewickelt werden“, so Ullrich. „Hier haben beide Länder noch Entwicklungspotenzial.“
Sanktionen bei fehlender Datenfreigabe
Trotz der Skandale rund um die Cybersicherheit ist die digitale Patientenakte mittlerweile die am häufigsten genutzte, verifizierte Datenbank für die Primärversorgung in Großbritannien.12 Denn für Briten wie den ebenfalls 54-jährigen Peter aus London überwiegen letztlich die Vorteile einer zentralen Datensammelstelle. Er hat keinen Gebrauch von der Opt-out-Option seiner Gesundheitsakte gemacht. Bei sämtlichen Terminen sind so seine Ärztinnen und Ärzte umfassend über seine Krankengeschichte informiert. Sollte er ein Rezept oder einen Termin benötigen, kann er dies unkompliziert online beantragen.
„Der Gebrauch von digitalen Gesundheitstechnologien ist im Vereinigten Königreich freiwillig. Das muss immer wieder betont werden“, sagt der Bremer Wissenschaftler. „Versicherte können eigenständig entscheiden, welche Daten sie teilen wollen und mit wem.“ Hausarztpraxen und medizinische Fachkräfte können bei Einwilligung in den Summary Care Record (SCR) auf Basisinformationen wie Allergien und Medikamente zugreifen. Wer will, kann auch sensiblere Informationen wie die medizinische Vorgeschichte oder Gründe für die Einnahme bestimmter Medikamente speichern. Auch was die Datenfreigabe zu Forschungs- und Planungszwecken angeht, können die Briten selbst entscheiden, ob sie dieser zustimmen. Es gibt nur wenige Ausnahmen, die die persönliche Entscheidung außer Kraft setzen können – wie zum Beispiel ein übergeordnetes öffentliches Interesse. Andererseits gibt es ebenfalls die Option, sich komplett gegen eine Freigabe seiner persönlichen Gesundheitsdaten auszusprechen. Der Widerspruch wird aber vom Gesundheitssystem sanktioniert. Man kann dann weder den elektronischen Rezeptdienst noch die elektronische Überweisung nutzen.
Fortschritt durch Daten
Für Briten wie Peter, dessen Mutter an Multipler Sklerose verstarb, ist es eine Herzensangelegenheit, dass er mit seinen Gesundheitsdaten einen Beitrag zur aktuellen Erforschung von Krankheiten leisten kann. Das britische Reglement gibt den Forscherinnen und Forschern hier ausreichend Spielraum, um die gesammelten Daten auszuwerten. Das Land gehörte während der Corona-Pandemie zu den Vorreitern, als es um die Analyse des Infektionsgeschehens und die Ableitung zielgerichteter Maßnahmen ging. In Deutschland tut man sich mit der Datennutzung in allen Bereichen, auch in der Forschung, schwer, die Vorgaben des Gesetzgebers sind rigide. Doch die Situation dürfte sich auch hierzulande allmählich ändern. „Durch das Digitalgesetz in Verbindung mit dem Gesundheitsdatennutzungsgesetz und der ePA können Forschende in Zukunft auf mehr Gesundheitsdaten zugreifen“, so Kipker.
"Uns fehlt eine übergeordnete Security-Strategie für das ganze Gesundheitswesen“
Das deutsche Gesundheitswesen unterscheidet sich deutlich vom britischen National Health Service. Warum lohnt sich dennoch ein Vergleich?
Es lohnt sich vor allem ein Blick auf Datennutzung und Datenschutz. Der NHS hat uns einiges voraus, was große Datenprojekte angeht. Auch wenn nicht immer alles glatt gelaufen ist, so haben die Briten daraus gelernt. Der NHS verfügt über ein eigenes Cyber Security Operations Centre, das verdächtige Aktivitäten in Echtzeit überwacht, auf Sicherheitsvorfälle reagiert und Beratung sowie Unterstützung in der Informationssicherheit anbietet.
Cybersicherheit ist auch bei uns ein zentraler Faktor. Wie weit sind wir in Deutschland?
Wir haben noch einen langen Weg zu gehen, in allen Sektoren des Gesundheitssystems. Bei den Krankenkassen machen wir erste Schritte mit dem Digitalgesetz und den darin verabschiedeten Regelungen. Bisher galten nur sehr große Krankenkassen als kritische Infrastruktur, die Auflagen in Richtung IT-Sicherheit zu erfüllen haben. Ab 2024 gelten diese Regelungen bereits für Kassen mit 500.000 Versicherten und mehr. Mit dem Digitalgesetz werden zudem auch Vorgaben für kleine Krankenkassen gemacht. Diese sind zwar weniger umfangreich, aber immerhin.
Und in den anderen Sektoren?
Krankenhäuser, Arztpraxen, Apotheken und viele andere Leistungserbringende arbeiten ebenfalls digital. In Großbritannien soll bis 2030 eine übergeordnete Security-Strategie definiert werden. Auch wir brauchen ein breit angelegtes Konzept – dafür müssen Rahmenbedingungen in der Politik geschaffen werden. Wir brauchen Systeme und Datenströme, die unabhängig voneinander funktionieren. Dann wäre bei einem Ausfall der IT nicht gleich die gesamte Infrastruktur betroffen. Das Wichtigste dabei: Die Versorgung der Menschen muss sichergestellt sein. Und wir brauchen auch im Kleinen – bei jedem Leistungserbringenden, jeder Krankenkasse, jeder Apotheke – das Bewusstsein und das Wissen darüber, wie wichtig IT-Security ist. Nicht jede Ärztin oder jeder Arzt kann IT-Experte sein. Aber die Verantwortlichkeiten und Prozesse für die Sicherheitsinfrastruktur müssen klar geregelt sein.
Kann es denn vollkommene Sicherheit geben?
Es gibt jedenfalls keine Alternative dazu, sich bestmöglich für den Ernstfall vorzubereiten. Kleinere, kürzere Ausfälle hat das Gesundheitssystem bereits erlebt und auch überstanden. Auf die Eventualität einer groß angelegten Betriebsunterbrechung müssen wir uns noch besser vorbereiten. Wann dürfen die IT-Systeme wieder hochgefahren werden? Wie gehen wir mit den Folgen um, zum Beispiel, wenn Meldefristen betroffen sind? Klar ist: Betriebsunterbrechungen sollten möglichst kurz sein. Die Versorgung muss auch unabhängig davon sichergestellt sein. Und die Bürokratie rund um Notfallprozesse muss so gestaltet sein, dass sie zur Lösung beiträgt. Auch das Risikomanagement und die bereits angeführte Trennung der Systeme und Datenströme müssen wir gesetzlich regeln. Uns Krankenkassen sehe ich hier unter anderem in einer tragenden Rolle, weil wir die Zahlungsströme verantworten und damit die Handlungsfähigkeit der einzelnen Akteure sicherstellen.
Kleine Schritte, großer Wurf
In Deutschland bewegt sich die Digitalisierung im komplexen Zusammenspiel von Krankenkassen, Leistungserbringenden und politisch Verantwortlichen voran, manchmal auch wieder zurück. Das britische Beispiel zeigt, dass die Rollen auch anders verteilt sein können. Zwar hat die Regierung in Richtungsfragen wie der künftigen Ausstattung der digitalen Infrastruktur im Gesundheitssektor und auch beim Thema Finanzierung das letzte Wort. Dennoch agiert der National Health Service, der die Funktion der gesetzlichen Krankenkassen übernimmt, nicht als reiner Kostenträger, sondern entwickelt das Gesundheitswesen aktiv.
Die Digitalisierung gestaltet der NHS in hohem Maße selbstverantwortlich und sorgt dafür, dass praxisgerechte Lösungen gefunden werden. So ist zum Beispiel mit dem zentralen Management der Cybersicherheit gelungen, die richtigen Konsequenzen aus Datenlecks zu ziehen. Neue innovative Technologien werden im Gesundheitswesen etabliert und Fragen der Datensicherheit durch eine übergreifende Strategie so beantwortet, dass sie auch im Alltag funktionieren.
Und natürlich hat sich auch der NHS schon mit großen Digitalisierungsprojekten verhoben. So misslang 2005 der erste Anlauf, mit dem Programm „NHS Connecting for Health“ eine zentralisierte elektronische Patientenakte auf die Beine zu stellen. Die Schwächen reichten von mangelnder Beratung der Politik durch Experten im Vorfeld und Datenschutzprobleme über Schwierigkeiten mit Vertriebspartnern bis zum überhöhten Tempo im Vorgehen. Hinzu kam, dass das Projekt auf eine enorm lange Zeit angelegt war und damit die Gefahr gegeben war, dass die Planungen von neuen Technologien und Entwicklungen überholt werden.
Aus diesen Erfahrungen auf der Insel können wir in Deutschland in zweifacher Hinsicht lernen:
- Punkt eins: Wir müssen Verantwortlichkeiten und Zusammenarbeit im deutschen Gesundheitswesen auf den Prüfstand stellen. In einer idealen „Digitalisierungswelt“ gibt die Politik zukünftig lediglich die Richtung vor und regelt keine Details der Umsetzung mehr. Die gematik führt das Anforderungsmanagement durch, erstellt die Spezifikationen und übernimmt eine koordinierende Rolle. Und die digitalen Services selbst werden von denen entwickelt, die sie im Versorgungsalltag nutzen. Krankenkassen und Leistungserbringende können dann gemeinsam daran arbeiten, sinnvolle Angebote bereitzustellen.
- Punkt zwei: Der ganz große Wurf ist nicht immer der richtige Weg zum Erfolg. Kleinere Projekte, Schritt für Schritt weiterentwickelt, sind vielversprechender, um Digitalisierungsziele zu erreichen.
Die hier zur Verfügung gestellten Inhalte dürfen, unter Angabe der Quelle SBK Siemens-Betriebskrankenkasse, veröffentlicht werden.
