Einleitung

"ELGA soll als Informationssystem für berechtigte Spitäler, niedergelassene Ärztinnen und Ärzte, Apotheken, Pflegeeinrichtungen sowie Patientinnen und Patienten einen gesicherten, orts- und zeitunabhängigen Zugang zu wichtigen Gesundheitsdaten ermöglichen." - so Gesundheitsminister Stöger.

ELGA ist die sogenannte elektronischen Gesundheitsakte. In Wirklichkeit soll sie aus den gesammelten Krankendaten des Klienten (Patienten) bestehen. Die vordergründige Idee ist, dass Ärzte auf Knopfdruck alle nötigen Krankengeschichten und Begleitumstände des Patienten vor Augen haben. An und für sich eine gute Idee. Doch ELGA hat eine dunkle Seite. Die Daten werden privaten Dienstleistern anvertraut, die zwar österreichische Datenschutz-Gesetze einhalten sollen, jedoch sollte ein Blick in die Justiz zum Thema Unternehmensgesetzestreue schnell ernüchtern. Auch sollte das Schlagwort "IMS Health-Skandal" einem politikinteressierten IT-Piraten geläufig sein. Wenn nicht, dann bitte gleich die Suchmaschine des Vertrauens anwerfen!

Antrag

Der folgende Text möge an passender Stelle (z. B. unter dem genannten Thema und der gesetzten Überschrift) ins Parteiprogramm aufgenommen werden:

Datenschutz

Elektronische Gesundheitsakte ELGA

Die Piratenpartei Österreichs spricht sich vehement gegen die Fortführung der elektronischen Gesundheitsakte (ELGA) in der bereits angelaufenen Form aus, da es unverantwortlich ist, das Leben und die Gesundheit der Bürgerinnen und Bürgern von einer bei den verschiedenen Ärzten oft verschieden gewachsenen IT-Infrastruktur abhängig zu machen, durch deren unausgegoren verordnete Datensatzvereinheitlichung, Öffnung und Vernetzung der Datenschutz ein weithin leeres Versprechen bleibt und die durch die priorisierte Ausrichtung des zugrunde liegenden Konzepts auf Kostenersparnis sogar Gefahren für Leib und Leben der Patientinnen und Patienten bereit hält.

ELGA wird als Potenzial kolportiert, Verbesserungen für das Wohl von Patienten zu schaffen und gleichzeitig Kosteneinsparungen durch Vermeidung von Doppeluntersuchungen zu bewirken. Diese Verbesserungen sind jedoch mehr als umstritten und die Einsparungen schon aufgrund der vorhersehbaren Kosten des Ausbaus und des Betriebes in weiten Teilen widerlegt. Wiederholungen von Untersuchungen sind in den allermeisten Fällen nicht nur nicht unerwünscht, sondern medizinisch ausgesprochen sinnvoll. Durch Untersuchungswiederholung können Fehler bei Erstuntersuchungen ausgeschlossen und Krankheitsverläufe und -Veränderungen dokumentiert werden. Ärzte sollen davon mittels ELGA aus ökonomischen Gründen abgehalten werden. Hier wird das Argument der Kosteneinsparungen zum Schaden des Patienten bis hin zu seiner potentiellen Lebensgefährdung durch unentdeckte Untersuchungs- und Diagnosefehler oder auch bloße Datenbankfehler. Langfristig soll mit ELGA das Leben und die Gesundheit der Bürger an das Funktionieren und die Sicherheit einer viel zu heterogenen, von nun an auch noch gegeneinander offen vernetzten IT-Infrastruktur gebunden werden, deren technisches Datenschutz- und Datensicherheitsniveau zumindest punktuell erschreckend tiefe Standards unterschreiten dürfte.

Obendrein erkauft werden diese umstrittenen Verbesserungen und Einsparungen mit dem endgültigen Verlust der Kontrolle der Patienten über ihre Krankendaten und damit einer Verwandlung des beim Arzt hilfesuchenden Menschen in einen schlussendlich gläsernen Patienten, der allerlei Zugriffe und Begehrlichkeiten aus der Privatwirtschaft oder auch von schnüffelnden Behörden aufgrund des praktisch nicht vorhandenen, weil völlig undurchdachten Datenschutzes, bzw. eines Datenschutzes, deren Verwirklichung wir privaten Dienstleistern glauben sollen, weitgehend wehrlos gegenüber steht. Eine angedrohte Verwaltungsstrafe von maximal Zehntausend Euro steht in keiner Relation zu möglichen Milliardengeldwerten an illegal weitergegebenen oder auch abgesaugten Krankendaten.

Zwar steht die Piratenpartei einer leichten und schnellen Handhabung von Daten für von Patienten bestimmte Ärzte aufgeschlossen gegenüber, jedoch müssen Datenschutz und Datensicherheit Keim und Kern einer elektronischen Lösung dafür sein, nicht nur unangenehme Begleitaspekte, die in der öffentlichen Diskussion wie bei ELGA opportun verschleiert und kleingeredet werden. An eine elektronische Lösung auf einem derart sensiblen Feld höchst persönlicher Daten, die aufgrund von elektronischer Speicherung innerhalb von Sekundenbruchteilen kopiert und ausgespäht werden können, müssen wissenschaftliche Kriterien angelegt werden, die unter anderem Datenübermittlung und -Gebrauch ohne die eindeutige, unmissverständliche, einzelfallbezogene, selektive Einwilligung des Patienten systematisch nicht zulassen.

Die verfassungswidrige Einführung von ELGA als Nicht-Opt-In sowie noch einmal obendrein die Begrenzung der erweiterten Informationspflicht über das Recht auf Opt-Out nur auf kleine, bestimmte Personengruppen sind völlig inakzeptabel.
 

Begründung

Für die involvierten Unternehmen und Politiker ist ELGA ein Bombengeschäft. Für die Patienten und ihre informationelle Selbstbestimmung ist sie eine einzige Katastrophe. Vorerst werden sie natürlich nichts davon merken, weil die meisten Bürger überhaupt keine Ahnung haben, was da überhaupt passiert und auf sie zukommt. Wenn wir nicht dagegen opponieren oder zumindest eindeutig Stellung beziehen und edukativ aufklären, sind persönliche Krankheitsdaten schneller Gemeingut, als wir uns über den Missbrauch der Daten im Stakkatotakt aufregen können werden.

Änderungswünsche

Zu Änderungswunsch "Rant fortschrittsfeindlich" #3069

Einziges Datenschutz-Konzept bei ELGA ("das ist die größte Datenschutzmaßnahme, die diese Republik bisher geschaffen hat.") sind 28 Tage Zugriffsfenster, ein Zugriffsprotokoll und "strenge, auch gerichtliche Strafen" (Stöger 13. Nov 2012, Nationalratssitzung). Wobei selbst das Zugriffsfenster eigentlich auf 365 Tage aufgeweicht ist: "§18 (7) Abweichend von Abs. 6 kann ein ELGA-Teilnehmer/eine ELGA-Teilnehmerin einem oder mehreren ELGA-Gesundheitsdiensteanbieter des besonderen Vertrauens gemäß § 2 Z 10 lit. a, b, c und e in Verbindung mit § 21 Abs. 2 mit dessen Zustimmung, eine Frist von bis zu 365 Tagen einräumen". Und während die ELGA-Daten zehn Jahre aufbewahrt werden, werden die Zugriffsprotokolldaten nur drei Jahre aufbewahrt. Diese "strenge, auch gerichtliche Strafen" liegen übrigens im Verwaltungsrahmen von maximal Zehntausend Euro. Ein echtes Schnäppchen für ein systematisches "unabsichtliches" Hintertürchen. Das kommt leicht schon bei einer einzigen Forschungsabkürzung oder Marketingoptimierung herein. Alleine diesen lächerlichen Betrag könnte man als Verleitung auslegen.

Eine Analyse eines Datenschutzkonzeptes von ELGA gibt es deshalb nicht, weil es schlicht kein Datenschutzkonzept für ELGA gibt, nur ein paar zusammen gewürfelte Wünsche an Gesundheitsdienstanbieter und ELGA-Systempartner ("nach dem Stand der Technik"). Das ist ja exakt der Kritikpunkt. Die Verwirklichung der für diesen Zweck mehr als schwammigen und Ausnahmen-gespickten Datenschutzgesetze (hier konkret auch des Gesundheitstelematikgesetzes 2012) bleibt wie bisher den einzelnen Krankenhäusern und Ärzten bzw. deren IT-Dienstleistern überlassen, jedoch müssen die von nun an standardisiert abgespeicherten Daten von nun an eben von außen zentral abgerufen werden können. Dieses Abrufen übernehmen dann die ELGA-Systempartner (Berechtigungs- und Protokollierungssystem). Das ist im Groben ELGA. Die Ärzte sind sowieso meist technische Laien und vertrauen da eher blind ihren vermittelten Dienstleistern (nur so konnte der IMS Health-Skandal stattfinden), aber auch die Krankenhäuser haben fast immer eher andere Prioritäten, als den Datenschutz. Dazu verführen die auch sehr schwammigen und wunschdenkengeleiteten Bestimmungen in den Datenschutzparagraphen für Krankenanstalten, wobei es übrigens neun verschiedene Versionen dieser Paragraphen gibt, pro Bundesland eine. Die Einhaltung der Datenschutzgesetze werden zum großen Teil per Formular und Hakerl versprochen. Nur, wo kein Kläger, da kein Richter. Der geschädigte Patient kann wenig tun, wenn er von der Weitergabe seiner Daten keine Ahnung hat. War der Datenschutz bisher schon mehr als hinterfragenswert behandelt, werden nun per ELGA-Gesetz neue (Einfalls-)Tore bei nun schön standardisierten Datensätzen vorgeschrieben, die von verschiedenen Dienstleistern implementiert werden sollen. Etwa solche Unternehmen wie Computer Sciences Corporation (CSC), die bereits in ELGA involviert waren und der NSA nahe stehen. Es reichen wenige faule Dienstleister an gut frequentierten Knoten und die Daten so gut wie aller Patienten können dann regelmäßig penetriert, extrahiert, abgesaugt und woanders gespeichert werden. Aufgrund des hohen Geldwertes dieser Daten werden sie das wohl auch, wenn ELGA nicht gestoppt wird.

ARGE Daten gibt auch einige Antworten zum Datenschutz bei ELGA.