Hallo an das Forum,
hier noch ein Hinweis auf einen aktuellen Bericht der ARD zum Thema Datensicherheit bei Softwareherstellern:
Mit bestem Gruß
Axel Tubbesing
tubbeTEC GmbH . Hamburg, Berlin, München
Meiner Ansicht nach wird hier das Thema "Verantwortlichkeit" durch die Medien ein wenig überspitzt dargestellt. Klar, verkauft sich auch besser zu sagen: "Softwarehersteller baut Mist, Ärzte müssen es allein ausbaden!". Formell ist es ja nicht unwahr, dass die betroffenen Ärzte hier "in der Verantwortung" sind. Wenn ein Arzt Daten über einen Patienten erhebt bzw. der Patient dem Arzt Daten anvertraut, liegen diese ja erst mal "in der Verantwortung" des Arztes. Selbstverständlich ist der Arzt jetzt in einer "Prüfpflicht", wenn er die Daten in irgendeiner Form jemand anderem "anvertrauen" will. Verteilt er sie jetzt per "Facebook Messenger" oder "iCloud", dann hat er mindestens nicht gut "geprüft" bzw. handelt recht eindeutig fahrlässig. Wenn er aber (wie hier) auf einen deutschen Anbieter für Gesundheit-IT setzt, der insbesondere mit der Zuverlässigkeit und Sicherheit der Daten wirbt, dann glaube ich nicht, dass man dabei unbedingt von Fahrlässigkeit oder Verantwortungslosigkeit sprechen kann. Im Zweifel würde das sicherlich ein Gericht klären, aber ich kann mir (nach meinem laienhaften Verständnis) nicht vorstellen, dass hier am Ende zu Lasten des Arztes entschieden würde.
Hieraus jetzt zu dem Schluss zu kommen, dass wir noch mehr Regulierung bzw. "KBV-Zertifizierungen" brauchen halte ich für fatal. Schon allein die regelmäßigen Zertifizierungen für die Videosprechstunde kosten Unmengen an Geld und Zeit und machen in diesem Bereich "Innovationen" bzw. bloße Weiterentwicklungen extrem schwer (Stichwort: Gruppensitzungen für Psychotherapie), ohne (und das ist meine ganz persönliche Meinung) sicherheitstechnisch einen wirklichen Mehrwert zu bringen. Ein weiteres gutes Beispiel dafür, was Regulierungen dem Gesundheitssystem mit Blick auf Geschwindigkeit und Innovationsfreude bringen, sieht man ganz gut am "Erfolgsmodell TI" (das 2017 endlich umgesetzte Konzept stammt übrigens von 2006).
Denn letztendlich stimmt die jetzt gern und häufig wiederholte Aussage, dass der Softwarehersteller hier keinerlei Verantwortung trägt bzw. "fein raus ist" aus meiner Sicht so nicht. Ganz im Gegenteil: Mal abgesehen davon, dass es im konkreten Fall sehr wahrscheinlich auch (Datenschutz-)rechtliche Konsequenzen für den Anbieter hätte, wenn tatsächlich in irgendeiner Form Patientendaten abgeflossen wären, hat DocCirrus bereits jetzt ein riesiges Problem was den "Imageschaden" angeht. Ich möchte ganz bestimmt nicht, dass unsere Firma in eine vergleichbare Situation kommt und kann Ihnen versichern, dass wir höchsten Wert auf das Thema Sicherheit legen. Selbstverständlich nehmen wir auch diesen Fall wieder zum Anlass, um erneut die Sicherheit unserer Systeme zu hinterfragen, so wie wir das auch zuletzt nach den Angriffen auf die CGM und den anderen Anbieter, dessen Namen wir nicht schreiben dürfen getan haben.
Ich weiß, dass hier im Forum gern die Mär genährt wird, dass wir uns für Sicherheit und rechtliche Themen nicht interessieren würden und davon keine Ahnung haben. Dabei werden dann immer gern Schlagwörter wie "DSGVO" und "GoBD" verwendet. Leider reicht es offensichtlich aus, Unwahrheiten nur oft genug zu wiederholen, damit sie hängen bleiben. Ich möchte deshalb erneut (wie auch schon an anderer Stelle) entschieden widersprechen: Das Thema Datensicherheit ist für uns ein sehr wichtiges und wir stecken da auch viele Aufwände rein - spätestens dort, wo Daten die Praxen verlassen ist das auch unerlässlich. So hatten wir z.B. unsere Gesundakte bzw. unsere ImpfPassDE-App und zuletzt die Impfzertifikate durch einen IT-Spezialisten analysieren bzw. "angreifen" lassen, der auch schon zahlreiche andere Patientenakten (und kürzlich die Schweizer Impfplattform) "zu Fall" gebracht hatte. Auch machen wir regelmäßig (externe) Penetration-Tests für andere unserer Anwendungen.
Um hier nur zwei Beispiele herauszugreifen, warum ich von "Unwahrheiten" spreche: Bloß weil wir keine Schnittstelle umsetzen, die regelmäßig alle Patientendaten an ein externes System übergibt (der gewünschte "revisionssichere-Export"), ist unser System doch nicht weniger sicher. Ganz im Gegenteil: So eine Schnittstelle (falsch gemacht) könnte eine extreme Sicherheitslücke auftun und müsste entsprechend sehr genau und sorgfältig gebaut werden, was aktuell im Widerspruch zum Nutzen bzw. der Nachfrage steht. Ähnliches gilt für das, was sich hinter dem Schlagwort "DSGVO-Export" verbirgt: Eine Möglichkeit Karteien und Privatrechnungen auf Knopfdruck so zu exportieren, dass automatisch alles "Patientenbezogene" entfernt wird (was so per se schon mal gar nicht gehen kann, da selbst auf den ersten Blick "nicht-patientenbezogene" Daten in bestimmten Kontext Schlüsse auf den Patienten zulassen). Wenn so eine Funktion *nicht* existiert bzw. umgesetzt wird, macht es unser System nicht weniger sicher bzw. nicht "nicht-DSGVO-konform". Wenn sie existiert, kann sie zu Sicherheitsproblemen (z.B. aufgrund von Programmierfehlern; siehe oben) aber auch zu eklatanten Fehleinschätzungen führen ("Oh, ich sehe hier ja keine Patientennamen, dann kann ich das ja auch auf Instagram stellen!"). Insofern halte ich es auch für richtig, wichtig und schlicht unsere Verantwortung die Kosten und Risiken gegen den eventuellen Nutzen abzuwägen.
Ich finde den Vorschlag von Herrn Straub sehr gut, die konkreten Punkte (z.B. in Bezug auf die DSGVO) die Ihnen fehlen zu benennen und dann (jeweils in einem separaten Beitrag) zu diskutieren und lade dazu herzlich ein. ABER: Dazu gehört eben auch, möglicherweise konträre Ansichten einfach mal auszuhalten und diese nicht immer wieder "wegzudiskutieren" ohne wirkliche neue Argumente zu bringen. Sonst bleibt am Ende wieder nur das stehen, was am plakativsten ist bzw. am häufigsten wiederholt wurde.
Erlauben Sie mir in dem Zusammenhang noch etwas zum hier angesprochenen Thema "Zensur": Wir sind sehr stark gegen jegliche Form der Zensur, was wir sicherlich auch oft genug bewiesen haben. So sind wir z.B. das wahrscheinlich einzige PVS-Haus, welches ein öffentliches Forum betreibt - also eines, dass auch von jedem Interessenten (und jedem Mitbewerber; herzliches hallo an die Kollegen ) gelesen werden kann. Aber es ist eben auch eine Form der Zensur, wenn man jeden der anderer Meinung ist sofort textuell "angreift" und dessen Beitrag dadurch unterdrückt, dass man immer wieder endlos lange Texte mit den selben Inhalten schreibt, so dass darin alles andere untergeht. Spätestens wenn mir dann von mehreren Ihrer Kollegen gesagt und geschrieben wird, dass diese sich nicht (mehr) im Forum beteiligen, weil sie auf diese "Art der Kommunikation" keine Lust bzw. dafür keine Zeit haben, dann finde ich es schon richtig, hier auch mal jemanden zu sperren (zumal wir im konkreten Fall zahlreiche Vorwarnungen ausgesprochen hatten).