Patienten als Freiwild für Hacker? Das Wallis ist einer von zwei Pionierkantonen bei der Einführung des elektronischen Patientendossiers. Doch eine Intervention der Piratenpartei zwingt die Behörden zum Marschhalt.

Das elektronische Patientendossier mit seinen höchst sensiblen Daten muss sicher sein vor Hackern. (Bild: Imago)

In der Sommersession machten Stände- und Nationalrat praktisch ohne Gegenstimme den Weg frei für die Einführung des elektronischen Patientendossiers (EPD). Es liegt nun an den Kantonen, entsprechende Systeme anzubieten. Die Vorzüge von digitalen Krankenakten liegen dabei auf der Hand: Der Patient kann selber überprüfen, ob mit den Daten alles in Ordnung ist, die behandelnden Ärzte kommen ohne grossen Aufwand an die Informationen heran. Sind diese zentral abgelegt, sinkt auch die Gefahr, dass es teure Doppelspurigkeiten bei Untersuchungen oder Therapien gibt. Doch das EPD birgt auch Gefahren: Kann sich jemand in die Dossiers hacken, gelangt er an höchst sensible Daten über die Patienten. Die Piratenpartei hat nun darauf hingewiesen, dass bei den beiden EPD-Systemen, die bereits in den Pionierkantonen Kantonen Wallis und Genf im Einsatz sind, die Sicherheit mangelhaft sei.

Während es in Genf noch keine Reaktion gibt, wurde im Wallis der Datenschutzbeauftragte Sébastien Fanti tätig. Er forderte die Kantonsregierung auf, die Einführung des EPD auszusetzen. Mit Erfolg. Die Walliser hätten ihr System namens Infomed eigentlich am 1. September für die Bevölkerung öffnen wollen. Bei der Präsentation am 27. August gab sich die Regierung noch überzeugt, dass das System den Geboten der Datensicherheit genüge. Doch aufgeschreckt durch die Warnungen verordnete Staatsrätin Esther Waeber-Kalbermatten (sp.) noch vor der Aufschaltung einen Marschhalt. «Wir werden die Situation klären und dem Datenschützer alle nötigen Unterlagen zur Verfügung stellen», erklärte die Gesundheitsministerin gegenüber der Zeitung «Le Nouvelliste».

Die Walliser Staatsrätin Esther Waeber-Kalbermatten will potenzielle Sicherheitslücken ausschliessen. (Bild: Keystone / Laurent Gillieron)

Google soll nicht alles wissen

Erfreut über das rasche Handeln ist Stefan Thöni, Co-Präsident der Schweizer Piratenpartei. Er und seine Mitstreiter haben beim Walliser System zwei Schwachstellen ausgemacht. Einerseits verwende es bei der Verschlüsselung der Webseiten veraltete Standards. «Damit ist das System nicht genügend gegen Hackerangriffe geschützt», sagt Thöni. Im schlimmsten Fall könnten somit unbefugte Akteure die Gesundheitsdaten einsehen oder sogar abändern. Andererseits kämen bei Infomed die Dienste von Google Analytics zum Einsatz. Das bedeutet laut dem Piratenpolitiker, dass der amerikanische Grosskonzern wisse, welche Personen wann auf ihr Dossier zugriffen. «In Kombination mit dem Surfverhalten einer Person könnte Google dadurch Rückschlüsse auf ihren Gesundheitszustand ziehen.»

Auf diese beiden kritischen Punkte stiessen die Piraten nach eigenen Angaben, indem sie nur die öffentlich zugänglichen Informationen auswerteten. «Wenn schon so einfache Sachen schiefgehen, muss man leider annehmen, dass noch andere gravierende Sicherheitslücken bestehen», sagt Thöni. Er wünscht sich, dass das Wallis die zugrunde liegende Software veröffentlicht und dass die Piraten oder der Chaos Computer Club das System so auf Schwachstellen testen können. Ein ähnliches Vorgehen hat der Kanton Genf beim E-Voting gewählt: Transparenz beim Quellcode soll grösstmögliche Sicherheit garantieren.

Digitale Integrität ins Gesetz?

Thöni betont, dass er elektronische Patientendossiers nicht grundsätzlich ablehnt. «Man muss einfach grösste Sorgfalt walten lassen – und zwar schon, bevor ein System online geht.» Das Bundesgesetz zum EPD komme zu spät und sei bereits überholt, bemängeln die Piraten. «Diese Affäre muss zum Anlass genommen werden, das Gesetz noch einmal neu zu fassen und dabei die digitale Integrität und die Unverletzlichkeit der Patientendaten als Grundsätze aufzunehmen.» Zudem fordert die Kleinpartei, dass die Gefährdung der Patientendaten durch «offensichtlich ungenügende Datensicherheit» unter Strafe gestellt werden soll.

Gelassen gibt sich Urs Stoffel, der bei der Ärztevereinigung FMH für das Dossier E-Health zuständig ist. Die Ärzte nähmen mögliche Sicherheits-Lücken in den Online-Dossiers sehr ernst, weil gerade für sie die Vertraulichkeit der Patientendaten extrem wichtig sei. Aber was derzeit im Vorreiter-Kanton Wallis passiere, sei kein Drama. «Zum Glück haben wir noch mehr als ein Jahr Zeit, um auftauchende Probleme zu beheben.» Das Führen von elektronischen Patientendossiers wird frühestens am 1. Januar 2017 schweizweit verbindlich sein.