Einleitung

"ELGA soll als Informationssystem für berechtigte Spitäler, niedergelassene Ärztinnen und Ärzte, Apotheken, Pflegeeinrichtungen sowie Patientinnen und Patienten einen gesicherten, orts- und zeitunabhängigen Zugang zu wichtigen Gesundheitsdaten ermöglichen." - so Gesundheitsminister Stöger.

ELGA ist die sogenannte elektronischen Gesundheitsakte. In Wirklichkeit soll sie aus den gesammelten Krankendaten des Klienten (Patienten) bestehen. Die vordergründige Idee ist, dass Ärzte auf Knopfdruck alle nötigen Krankengeschichten und Begleitumstände des Patienten vor Augen haben. An und für sich eine gute Idee. Doch ELGA hat eine dunkle Seite. Die Daten werden privaten Dienstleistern anvertraut, die zwar österreichische Datenschutz-Gesetze einhalten sollen, jedoch sollte ein Blick in die Justiz zum Thema Unternehmensgesetzestreue schnell ernüchtern. Auch sollte das Schlagwort "IMS Health-Skandal" einem politikinteressierten IT-Piraten geläufig sein. Wenn nicht, dann bitte gleich die Suchmaschine des Vertrauens anwerfen!

Antrag

Der folgende Text möge an passender Stelle (z. B. unter dem genannten Thema und der gesetzten Überschrift) ins Parteiprogramm aufgenommen werden:

Datenschutz

Elektronische Gesundheitsakte ELGA

Die Piratenpartei Österreichs spricht sich vehement gegen die Fortführung der elektronischen Gesundheitsakte (ELGA) in der bereits angelaufenen Form aus. Es ist unverantwortlich, das Leben und die Gesundheit der Bürgerinnen und Bürgern von einer bei verschiedenen Ärztinnen und Ärzten oft unterschiedlich gewachsenen IT-Infrastruktur abhängig zu machen, durch deren unausgegoren verordnete Datensatzvereinheitlichung, Öffnung und Vernetzung den Datenschutz nicht zu gewährleisten und durch die priorisierte Ausrichtung des zugrunde liegenden Konzepts auf Kostenersparnis sogar Gefahren für Leib und Leben der Patientinnen und Patienten in Kauf zu nehmen.

Die Vorteile von ELGA werden primär dahingehend angepriesen, dass Verbesserungen für das Wohl von Patienten geschaffen und gleichzeitig Kosteneinsparungen durch Vermeidung von Doppeluntersuchungen bewirkt werden. Diese Verbesserungen sind jedoch mehr als umstritten und die versprochenen Einsparungen schon aufgrund der vorhersehbaren Kosten des Ausbaus und des Betriebes in weiten Teilen unzutreffend. Die Vermeidung der Wiederholung von Untersuchungen mag auf den ersten Blick sinnvoll klingen, in den allermeisten Fällen sind derartige Wiederholungen jedoch nicht nur nicht unerwünscht, sondern medizinisch ausgesprochen ratsam oder sogar notwendig. Durch Untersuchungswiederholung können Fehler bei Erstuntersuchungen ausgeschlossen und Krankheitsverläufe sowie -veränderungen dokumentiert werden. Ärztinnen und Ärzte sollen davon mittels ELGA aus ökonomischen Gründen abgehalten werden. Hier wird das Argument der Kosteneinsparungen zum Schaden von Patientinnen und Patienten priorisiert – bis hin zu deren potenzieller Lebensgefährdung durch unentdeckte Untersuchungs- und Diagnosefehler oder auch bloße Datenbankfehler. Langfristig soll mit ELGA das Leben und die Gesundheit der Bürger an das Funktionieren und die Sicherheit einer viel zu heterogenen, von nun an auch noch gegeneinander offen vernetzten IT-Infrastruktur gebunden werden, deren technisches Datenschutz- und Datensicherheitsniveau zumindest punktuell erschreckend tiefe Standards unterschreiten dürfte. Weiters sind die Einführung von ELGA als Opt-out sowie die Begrenzung der erweiterten Informationspflicht über das Recht auf Opt-out nur auf einen kleinen, bestimmten Personenkreis aus unserer Sicht völlig inakzeptabel.

Obendrein erkauft werden diese umstrittenen Verbesserungen und Einsparungen mit dem endgültigen Verlust der Kontrolle über die eigenen Krankendaten und damit einer Verwandlung des ärztliche Hilfe suchenden Menschen in einen schlussendlich gläsernen Patienten, der allerlei Zugriffe und Begehrlichkeiten aus der Privatwirtschaft oder auch von Behörden aufgrund des praktisch nicht vorhandenen, weil undurchdachten Datenschutzes bzw. eines Datenschutzes, dessen Umsetzung von privaten Dienstleistern abhängig ist, weitgehend wehrlos gegenüber steht. Eine angedrohte Verwaltungsstrafe von maximal €10.000 steht in keiner Relation zu möglichen Milliardengewinnen durch illegal weitergegebene oder auch abgesaugte Krankendaten.

Die Piratenpartei Österreichs steht einer leichten und schnellen Handhabung von Daten für von Patientinnen und Patienten bestimmte Personen medizinischer Einrichtungen aufgeschlossen gegenüber, jedoch müssen Datenschutz und Datensicherheit im Kern jeder elektronischen Lösung stehen und nicht nur als unangenehme Begleitaspekte empfunden werden, die in der öffentlichen Diskussion (wie bei ELGA) opportun verschleiert und kleingeredet werden. An eine elektronische Lösung auf einem derart sensiblen Feld höchst persönlicher Daten, die aufgrund von elektronischer Speicherung innerhalb von Sekundenbruchteilen kopiert und ausgespäht werden können, müssen wissenschaftliche Kriterien angelegt werden, die unter anderem Datenübermittlung und -gebrauch ohne die eindeutige, unmissverständliche, einzelfallbezogene und selektive Einwilligung von Patientinnen und Patienten systematisch verhindern und verunmöglichen.

Begründung

Für die involvierten Unternehmen und Politiker ist ELGA ein Bombengeschäft. Für die Patienten und ihre informationelle Selbstbestimmung ist sie eine einzige Katastrophe. Vorerst werden sie natürlich nichts davon merken, weil die meisten Bürger überhaupt keine Ahnung haben, was da überhaupt passiert und auf sie zukommt. Wenn wir nicht dagegen opponieren oder zumindest eindeutig Stellung beziehen und edukativ aufklären, sind persönliche Krankheitsdaten schneller Gemeingut, als wir uns über den Missbrauch der Daten im Stakkatotakt aufregen können werden.

Änderungswünsche

Zu Änderungswunsch "Rant fortschrittsfeindlich" #3069

Einziges Datenschutz-Konzept bei ELGA ("das ist die größte Datenschutzmaßnahme, die diese Republik bisher geschaffen hat.") sind 28 Tage Zugriffsfenster, ein Zugriffsprotokoll und "strenge, auch gerichtliche Strafen" (Stöger 13. Nov 2012, Nationalratssitzung). Wobei selbst das Zugriffsfenster eigentlich auf 365 Tage aufgeweicht ist: "§18 (7) Abweichend von Abs. 6 kann ein ELGA-Teilnehmer/eine ELGA-Teilnehmerin einem oder mehreren ELGA-Gesundheitsdiensteanbieter des besonderen Vertrauens gemäß § 2 Z 10 lit. a, b, c und e in Verbindung mit § 21 Abs. 2 mit dessen Zustimmung, eine Frist von bis zu 365 Tagen einräumen". Und während die ELGA-Daten zehn Jahre aufbewahrt werden, werden die Zugriffsprotokolldaten nur drei Jahre aufbewahrt. Diese "strenge, auch gerichtliche Strafen" liegen übrigens im Verwaltungsrahmen von maximal Zehntausend Euro. Ein echtes Schnäppchen für ein systematisches "unabsichtliches" Hintertürchen. Das kommt leicht schon bei einer einzigen Forschungsabkürzung oder Marketingoptimierung herein. Alleine diesen lächerlichen Betrag könnte man als Verleitung auslegen.

Eine Analyse eines Datenschutzkonzeptes von ELGA gibt es deshalb nicht, weil es schlicht kein Datenschutzkonzept für ELGA gibt, nur ein paar zusammen gewürfelte Wünsche an Gesundheitsdienstanbieter und ELGA-Systempartner ("nach dem Stand der Technik"). Das ist ja exakt der Kritikpunkt. Die Verwirklichung der für diesen Zweck mehr als schwammigen und Ausnahmen-gespickten Datenschutzgesetze (hier konkret auch des Gesundheitstelematikgesetzes 2012) bleibt wie bisher den einzelnen Krankenhäusern und Ärzten bzw. deren IT-Dienstleistern überlassen, jedoch müssen die von nun an standardisiert abgespeicherten Daten von nun an eben von außen zentral abgerufen werden können. Dieses Abrufen übernehmen dann die ELGA-Systempartner (Berechtigungs- und Protokollierungssystem). Das ist im Groben ELGA. Die Ärzte sind sowieso meist technische Laien und vertrauen da eher blind ihren vermittelten Dienstleistern (nur so konnte der IMS Health-Skandal stattfinden), aber auch die Krankenhäuser haben fast immer eher andere Prioritäten, als den Datenschutz. Dazu verführen die auch sehr schwammigen und wunschdenkengeleiteten Bestimmungen in den Datenschutzparagraphen für Krankenanstalten, wobei es übrigens neun verschiedene Versionen dieser Paragraphen gibt, pro Bundesland eine. Die Einhaltung der Datenschutzgesetze werden zum großen Teil per Formular und Hakerl versprochen. Nur, wo kein Kläger, da kein Richter. Der geschädigte Patient kann wenig tun, wenn er von der Weitergabe seiner Daten keine Ahnung hat. War der Datenschutz bisher schon mehr als hinterfragenswert behandelt, werden nun per ELGA-Gesetz neue (Einfalls-)Tore bei nun schön standardisierten Datensätzen vorgeschrieben, die von verschiedenen Dienstleistern implementiert werden sollen. Etwa solche Unternehmen wie Computer Sciences Corporation (CSC), die bereits in ELGA involviert waren und der NSA nahe stehen. Es reichen wenige faule Dienstleister an gut frequentierten Knoten und die Daten so gut wie aller Patienten können dann regelmäßig penetriert, extrahiert, abgesaugt und woanders gespeichert werden. Aufgrund des hohen Geldwertes dieser Daten werden sie das wohl auch, wenn ELGA nicht gestoppt wird.

ARGE Daten gibt auch einige Antworten zum Datenschutz bei ELGA.

Zu Änderungswunsch "Textfluss Exzessives Gendern" #3151

  • Zweimal Gendern durch Sachzentrieren eliminiert
  • Einmal Gendern durch nun korrektere Benennung der Personengruppe eliminiert (es sollen ja teilweise auch Apotheker, Heilmasseure, medizinische Fachkräfte usw. gewissen Zugriff haben (eventuell bei einem konkreten Vorschlag der Piratenpartei zu einer elektronischen Lösung des Krankendatenproblems über Abstufungen der Zugriffsrechte?) - was natürlich auch noch diskussionswürdig sein kann)

Da geht vielleicht noch mehr - Vorschläge irgendwer?

Zu Änderungswunsch "Begründungen ergänzen" #3154

1) Den Einwurf mit der Geisteskrankendatei finde ich prinzipiell nicht uninteressant. Jedoch kann in Elga nicht jeder Streifenpolizist rein schauen und auch Gerichten, Verwaltungsbehörden und Arbeitgebern ist explizit der Zugang verboten. Hingegen dürfen auch Amtsärzte, Arbeitsmediziner (!), Apotheker und Ärzte der Sozialversicherungsträger zugreifen. Natürlich kann man Gesetze so schnell ändern, wie man sie beschlossen hat. Sind die Daten einmal verfügbar, wird es nicht allzu lange dauern, bis sich Begehrlichkeiten regen. Das wurde im Antrag berücksichtigt. Wenn das zuwenig herauskommt, dann bitte ich um konkrete Textvorschläge bzw. Verbesserungsvorschläge für den Programmpunkt.

2) Medienberichte sind keine allzu sichere Quelle, weil die Information durch den Filter eines Journalisten geht, der sein Geld für "Knüller" bekommt. Es gibt in ELGA jedenfalls Implementierungsleitfäden, in denen die XML-Datenformate festgeschrieben sind, via denen die Daten im ELGA-Bereich vorliegen müssen. Dazu wird noch ein Konverter in den Leitfäden zum Download angeboten, der die Daten ins PDF konvertieren kann, der in den Webserver eingebaut werden kann. Dieser Konverter ist freiwillig zu verwenden und kein zwingender Teil von ELGA. Es ist dann aber doch schon zu erwarten, dass die Ärzte hier den offensichtlichen und billigsten Weg beschreiten werden. Allerdings hängt das halt vom Arzt ab. Wenn er mehr investieren will, bekommt er auch mehr Leistung von seinem IT-Dienstleister, der ihm dann halt einen XML-Parser/Suchfilter einbaut. Die Kritik am vorgeschlagenen Weg ist absolut berechtigt, jedoch ist dieser Weg eben nicht mal direkt empfohlen, sondern halt da und man darf sich als Arzt bzw. sein IT-Diensleister bedienen, wenn man es für richtig hält. Schwammig und wurschtig, wie ELGA eben ist. Aber genau diese Schwammigkeit und Wurschtigkeit einem der höchsten Güter unserer Bevölkerung, nämlich der Gesundheit, gegenüber, macht es so gefährlich und ich glaube, letzteres ist im Text deutlich herausgearbeitet. Wenn nicht, bitte um konkrete Textvorschläge!

3) Die Patientenzentriertheit ist bei ELGA eigentlich Absicht. Etwas anderes daraus zu machen, geht mit der einfachen Ablehnung des ELGA in seiner Form einher. Der Antrag wendet sich gegen die Fortführung von ELGA, daher ist der Punkt an und für sich erfüllt. Einen Pharmaindex zu fordern finde ich auch sinnvoll, müsste jedoch über einen eigenen Programmpunktantrag laufen. Für mich (Enterhaken) klingt das erst mal gut und ich denke, ich würde so einen Antrag unterstützen.

4) das entsprechend Selbe wie für 3)

5) Auch diesen Punkt sehe ich im derzeitigen Antrag zumindest in großen Teilen verwirklicht, indem auf die Notwendigkeit von Doppeluntersuchungen eingegangen wird. Dass sich Ärzte auch ohne ELGA kurzschließen, kann ich aus erster Hand bestätigen. Hatte vor zwei Wochen einen Muskelfaserriss und die Ultraschall-Fachärztin hat den Befund "per Internet" an meine Hausärztin gesandt. Leider habe ich es verpasst zu fragen, wie sicher diese Sendung "per Internet" war, das ist mir - nona beim Arzt mit grindigen Schmerzen im Haxen - leider erst später eingefallen. Dieses außerhalb-von-ELGA-Kurzschließen könnte man eventuell schon auch erwähnen. Bitte auch hier um konkrete Textvorschläge!

An alle Liquid-Piraten: Bitte den Button "Diskussion zum Thema" drücken und Meinung posten!