Stand­punkt – Vize-Präs. Johan­nes Stein­hart: Big Data

Das mas­sen­hafte Sam­meln und Ver­wer­ten von Daten für Ana­lyse- und Pro­zess­zwe­cke stand im Mit­tel­punkt eines Vor­tra­ges beim Sicher­heits­kon­gress „Cyber­life 2030“, ver­an­stal­tet vom Kura­to­rium Siche­res Öster­reich und dem Innen­mi­nis­te­rium. Im Zuge des­sen wurde eine Stu­die prä­sen­tiert, in der Exper­ten zum Schluss kom­men, dass die Wirt­schaft schon bei der Ent­wick­lung von neuen Tech­no­lo­gien den Sicher­heits­aspekt mit­ein­be­zie­hen muss.

Diese Erkennt­nis kommt – ange­sichts der Vor­gänge rund um die Wei­ter­gabe von Pati­en­ten­da­ten an das Mei­nungs­for­schungs­in­sti­tut IMS Health – zu spät. Auch wenn sich mitt­ler­weile die Gerichte mit der Klä­rung befas­sen und die ÖÄK mit einer Ver­ord­nung künf­tig die Wei­ter­gabe von Daten für die Markt­for­schung regeln wird, möchte ich den­noch zwei Aspekte beson­ders hervorheben.

Ers­tens hat die Firma Inno­med – von ihr stammt die Soft­ware – vor kur­zem bestä­tigt, dass ohne Wis­sen der Ärzte Schnitt­stel­len auf den Ordi­na­ti­ons-Com­pu­tern instal­liert wur­den, wel­che die tech­ni­schen Vor­aus­set­zun­gen dafür gelie­fert haben, dass Pati­en­ten­da­ten abge­saugt wur­den. Zwei­tens: Die Daten wur­den pseud­ony­mi­siert – und nicht anony­mi­siert – was einen Unter­schied in Bezug auf die Rück­füh­rung der Daten macht, wie IT-Spe­zia­lis­ten beto­nen. Und genau diese bei­den Aspekte sind mei­ner Ansicht nach von zen­tra­ler Bedeu­tung, weil sie ein beson­de­res Gefah­ren­po­ten­tial dar­stel­len. Man hat die Ärzte hin­ter­gan­gen, weil man ihnen nicht gesagt hat, dass bestimmte Pro­gramme zur Daten­über­mitt­lung instal­liert wer­den und man hat sie hin­ter­gan­gen, weil die Daten nicht so ver­schlüs­selt wur­den, wie es eigent­lich hätte sein sollen.

Auch wenn nicht zuletzt durch die öffent­li­che Mei­nung die Ärzte zum Sün­den­bock in die­ser Causa gemacht wur­den, muss schon eines klar­ge­stellt wer­den: In Wirk­lich­keit geht es nicht um die Ärzte. In Wirk­lich­keit geht es um die IT-Exper­ten: um die­je­ni­gen, die Zugang zu den elek­tro­ni­schen Pati­en­ten­da­ten haben und sich Zugang ver­schaf­fen kön­nen; die dar­über hin­aus mög­li­cher­weise auch an der Ent­wick­lung der jewei­li­gen Soft­ware maß­geb­lich mit­ge­wirkt haben und genau wis­sen, was alles damit mög­lich ist. Dem Know how der IT-Exper­ten kommt jedoch auch noch in einer ande­ren Hin­sicht Bedeu­tung zu: Nie­mand weiß bes­ser, wie man seine Cyber-Spu­ren ver­wi­schen kann. Der Name Edward Snow­den und seine Ent­hül­lun­gen über das US-ame­ri­ka­ni­sche Über­wa­chungs­pro­gramm PRISM wird künf­tig ver­mut­lich immer in einem Atem­zug genannt wer­den, wenn es um das Thema Daten­si­cher­heit geht.

Ver­träge in die­sem Bereich wird man sich in Zukunft noch genauer als bis­her anschauen müs­sen – ganz beson­ders dann, wenn eine Gruppe mer­kan­tile Vor­teile davon haben könnte. Stan­dard­ver­träge, die den Ärz­ten auch recht­li­che Sicher­heit geben, wer­den aus­zu­ar­bei­ten sein.

Was all diese Vor­fälle außer­dem zei­gen: Unsere Beden­ken hin­sicht­lich ELGA waren und sind berech­tigt – auch wenn die User bei ELGA nach­ver­folg­bar sein wer­den – so ver­si­chern es jeden­falls IT-Exper­ten. Aber was nützt das, nach­dem jemand unbe­rech­tig­ter­weise Ein­blick in die­sen hoch­sen­si­blen Bereich der Gesund­heits­da­ten genom­men hat und was auch immer mit die­sen Daten unternimmt.

Wieso ich diese Beden­ken mehr denn je habe? Die Soft­ware der Firma Inno­med war es, mit der Pati­en­ten­da­ten an IMS wei­ter­ge­lei­tet wur­den. Inno­med ist Teil der Com­pugroup. Und Com­pugroup hat eine zen­trale Rolle bei der Pro­gram­mie­rung von ELGA …

Johan­nes Stein­hart
Vize-Prä­si­dent der Öster­rei­chi­schen Ärztekammer

© Öster­rei­chi­sche Ärz­te­zei­tung Nr. 18 /​25.09.2013