Ohne Frage ist die im Gesundheitssektor stattfindende Digitalisierung eine Zeit- und auch Arbeitsersparnis für viele Ärzte und auch Krankenversicherte. Aber ist sie auch immer so sicher, wie sie von einigen Anbietern beschrieben wird? Durch Gesundheits-Apps und Webportale kann der Krankenversicherte nun seine Gesundheitsdaten selbst in der Hand halten und muss nicht mühselig bei verschiedensten Ärzten eine Einsichtnahme (§ 630g BGB) verlangen. Ärzte haben durch diesen Einsatz unter Anderem weniger Bürokratieaufwand. Allerdings kann dies auch – gerade, wenn die Datensicherheit nicht vollumfänglich gewährleistet wird – Schwachstellen haben. Seit Herbst 2018 gibt es bereits eine private Anbieterin für eine digitale Gesundheitsakte unter Anderem in Form einer Smartphone-App und eines Webportals mit Login. Diese soll laut Anbieterangaben an Impfauffrischungen erinnern, bei Medikamenteneinnahme unterstützen und über Wechselwirkungen aufklären. Ferner soll sie bei der Arztsuche helfen und alle Notfalldaten enthalten. Durch Funktionen eines „Gesundheits-Checks“ und individuelle Tipps soll sie dem Smartphone-Besitzer helfen, die Gesundheit aktiv mitzugestalten. Eine Partnerschaft besteht zu vierzehn gesetzlichen und zwei privaten Krankenkassen. Eine Übermittlung von ärztlichen Dokumenten kann mittels Schnittstelle von den Behandelnden vom Arzt angefordert werden. Personenbezogene Gesundheitsdaten sind je nach Umfang und Art die wohl mit sensibelsten Daten und zu Recht durch den Artikel 9 der Datenschutzgrundverordnung (DSGVO) vom EU-Gesetzgeber besonders geschützt worden. Sie vor einer Datenschutzverletzung zu schützen sollte stets oberstes Ziel von Verantwortlichen und Betroffenen sein. Keine Frage, dass sich der Verantwortung dieser sogenannten besonderen Kategorie personenbezogener Daten, die Anbieter bewusst sind. Allerdings wurden im September 2018 bei einer privaten Anbieterin bereits vierzehn Sicherheitslücken bekannt, die teilweise auch mit einem hohen Risiko klassifiziert wurden.
Ein unabhängiges Sicherheitsunternehmen hat Schwachstellen identifiziert, sodass personenbezogene Daten teils mit relativ geringem, mittlerem oder auch hohem Aufwand unbefugt verfügbar gemacht werden konnte. Zum Beispiel waren Informationen wer wann mit welchem Arzt Gesundheitsdaten geteilt hat ungeschützt und für jeden einseh- und lesbar im Internet, sog. Session-ID waren nur fünfstellig und bestanden nur aus Kleinbuchstaben, sodass diese innerhalb von 24 Stunden leicht zu „knacken“ sind und sich Zugang zu einer Schnittstelle Patient-Arzt verschafft werden könnte, Metadaten konnten durch unbefugte Dritte eingesehen werden, Angreifer konnten sich als authentischem Nutzer ausgeben und so Dokumente vom Arzt anfordern und einsehen, eine Pseudonymisierung der Anwender konnte umgehen werden, sodass der Anbieter eine Zuordnung von Nutzer zu Pseudonym vornehmen kann, im Systemlog für Fehlermeldungen des Smartphones wurden teilweise Daten geloggt, aus denen Krankheitsbilder hervorgehen.
Auch eine gesetzliche Krankenkasse hat bereits eine Gesundheits-App auf den Markt gebracht, diese soll es ermöglichen die Gesundheits- und Krankheitsdaten strukturiert und übersichtlich an einem Ort zu speichern und selbst zu managen. Dort können Informationen wie beispielsweise die verordneten Medikamente, Impfungen, Diagnosen oder Röntgenbilder eingesehen werden. Eine andere privater Anbieterin von digitaler synchronisierter Healthcare plante unterdes bereits in ihrem Finanzreport laut Medienberichten eine fünfprozentige Wahrscheinlichkeit von Schäden durch Datenverarbeitungsrisiken ein.
Dies Beispiel zeigt, dass neben allen Vorteilen, die eine Digitalisierung im Gesundheitswesen haben kann, auch immer ein Risiko einhergehen kann und eine IT-Sicherheit stets laufend unabhängig überprüft werden muss. Ferner sollte jeder Betroffene genau abzuwägen, welche Risiken eine eventuelle Datenschutzverletzung für die eigenen persönlichen Rechte und Freiheiten bedeuten kann.