Daten sammeln und verlieren

Ein Datenleck im Bildungsbereich und die elektronische Erfassung von Gesundheitsinformationen sorgen in Österreich für Aufregung

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Rund 400.000 vertrauliche Schülertests und 37.000 Email-Adressen von Lehrern aus Österreich tauchten auf einem rumänischen Server auf und waren im Internet zugänglich. Das deckte jetzt die österreichische Tageszeitung "Die Presse" auf. Verantwortlich für diese Daten ist das Bundesinstitut für Bildungsforschung (Bfie). Dort wusste man angeblich bereits im Dezember von der Panne, habe aber nicht reagiert. Das sei der "eigentliche Skandal", monieren jetzt Datenschützer, Lehrer-Gewerkschafter und Schülervertreter. Denn zwei Monate nichts zu unternehmen, deute auf ein "massives Kompetenzproblem" (Hans Zeger, ARGE Daten) hin.

Der Datenbestand umfasste Ergebnisse der sogenannten "Informellen Kompetenzmessung" (IKM) aus den Jahren 2011 und 2012. Dabei konnte das Abschneiden der Schüler eines bestimmten Lehrers und der Schule festgestellt werden. Lehrer- und Schulrankings hätte man aus den Datensätzen auslesen können. Die Namen der Schüler waren verschlüsselt, so der bisherige Informationsstand. Die Email-Adressen der Lehrer waren laut Medienberichten aber einsehbar.

Bei der zuständigen Lehrer-Gewerkschaft hat das Datenleck für erheblichen Unmut gesorgt. Vertreter fordern nun den Rücktritt der zuständigen Ministerin Gabriele Heinisch-Hosek (SPÖ). Diese gibt an, selbst von der Causa überrascht worden zu sein. Man hätte zwar von dem Datenleck gewusst und den Auftrag an die Verantwortlichen des Bifie weitergeleitet, die Sache umgehend zu bereinigen. Dort will man wiederum den Schuldigen in einem Subunternehmen gefunden haben, von dem man sich "in Unfrieden" getrennt habe.

Sensible Daten und der Machtmissbrauch

Der Ball über die Verantwortung wird hin und her gespielt. Das zeigt einmal mehr, wie problematisch derartige Datensammlungen generell sind. Wechselnde machtpolitische Akteure, Besetzungen von Schlüsselpostionen nach parteipolitischen Erwägungen, unklare Zugriffsberechtigungen von externen Personen und Instituten, die Auslagerung an Privatfirmen und Sparbudgets machen viele IT-Projekte im öffentlichen Bereich anfällig für Probleme aller Art.

Nicht von ungefähr sieht der renommierte österreichische Datenschützer Dr. Hans Zeger von der ARGE Daten im "Bifie-Skandal" lediglich einen Vorgeschmack auf zu erwartende Probleme mit der elektronischen Gesundheitsakte, kurz ELGA genannt, die derzeit in Österreich eingeführt wird. Für die Befürworter erspart das System problematische Verschreibungen nicht kompatibler Medikamente, Befunde unterschiedlicher Gesundheitsinstitute könnten zudem bequem von jedem behandelnden Arzt eingesehen werden. Der Patient bräuchte nicht jeden Befund zu jedem Termin mitnehmen. Auf der offiziellen ELGA-Seite heißt es dementsprechend:

Die elektronische Gesundheitsakte ELGA ist ein Informationssystem, das Ihnen als Patientinnen und Patienten und allen Gesundheitsdiensteanbietern - Spitälern, niedergelassenen Ärztinnen und Ärzten, Apotheken oder Pflegeeinrichtungen in Zukunft den orts- und zeitunabhängigen Zugang zu Gesundheitsdaten ermöglicht. Mit ELGA können Sie und Ihre behandelnde Ärztin oder Ihr behandelnder Arzt zeit- und ortsunabhängig auf Ihre Befunde zugreifen - sicher und unkompliziert.

Wer hat Zugriff auf Gesundheitsdaten?

Diese Darstellung sei schlicht ein Märchen, warnen Kritiker. Sowohl Ärztevertreter als auch Datenschützer sind dem System gegenüber extrem skeptisch eingestellt. Sicher sei das alles nicht, so Hans Zeger von der ARGE Daten. ELGA sei ein einziger "Murx" (österreichisch: für Chaos, nicht durchdachtes Konzept). In einer Presseaussendung fasst er die wesentlichsten Kritik-Punkte zusammen:

  1. "ELGA ist nicht betriebssicher, durch hunderte Server und hunderttausend Zugriffsberechtigte begünstigt es das Entstehen von Schatten-Datenbeständen á la BIFIE.
  2. ELGA ist völlig intransparent, der Patient kann die Sinnhaftigkeit der Datenverwendung nicht nachvollziehen
  3. ELGA hat keinen Letztverantwortlichen, Datenlecks wären nicht aufklärbar
  4. ELGA ist nicht sicher vor kriminellen Zugriffen: es ist kein geschlossenes Netz, wer einmal in einem der hunderten dezentralen Servern ist, kann de facto auf alle Gesundheitsdaten zugreifen. Dies begünstigt besonders interne Täter, die sich ein Körberlgeld verdienen wollen.
  5. Das ELGA-Gesetz erlaubt schon heute behördliche Zugriffe auf ELGA ohne Behandlungsauftrag
  6. ELGA bietet keine Erhöhung der Behandlungssicherheit, richtige und falsche Befunde, Aktuelles und Altes werden völlig unterschiedslos gesammelt."

Aus demokratiepolitischer Sicht ist jeder Datenbestand, der potenziell geeignet ist, Menschen erpressbar zu machen oder zu funktionalisieren (Stichwort: Gläserner Patient - gläserner Mensch) mit Vorsicht zu genießen. Speziell bei sensiblen Daten wie es Gesundheitsdaten naturgemäß sind, müssten Nutzen und Risiken sehr genau gegeneinander aufgewogen werden. Im Falle ELGA sehen Datenschützer derzeit jedoch höchste Risiken, die kaum Vorteile für den Patienten bringen würden. Auch in der Bevölkerung mehren sich die Bedenken. Einem ORF-Bericht zufolge haben seit dem Start im Jänner 2014 rund 140.000 Österreicher- und Österreicherinnen von der Opt-out-Option Gebrauch gemacht und sich vom System abgemeldet.

Das Abmelde-Verfahren ist im Moment noch sehr umständlich und sorgt für erhebliche Kritik. Speziell ältere Menschen und Menschen mit Migrationshintergrund ziehen hier den Kürzeren, zumal sie häufig die Informationen über das Abmelde-Procedere gar nicht erhalten oder es in der komplizierten Abwicklung nicht wirklich verstehen. Schließlich hat nicht jeder Mensch Zugang zum Internet. Es stellt sich von daher die Frage, warum man nicht den umgekehrten Weg wählte. Es wäre für den Bürger sicher einfacher gewesen zu entscheiden, ob man überhaupt bei ELGA mitmachen möchte. Für viele Menschen in Österreich ist ELGA damit wieder einmal ein "Obrigkeitsprojekt", bei dem man nicht mitentscheiden durfte, ob man eine derartige "Verwaltung" der eigenen Person überhaupt für sinnvoll und wünschenswert erachtet.

Vorratsdaten, Rufdaten - Patientendaten: Massive Ärztekritik

Bereits seit 2011 macht die Ärzte-Kammer mit unterschiedlichen Kampagnen gegen ELGA mobil. Mit provokanten Sujets und Slogans wie "Vorratsdaten - Rufdaten - Patientendaten" oder "ELGA stellt sie vor anderen bloß" wird auf das Missbrauchspotenzial aufmerksam gemacht. In einer Presseaussendung vom 13. Februar 2014 wurden nochmals das Datenriskiko und die ungeklärten Haftungsfragen bemängelt.

Viele Ärzte sehen sich durch ELGA auch in ihren Behandlungsmöglichkeiten bedroht. Ein System wie ELGA würde letztlich darauf hinauslaufen, dass es zentrale Stellen gibt, die entscheiden können, was, wie und ob eine Behandlung für einen Patienten bezahlt wird. Der behandelnde Arzt würde so Stück für Stück "entmündigt", ärgert man sich in Ärztekreisen - meist hinter vorgehaltener Hand. Ein von einem niedergelassenen Arzt initiierter Blog findet allerdings sehr klare Worte für die Befürchtungen der Ärzteschaft:

Integrierte Versorgung" aus der Sicht der Gesundheitspolitik (siehe 15a-Vereinbarung, ÖSG, Studie "Dokumentation im ambulanten Bereich" ist Einkauf medizinischer Leistungen beim jeweils günstigsten Anbieter, damit Schaffung eines (für manche GDA's ruinösen ) ökonomischen Wettbewerbes ohne Rücksicht auf die Qualität. ...

Das Ministerium für Gesundheit wird ganz im Sinne des Orwell'schen Neusprechs zum Ministerium für Krankheitskostenkontrolle und Leistungslimitierung ! Integrierte Versorgung führt so in Wirklichkeit zur Desintegration der medizinischen Betreuung , Hauptsache ist nur billig !Intergrierte Versorgung=integrierte Kontrolle=integrierte Schikanierung der GDA's und Patienten durch Bürokraten ! -> ELGA soll das Werkzeug dazu sein ! - Planwirtschaft funktioniert aber nirgends wirklich, schon gar nicht bei kranken Menschen !

In einem Video-Clip der Ärzte-Kammer werden der bürokratische Mehraufwand und der enorme finanzielle Aufwand für ELGA besonders hervorgehoben. Die Befürchtung, dass letztlich am "Patienten und den Ärzten" gespart wird, ist tatsächlich nicht von der Hand zu weisen.

Verstreute Gesundheitsdaten

Für die Patienten ist über die Gewährleistung der Gesundheitsversorgung hinaus vor allem die Sicherheit der Daten wichtig. Das ELGA-System ist aber derart kompliziert, dass in den nächsten Jahren des Aufbaus kaum jemand Datensicherheit gewährleisten könne, so ELGA-Kritiker. Hans Zeger in einer Aussendung über das ELGA-System:

ELGA, der elektronische Gesundheitsakt ist ein hochkomplexes System aus hunderten dezentralen Computern, Millionen einzelnen Aktenteilen und mehr als hunderttausend Zugriffsberechtigten. Es besteht aus zentralen Listen, wie Patienten- und Ärzte-(GDA-)index, dem Medikationsregister, einem Verweisregister, dem Berechtigungssystem, einem Protokollierungssystem, einem Zugangsportal und hunderten dezentralen Servern. Die Einführung von ELGA wird mindestens acht Jahre dauern ….

ELGA funktioniert über ein kompliziertes Linksystem, vergleichbar den bekannten Internetlinks bei Google und Co. Wenn Google eine Website aus seinem Suchsystem ausschließt, wird diese Website über Google nicht mehr gefunden, sie bleibt aber weiter bestehen. Genauso funktioniert ELGA. Werden ELGA-Links gesperrt oder wegen Störungen nicht angezeigt, dann können die richtigen Gesundheitsdaten nicht abgerufen werden, bleiben aber weiterhin gespeichert.

Hans Zeger

Die Zugangs- und Abrufmöglichkeiten sind ebenfalls kaum überschaubar und würde am besten mit einem Schlüsselkasten-System zu vergleichen sein, erklärt Zeger:

Das ELGA-System ist ein Tresorschlüsselsystem. In den zentralen Teilen sind keine direkten Gesundheitsdaten gespeichert, aber zentral werden alle Zugangsschlüssel zu den Gesundheitsdaten verwaltet. Wer Zugang zu den zentralen Teilen hat, hat daher Zugang zu allen Gesundheitsdaten. Am einfachsten ist ELGA daher mit einem gigantischen Schlüsselkastensystem vergleichbar. Über einen Hauptschlüssel kommt man in den "Schlüsselkasten", genannt Patientenindex. Dieser "Schlüsselkasten" enthält dann für jedem Patienten die Zugangsschlüssel zu den verteilten Gesundheitsdaten, die bei Spitälern, Ärzten, Labors, Ambulanzen usw. lagern. Über diese Hauptschlüssel verfügen die ELGA-Systembetreiber, aber auch Wartungsfirmen oder die ELGA-Ombudsstellen. - Daran sollte man immer denken, wenn man die Sicherheit von ELGA bewertet.

Hans Zeger

Im Vergleich zu dem jetzt bekannt gewordenen Bildungsdaten-Leck, sei ELGA um den Faktor tausend komplizierter, so Hans Zeger. Trotz aller Bedenken wurde in Österreich die ELGA-Maschine angeworfen. Es wird sich weisen, wie die Sache weiterläuft. Bei Gesundheitsdaten sind Österreicher sehr sensibel und es könnte durchaus sein, dass sie über die Opt-Out-Option den Behörden noch einen Strich durch die Rechnung machen. In Großbritannien wurde die Umsetzung eines ähnliche Projekts kurzfristig wegen der Datenschutzbedenken verschoben.