Alle Beiträge von Jan

37C3 – Hacker sind unsere Freunde

Der 37. Kongress des Chaos Computer Clubs verbirgt sich hinter der Abkürzung 37C3. Er fand wie immer zwischen Weihnachten und Silvester statt, das erste Mal nach der Pandemie, jetzt wieder in Hamburg. (Während der Renovierung des Congress Center Hamburg (CCH) war der Kongress in Leipzig, wo mehr Platz war).

Erfreulich: Fünf gute Veranstaltungen zur Datenverarbeitung in der Medizin. Einen politischen Überblick durften sich hunderte Teilnehmende in dieser Veranstaltung von Daniel Leisegang und Bianca Kastl abholen:

37C3 – Hacker sind unsere Freunde weiterlesen

Bündnis zum Thema EPA Opt-Out gegründet

Wir (Patientenrechte und Datenschutz e.V.) haben den Versuch unternommen, ein Bündnis zum Thema “opt-out bei der elektronischen Patientenakte” auf die Beine zu stellen. Es soll nach unserer Vorstellung Informationen zum Thema verbreiten, zB. durch online Veranstaltung, und einen “opt-out Generator” anbieten, ähnlich unserem Generator für Krankenkassen-Anfragen. Am 29.11.2023 trafen sich 19 Personen bei einer ersten Videokonferenz. Folgende Organisationen waren vertreten: wir selbst, Die Datenschützer Rhein Main, Patientendatenschützer Rhein Main, Bündnis für Datenschutz und Schweigepflicht, Freie Ärzteschaft, Gen-ethisches Netzwerk, Datenanfragen.de, Forum InformatikerInnen für Frieden und Gesellschaftliche Verantwortung.

Wir hatten einen kurzen Info-Block vorbereitet und dort vorgestellt. Anschliessend wurden Handlungs-Optionen besprochen:

  • Opt-Out Generator + Info-Plattform (Bildung einer Unter-AG zur technischen und organisatorischen Vorbereitung)
  • online-Veranstaltung zum Thema.
  • E-Mail-Verteiler für die aktiven Teilnehmer an dieser Initiative: Wir richten dazu eine Gruppenliste ein.
  • Der nächste Termin für dieses Bündnis ist am 23.01.2024 geplant.

Wer bei einer Aktivität mitmachen möchte, schreibt bitte eine E-Mail an kontakt (at) patientenrechte-datenschutz.de .

Neue Gesetzentwürfe aus Berlin und Brüssel – Gefahr für Patientenrechte

Aus dem Gesundheitsministerium liegen jetzt Gesetzentwürfe für das “Gesundheitsdaten-Nutzungsgesetz” und das “Gesetz zur Beschleunigung der Digitalisierung im Gesundheitswesen” vor. Beide Entwürfe sind von fragenstaat.de hier veröffentlicht. Einen sehr guten Überblick über beide Gesetzentwürfe findet man in dieser Präsentation: DigiG und GDNG_2 Wesentlich ist, dass die Gesundheitsdaten aller PatientInnen gespeichert werden sollen in  elektronischen Patientenakten auf zentralen Servern. Sie sollen für weit gespannte Forschungszwecke zur Verfügung stehen. Nur durch einen ausdrücklichen Widerspruch sollen PatientInnen das verhindern können. Neue Gesetzentwürfe aus Berlin und Brüssel – Gefahr für Patientenrechte weiterlesen

Appell zum Projekt “Europäischer Gesundheits-Datenraum” (EHDS)

Die Kommission der Europäischen Union hat den Vorschlag zu einem “Europäischen Gesundheitsdatenraum” eingebracht. (Abkürzung EHDS, European Health Data Space). Er wird dort derzeit unter anderem im LIBE Ausschuss (für bürgerliche Freiheiten, Justiz und Inneres) des EU Parlaments diskutiert. Eine erste Stellungnahme von uns dazu findet man hier. Unser Verein hat letzte Woche alle Mitglieder des LIBE Ausschusses und ihre MitarbeiterInnen angeschrieben. Anliegend der Wortlaut unserer aktuellen Eingabe.

Stellungnahme

Abstract:

Der Verordnungsvorschlag zum European Health Data Space (EHDS) soll angeblich Patienten dienen, neue Rechte und Vorteile bieten. Tatsächlich wird ein “Binnenmarkt” für persönliche Gesundheitsinformationen geschaffen, indem diese über zentrale Speicherung technisch organisiert und vor allem für Dritte verfügbar gemacht werden.
PatientInnen müssen befürchten, dass ihre besonders schützenswerten medizinischen Daten unberechtigten Personen in die Hände fallen. Darunter leidet das Vertrauen zu ÄrztInnen und anderen professionellen HelferInnen – und gefährdet die Grundlage jeder Heilbehandlung.
Die zentrale Speicherung ist unnötig, da auch dezentrale Systeme möglich und umsetzbar wären. Zudem ist die elektronische Patientenakte nicht in der Hand des Betroffenen, sondern wird durch Dritte verwaltet.
In dieser Form ist dem gesamten Konzept aus Patientensicht zu widersprechen.
Insbesondere sehen wir die folgenden Punkte als besonders kritisch an:

Appell zum Projekt “Europäischer Gesundheits-Datenraum” (EHDS) weiterlesen

EHDS Informationsportal

Eine Initiative, die aus dem Arbeitskreis Vorratsdatenspeicherung hervorgegangen ist, hat hier begonnen, ein Informationsportal zum Thema Europäischer Gesundheitsdatenraum (European Health Data Space) aufzubauen. Dort befinden sich bereits eine Vielzahl von Links, Artikeln und Stellungnahmen dazu.

Die Ähnlichkeit zu dieser Seite ist kein Zufall, denn Mitglieder unseres Vereins arbeiten dort mit, und wir stellen unsere Infrastrukturs dafür zur Verfügung.

EU Gesundheitsdatenraum – Kommerzialisierung von Patientendaten ohne Widerspruch

Die EU-Kommission hat den Entwurf einer Verordnung vorgelegt, der es in sich hat. Danach sollen alle Bürgerinnen und Bürger automatisch elektronische Patientenakten erhalten, ohne Möglichkeit zum Widerspruch. Sämtliche größeren Sammlungen von Patientendaten in der EU, z.B. bei Anbietern dieser Patientenakten, bei Krankenkassen, Privatversicherungen, Krankenhäusern und größeren Arztpraxen, sollen zur Nutzung u.a. durch die Pharma-Industrie freigegeben werden.

Diese Nutzung soll, wenn es in der Daten-Anforderung der Interessenten als notwendig dargestellt wird, mit pseudonymisierten Daten erfolgen, d.h. mit Daten, bei denen lediglich der Name durch ein Kennzeichen ersetzt wird. Damit ist es ohne Weiteres möglich, betroffene Personen zu identifizieren. Das hat ein Gutachten des Kryptografie-Professors Dominique Schröder deutlich aufgezeigt.

Der Verordnungsentwurf wird derzeit im EU-Parlament und im Rat der EU diskutiert, die Verordnung soll 2023 verabschiedet werden und 2024 in Kraft treten.

Eine Arbeitsgruppe des “Arbeitskreises Vorratsdatenspeicherung” hat dazu eine Dokumentation und den Entwurf einer Stellungnahme erstellt, die u.a. auf unseren Webseiten veröffentlicht sind. Es ist erforderlich, ein breites, europaweites Bündnis gegen diese Absichten zu sammeln.

Forschen mit Gesundheitsdaten

Unter dem Titel “Symposium zur Forschung mit Gesundheitsdaten” fand am 03.11.22 in Berlin eine Veranstaltung des Bundesbeauftragten für Datenschutz und Informationsfreiheit – Prof. Kelber – statt, die man Online verfolgen konnte. Sie war äußerst interessant. Das Veranstaltungsprogramm ist hier.

Im ersten Vortrag beschrieb Dr. Susanne Ozegowski, die neue Leiterin der Abteilung für Digitalisierung und Innovation im Bundesministerium für Gesundheit (BMG), ihre Strategie in Bezug auf die Bereitstellung von Gesundheitsdaten für Forschungszwecke. Man weiß jetzt, dass sich das BMG auch weiterhin “im Rausch der Daten” befindet. Dort gilt die weitestmögliche Verbreitung der Gesundheitsdaten der Versicherten über elektronische Medien nach wie vor als Patentrezept zur Lösung der meisten Menschheitsprobleme, wie schon unter Jens Spahn. Selbst wenn der EU-“Gesundheitsdatenraum“, der von der EU-Kommission geplant ist, und der im Parlament und Rat der EU derzeit beraten wird, kommt –  Frau Ozegowski will trotzdem noch das geplante “Gesundheits-Datennutzungsgesetz” auf den Weg bringen, das dieser Regelung vorgreifen soll, damit es schneller geht. Nach dem Motto, 80 Millionen Patientenakten für alles Mögliche bereitstellen ist gut, 540 Millionen Patientenakten sind noch besser.

Im nächsten Vortrag stellte der bayerische Landesbeauftragte für Datenschutz Prof. Dr. Petri die EU-Verordnung zum Gesundheitsdatenraum und seine Kritik daran vor. Die Verpflichtungen aller Stellen, die über Patientendaten verfügen, gehen ihm zu weit, die Informations- und Widerspruchsrechte der Betroffenen nicht weit genug.

Es schlossen sich moderierte Diskussionen an, die wir hier nicht wiedergeben können. Interessant war, dass überregionale Forschungsvorhaben durch die Tatsache behindert wurden, dass wir in Deutschland 17 Datenschutz-Aufsichtsbehörden haben. Es überwog der Eindruck, dass eine sinnvolle Forschung mit Patientendaten nach derzeitigem Rechtsstand problemlos möglich sei, zumindest wenn man die Aufsichtsbehörden rechtzeitig kontaktiert. Seltsam waren behauptete maßlose Forderungen von KI-Forschenden, die angeblich gegen ein Widerspruchsrecht der Betroffenen wären, damit ihre Daten nicht verzerrt werden. Denn sie müssten immer 100 % haben. Aber 100 % von was? Das blieb offen!

Die Aufzeichnung der Veranstaltung ist hier. Bei Interesse an Forschungsdaten ansehen!

Abzock-Masche von CGM und Gematik läuft weiter

Wir hatten von der  “endlosen Realsatire” berichtet, dass aus unseren Krankenversicherungs-Beiträgen 400 Mio EUR verwendet werden sollen, um in allen deutschen Arztpraxen Router auszutauschen: “Konnektoren”, über die die Arztpraxen mit der Telematik-Infrastruktur verbunden sind. Sie benötigen diese Konnektoren vor allem, um einmal im Quartal die Elektronische Gesundheitskarte aller Patient:innen online zu überprüfen. Anfangs hatte die Koblenzer Firma CGM (Compu Group Medical) das Monopol für diese Konnektoren, später kamen andere Hersteller dazu. Die Konnektoren, die jetzt ausgetauscht werden sollen, sind die von CGM. Abzock-Masche von CGM und Gematik läuft weiter weiterlesen

Pannenfabrik Gematik – das System dahinter

Die Gematik ist die Projektgesellschaft für die Digitalisierung des Gesundheitsbereichs. Seit 15 Jahren verspricht sie mit vielen bunten Bildern, dass nächstes Jahr alles anders wird: elektronische Rezepte, elektronische Patientenakten und vieles mehr wird es sehr bald geben.

Zur Zeit steht die Gematik von mehreren Seiten unter Beschuss. IT-Experten zeigen, dass die Gematik-Projekte nicht leisten, was sie sollen. Die elektronische Patientenakte ist nicht sicher, das 400-Millionen-Projekt des Konnektortauschs ist überflüssige Geldverschwendung. Warum ist das so? Es liegt am System.

Über den geplanten Konnektortausch haben wir hier und hier berichtet. Die neueste Entwicklung ist, dass die Gematik am 400-Millionen-Projekt festhält, und die Kassenärztliche Bundesvereinigung nicht dagegen vorgehen wird. Den Kassenärzten, so sagt sie, entsteht kein Schaden, die Krankenkassen zahlen ja. Also alles in bester Ordnung. Neue Analysen zeigen, dass die vorgebrachte technische Notwendigkeit des Konnektor-Tausches von der Gematik schon 2012 fast verhindert worden wäre, diese angebliche Tausch-Notwendigkeit später unter seltsamen Umständen herbeigeführt wurde.

Ähnlich verhält es sich mit der soeben vom Chaos Computer Club nachgewiesenen Unsicherheit der elektronischen Patientenakte (ePA). 2019 hatte der CCC (u.a.: der IT-Sicherheitsforscher Martin Tschirsich) nachgewiesen, dass die Ausgabe-Prozesse der EGK unsicher sind, und es sehr einfach ist, sich die EGK einer anderen Person zu besorgen. Deswegen wurde, in der Ära Spahn, für die Elektronische Patientenakte (ePA) ein zusätzlicher Identitäts-Nachweis gefordert. Die Gematik genehmigte dafür das VideoIdent-Verfahren, obwohl das schon vorher vom Bundeamt für Sicherheit in der Informationstechnik (BSI) als unsicher beurteilt wurde. CCC und Tschirsich zeigten gerade, es ist wirklich sehr unsicher.

Die Krankenkassen zahlen, und zahlen, und zahlen. Solange sie das tun, kann weder CGM noch der Gematik was passieren. Warum tun sie das nur?

Das System dahinter

Für tolle elektronische Innovationen, die den Versicherten zugute kommen sollen, finanzieren die Krankenkassen die Gematik, und eigene Projekte. Die Gematik schreibt selbst keine Programme und stellt keine Hardware her. Auch die Krankenkassen machen das kaum. Beide beauftragen einige Firmen, die seit 2004 jährlich Unsummen damit verdienen, dass sie an einem Gebilde namens “Telematik-Infrastruktur” arbeiten. Die “Telematik-Infrastruktur” soll alle bunten Bilder zur Wirklichkeit machen. Es ist ein kleines Kartell mit großen Namen, das die “Telematik-Infrastruktur im Gesundheitswesen” gestaltet. Seine Beteiligten sind vor allem:

Dazu kommen Chipkarten-Hersteller:

Die Chipkarten-Hersteller durften bisher vier technische Versionen von Elektronischen Gesundheitskarten (EGK) an alle Versicherten verteilen. Die vierte Version (nach den Generationen eins, einsplus und zwei) wird gerade jetzt verteilt. Jeder der 75 Millionen Versicherten der Gesetzlichen Krankenkassen hat schon nacheinander drei verschiedene EGK erhalten, jeweils mit neuen Schlüsseln und Funktionen. Jede EGK hat weiterhin geleistet, was  schon der Vorgänger, die Krankenversichertenkarte (KVK) konnte. Dazu noch vieles andere, vor allem Schlüssel und Verschlüsselung. Die weiter gehende Funktionalität all dieser Karten ist nie genutzt worden. Es waren und sind alles High-Tech Karten mit genialen Funktionen, die auch ziemlich teuer waren, mehrere EUR pro Stück. Es ist aber immer was dazwischen gekommen, deshalb wurden die tollen Funktionen nie genutzt. Ca. 300 Millionen Karten wurden bezahlt, benutzt und weggeworfen.

Das elektronische Rezept hätte es schon mit der ersten  Chipkarten-Generation geben sollen, die ab 2006 verteilt wurde. Wenn das elektronische Rezept schon damals gekommen wäre. Es kam aber nicht. Deshalb konnte und kann man  Generationen einsplus, zwei und drei der EGK verkaufen. Diese noch tolleren und teureren Chipkarten  hätte die Chipkarten-Industrie gar nicht herstellen dürfen, wenn das elektronische Rezept 2006 gekommen wäre. Wenn das E-Rezept mit dieser 1. Generation funktioniert hätte, hätte man so schnell keine tolleren Funktionen für die Chipkarte gebraucht. Das Rezept kam nicht. So konnte die Chipkarten-Industrie über 300 Millionen Super-Hightech-Chipkarten absetzen, die sie nicht hätte absetzen können, wenn es das elektronische Rezept früher gegeben hätte. Jetzt könnte die aufmerksame Leserin das System der “Telematik-Infrastruktur” verstanden haben. Es dient dem oben beschriebenen Firmen-Kartell und dem technischen Fortschritt. Die Telematik-Infrastruktur funktioniert schon die ganze Zeit ganz exzellent. Für diejenigen, für die sie da ist. In diesem Sinne macht die Gematik einen großartigen Job. Im eigenen Umfeld wird die Gematik und ihre Expertise völlig zu Recht hoch geschätzt! “Murphys Gesetz“, die alte IT-Regel, das alles schiefgeht, was schiefgehen kann, ist im System der Gematik keine Störung. Murphys Gesetz ist Teil ihres Geschäftsmodells.

Gematik-Umfeld

Die oben angeführten sechs Firmen, und die Gematik GmbH sind  nur Kern des Systems. Drum herum gibt es ein größeres Umfeld, das von jeder “neuen Generation”, jeder “Innovation” der Gematik profitiert, ohne dass man nennenswerten gestaltenden Einfluss hat. Trotzdem identifiziert man sich meist mit der Gematik und ihren Vorgaben:

Es gibt über 10.000 Menschen in Deutschland, die Vollzeit vom Gematik-System leben. Es werden immer mehr. Wenn irgendeine größere Gematik-Baustelle einmal fertig würde, würden viele von ihnen den Job verlieren, oder Status-Einbußen erleiden. Daher kann sich die Gematik jederzeit auf öffentliche Unterstützung verlassen, falls sie kritisiert wird.

Versagen der Krankenkassen-Selbstverwaltung

Die Ärzteschaft ist schon vielfach gegen die Gematik Sturm gelaufen. Dieser ist nur der aktuellste von jährlichen Beschlüssen der  Ärztetage oder Vertreterversammlungen gegen die Gematik, seit Jahren. Die privaten Krankenversicherungen haben noch nie einen Cent für die Gematik gezahlt, nutzen eine komplett eigene technische Infrastruktur. Obwohl sie jederzeit berechtigt waren oder sind, gegen ein geringes Entgelt die Telematik-Infrastruktur der Gematik zu nutzen. (Ihre Mitspracherechte nutzen sie selbstverständlich.)

Die Krankenkassen haben 24,9 % der Anteile an der Gematik, und zahlen 100 % ihrer Kosten. Zusätzlich zahlen sie die mittelbar von der Gematik veranlassten Kosten: erstens die bei ihnen selbst veranlassten Kosten (z.B. neue Chipkarten), zweitens die Kosten der Ärzt:innen und sonstigen Leistungserbringer. (z.B. Konnektoren). Nutzen für die Versicherten, seit 2004: keiner. Kritik aus der Selbstverwaltung der Krankenkassen, insbesondere von Gewerkschaften oder Arbeitgeberverbänden: keine.

Gewerkschaften und Arbeitgeberverbände sind im System der deutschen Sozialversicherung als Kontrolleure und Wegweiser fest installiert. Die nächsten Sozialwahlen zu den Selbstverwaltungen der Krankenkassen sind 2023. Man darf gespannt sein, ob Gematik und Telematik-Infrastruktur dort ein Thema werden. Die Stimmabgabe wird bei den großen Krankenkassen Online möglich sein.

 

Abzock-Maschen der Gematik

Hintergrund

In jeder deutschen Arztpraxis oder Krankenhaus-Ambulanz muss ein Konnektor installiert sein. Der Konnektor ist ein technisches Bauteil, ein spezieller IT-Router, mit dem die Verbindung zwischen der Arztpraxis und der “Telematik-Infrastruktur” hergestellt wird. Jede Arztpraxis ist gesetzlich verpflichtet, damit verbunden zu sein. Nach einer Vorgabe der Gematik, der Zentralbehörde für diese “Telematik-Infrastruktur”, müssen alle Konnektoren ausgetauscht werden, Kosten: 400 Mio EUR. Zur Vorgeschichte empfehlen wir diesen Artikel von uns vom April 2022. Wir bezweifelten damals, dass der Austausch notwendig sei. Die Gematik will den Konnektor sowieso bald abschaffen, für ihre  nächste Informatik-Architektur “TI 2.0”. Es handle sich bei diesem Austausch nur um eine “Abzock-Masche” gewisser IT-Firmen, allen voran der Koblenzer CGM, der “Compugroup Medical SE & Co KGaA”, so schrieben wir damals. Selbstverständlich würden die Ärzte fordern, dass die gesamten Kosten dieses Konnektor-Tausches von den Krankenversicherten getragen würden.

Der Schiedsspruch

So geschah es. Die Kassenärztliche Bundesvereinigung verlangte den Abschluss einer Vereinbarung, wonach die Krankenkassen alle Kosten des Konnektor-Tausches tragen müssen. Eine nachvollziehbare Forderung, die Ärztinnen und Ärzte konnten darauf verweisen:

  1. Die “Telematik-Infrastruktur” und der Konnektor haben keinerlei Nutzen bei der Versorgung der Patientinnen und Patienten oder für die Abrechnungen der Ärztinnen und Ärzte. Der Nutzen des Konnektors für sie ist gleich Null.
  2. Die bisherigen Konnektoren und die gesamte “Telematik-Infrastruktur” wurden bisher ausschließlich von den Versicherten finanziert. Wieso sollen jetzt die Ärzt:innen zahlen?

Als die Kassen die gewünschte Vereinbarung nicht abschließen wollten, riefen die Ärzte das Bundes-Schiedsamt nach § 89 Abs. 2 SGB V an, eine Schiedsstelle, die dafür zuständig ist, über Honorarordnungen und Ähnliches zu entscheiden. Das Schiedsamt entschied am 18.07.2022, dass jede deutsche Arztpraxis 2.300 EUR für den Konnektor-Tausch erhält, insgesamt müssen die Kassen dafür 400 Mio EUR zahlen.

Heise- und c’t-Artikel

Die Ärzte- und Krankenkassen-Funktionär:innen des Schiedsamtes lesen keine Computer-Medien. Sonst hätte ihnen dieser Artikel bei Heise.de im April 2022 auffallen können, in dem der Konnektor und die Telematik-Infrastruktur kritisiert wurden, verfasst vom IT-Sicherheits-Experten Thomas Maus und dem c’t Redakteur Lorenz Schönberg. Zwei Tage vor dem Schiedsspruch, am 16.07.2022 ist in der c’t dieser Artikel erschienen (online-Version hier), von denselben Autoren. Darin wird technisch detailliert nachgewiesen, dass der Konnektor-Tausch technisch nicht erforderlich ist. Es würde reichen, den Konnektor mit dem Schraubenzieher zu öffnen, und darin drei Chips auszutauschen, die wie SIM-Karten aussehen und im Konnektor ähnlich wechselfreundlich befestigt sind, wie SIM-Karten im Handy. Die Konnektoren anderer Firmen brauchen gar nicht getauscht zu werden, sie können ein Online-Update bekommen. Damit aber deren Hersteller gegenüber CGM nicht benachteiligt werden, werden laut Schiedsamt auch ihre Konnektoren getauscht!

Besonders interessant ist, dass dieser erste und meistverkaufte Konnektor, die Koco-Box von CGM, auf einer Platine eines anderen Unternehmens beruht, die im Handel für 250 EUR zu haben ist. Dazu kommen nur weitere Standard-Teile, so dass die c’t-Autoren für die 2.300 EUR teure Box auf einen Herstellungspreis von 400 EUR kommen. Eine schöne Gewinnspanne von rund 400 Prozent, die CGM ja bereits einmal auf Kosten der Krankenversicherten verdient hat. Und die CGM jetzt, nach dem Schiedsspruch, ein weiteres Mal verdienen soll.

Das Echo

Die Kasssenärztliche Bundesvereinigung (KBV) will jetzt gegen den Schiedsspruch vorgehen. Mittlerweile soll es Aussagen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zum Thema geben, wonach die Gültigkeit der Sicherheits-Zertifikate in den Konnektoren problemlos um 1-2 Jahre verlängert werden könnte, und der Austausch gar nicht erforderlich sei. Schließlich kommt ja 2024 die neue, super-sichere Architektur der Gematik, TI 2.0, ohne Konnektoren, die dann schließlich auch wieder bezahlt werden muss. Die Gematik hat das ja so angekündigt. Bis dahin könnte man die alten Konnektoren weiterlaufen lassen, laut BSI.

Nur müsste man mit dieser neuen Infrastruktur spätestens 2024 fertig werden, damit spätestens dann CGM wieder was verdienen kann. Bisher haben sich aber alle Projekte der Gematik um mehrere Jahre verzögert. Es wird wahrscheinlich so sein, dass die TI 2.0 erst 2026 oder -27 kommt. Sollen die Sicherheitszertifikate solange verlängert werden, und die Konnektoren bis dahin die ganze Zeit weiterlaufen? Was soll bis dahin aus CGM werden?

Wir berichten weiter!