Was ist eigentlich… dezentrale Datenspeicherung?

Erst kürzlich hat sich wieder gezeigt: Es gibt wohl kaum eine elektronische Gesundheitsakte, die nicht zu hacken ist. Was tun? Wieder zurück zu Kuli und Papier? Risikomanagement à la Fred Feuerstein?

Tatsache ist: Je größer ein Datenspeicher mit Gesundheitsdaten ist, desto attraktiver wirkt er auf potenzielle Angreifer, die aus den Daten Profit schlagen wollen. Klar – so ein Angriff macht Mühe und ist mit Kosten verbunden, und wenn man zum Schluss für seinen Aufwand mit den elektronischen Gesundheitsdaten von 50 Millionen Menschen belohnt wird, ist das ungleich attraktiver, als wenn man pro Einbruch nur 50 oder 500 Datensätze abgreifen kann.

Ein zentraler Datenspeicher der Gesundheitsdaten von allen GKV-Versicherten in Deutschland wäre ein riesiger Schatz, mit dem ein motivierter Einbrecher auf zahlreiche Arten Geld verdienen könnte (mehr dazu hier und hier im Blog). Umgekehrt gilt: Es ist zwar kein digitales System 100% sicher, aber je schlechter die Kosten-Nutzen-Rechnung für den Angreifer ausfällt, desto unwahrscheinlicher ist es, dass ein System jemals angegriffen wird.

Das ist das wichtigste Argument in der Forderung nach dezentraler Speicherung von Gesundheitsdaten.

Argumente für die zentrale Datenhaltung: Man müsse nur ein System sichern, nicht viele – und die Auswertung von Daten werde erleichtert.

Zentral und dezentral sind nicht zwei klar voneinander abgrenzbare Modelle, sondern ein Spektrum von Möglichkeiten. Dieses Zitat tweeten

Man kann sich sowohl eine extrem dezentrale Datenhaltung vorstellen – wenn beispielsweise jede*r Patient*in die eigenen Daten auf einem Gerät gespeichert hat und diese sonst nirgends vorliegen – oder auch eine extrem zentrale Datenspeicherung, wie etwa den oben erwähnten zentralen Speicher von Millionen von Versicherten-Datensätzen.

Zentrale vs. dezentrale DatenspeicherungZwischen völlig zentralisiert und völlig dezentralisiert sind jedoch noch zahlreiche Abstufungen möglich. Denkbar wäre zum Beispiel ein Modell, in dem die Daten der Patient*innen auf dem Server der Hausarztpraxis gespeichert werden. Bei über 40 000 Allgemeinmediziner*innen in Deutschland (plus Internist*innen, die hausärztlich tätig sind), wäre jeder dieser Datenspeicher schon so klein, dass der Einbruch wesentlich unattraktiver würde als in einen zentralen „Bundesdatenspeicher“.

Oder, ein bisschen zentralisierter: Wenn ein gesunder Wettbewerb zwischen Anbietern von Praxisverwaltungssystemen bestehen würde, dann gäbe es in Deutschland vermutlich so viele Anbieter, dass auch eine Datenspeicherung auf deren Servern noch halbwegs dezentral wäre. Die Arztpraxen könnten dann per Software as a Service auf die Daten zugreifen und bräuchten sich selbst nicht mehr um Updates und Datenhaltung kümmern. (Dazu müssten aber erst die Wechselhürden durch inkompatible Datenformate oder unkomfortable Import- und Exportprozeduren beseitigt werden.)

Es gibt zudem Verfahren, die es möglich machen, bei Bedarf auch Datensätze aus dezentralen Speichern zeitweise so zusammenzuführen, dass auch gemeinsame Analysen möglich werden (etwa für wissenschaftliche Fragestellungen).

Befürworter dezentraler Datenspeicherung sind immer wieder Informatiker und IT-Sicherheitsleute, die sich mit der Gesundheitsdatenspeicherung beschäftigen, wie etwa 2014 Prof. Hartmut Pohl und kürzlich Martin Tschirsich von modzero (Vivy-Talk auf dem 35C3), wie auch diverse Ärztetage.

Die gematik ist von den Vorzügen der dezentralen Datenspeicherung dagegen nicht überzeugt: Während das BMG 2014 noch sagte, dass „eine zentrale Datenspeicherung nicht geplant sei“, gab kürzlich der Leiter Datenschutz und Informationssicherheit der gematik im Interview mit E-HEALTH-COM zu Protokoll, dass im Lichte der kürzlich bekannt gewordenen Sicherheitslücken in Gesundheitsakten „dezentraler Speicher auch keine Lösung“ sei.

Das stimmt einerseits in dem Sinne, dass auch dezentrale Speicherung unsere Gesundheitsdaten nicht unangreifbar macht. Andererseits geht die Aussage aber am Problem vorbei, denn: Keine Gesundheitsakte kann jemals garantieren, dass sie frei von Implementierungsfehlern und somit unangreifbar ist. Das können weder eine zentrale noch dezentrale Datenspeicherung ändern. Eine dezentrale Datenspeicherung macht die Folgen von (zweifellos auch in Zukunft wieder auftretenden) Datenlecks und Einbrüchen aber besser beherrschbar, während in einem zentralisierten Datenspeicher schon ein einziger erfolgreicher Angriff katastrophale Konsequenzen für die Privatsphäre fast aller Bundesbürger*innen hätte.

In anderen Worten: Wer entgegen bisheriger Erfahrung immer noch daran glaubt, dass man ein System unangreifbar machen kann, der wird eher für einen zentralen Datenspeicher sein. Wer aus der Erfahrung gelernt hat, für einen dezentralen.Dieses Zitat tweeten