It looks like you're having connection troubles. Reconnect now.
02/04/2024 16:34:25
37c3-talk-11942 Latest text of pad 37c3-talk-11942 Saved Feb 4, 2024 |
Hallo Du!
Bevor du loslegst den Talk zu transkribieren, sieh dir bitte noch einmal unseren Style Guide an: https://wiki.c3subtitles.de/de:styleguide. Solltest du Fragen haben, dann kannst du uns gerne direkt fragen oder unter https://webirc.hackint.org/#irc://hackint.org/#subtitles oder https://rocket.events.ccc.de/channel/subtitles oder https://chat.rc3.world/channel/subtitles erreichen.
Bitte vergiss nicht deinen Fortschritt im Fortschrittsbalken auf der Seite des Talks einzutragen.
Vielen Dank für dein Engagement!
Hey you!
Prior to transcribing, please look at your style guide: https://wiki.c3subtitles.de/en:styleguide. If you have some questions you can either ask us personally or write us at https://webirc.hackint.org/#irc://hackint.org/#subtitles or https://rocket.events.ccc.de/channel/subtitles or https://chat.rc3.world/channel/subtitles .
Please don't forget to mark your progress in the progress bar at the talk's website.
Thank you very much for your commitment!
======================================================================
[Musik]
Gesundheitsdaten betreffen uns alle deswegen freue ich mich besonders auf den nächsten Talk wir haben da Daniel Leisegang cochefredakteur von netzpolitik.org und Bianca Kastel die sich selbst bezeichnet als disruptives Element in der Verwaltung und als die Erklärbären ich wünsche euch viel Spaß bei dem Talk und begrüßt bitte herzlich die beiden Sprecher zu ihrem Talk von der elektronischen Patientenakte zum European Health dataspace sie Thesen zur aktu aktuellen Gesundheitspolitik viel Spaß vielen Dank guten Morgen erstmal zur morgenvisite im W Thema gesundheitsdigitalisierung man hat mich schon ein bisschen vorgestellt mein Name ist Bianca Kastel ich bin Entwicklerin und macht hatlich das Thema auch beruflich zumindest im Bereich Gesundheitsämter ihr kennt das sind die mit den Faxen ich bin außerdem vorsetzen des innovationsverbund öffentliche Gesundheit das ist bin als auch immer die Persona mit der ich auch politisch zu tun habe um das irgendwie besser zu machen und ich war tatsälich auch einzelffachverständige zum Thema gesundheitarzten nutzungsgesetz was uns dann nachher auch noch begleiten wird und jetzt s ich noch kurz zu Daniel übergeben der sich auch noch mal selbst vorstellt ja viel hinzuzufügen habe ich gar nicht genau ich bin cochefredakteur bei netzpolitik.org gemeinsam mit Anna biselli wir sind hier auch vor Ort nachher gibt's noch Meetup wer uns treffen möchte ja und ich freue mich auf den Talk gut das ist ein Talk aus dem Track Politik enthält allerdings auch Spuren von Technik und Security weil alles Technische auch politisch ist und andersrum und es bei dem Thema besonders politisch technisch wird deswegen müssen wir auch so ein bisschen in die Technik einsteigen es ist aber eher fürs politische Verständnis ich versuchst technisch verständlich zu erklären es ist vielleicht manchmal ein bisschen tiefergehend aber wir bleiben meisten an der politischen Oberfläche so diese slides gibt's auch schon online unter bcastle 37c3 den Artikel dazu gibt's dan
n später bei Netzpolitik er ist relativ umfangreich das können wir sagen weil das Thema auch relativ umfangreich wir versuchen das trotzdem in ca 45 Minuten zu erklären und fangen dann eigentlich schon mal an mit dem Thema beim letzten Chaos Communication Congress 36 C3 war ja noch nicht so viel passiert im digitalen Gesundheitswesen warum ist jetzt seit dem letzten Mal so viel passiert damit wir jetzt über so viel Veränderung sprechen müssen na ja es gibt da drei Gründe mehr oder weniger einerseits hatten wir das Thema Pandemie in der Pandemie haben wir gemerkt es gibt so eine gewisse datenesor erung so W ich das mal bezeichnen weil das Thema war nicht zwangsläufig dass wir keine Daten hatten sondern dass diese Daten die wir hatten irgendwo lagen irgendwo analog waren und irgendwie nicht vernetetzt und interoperabel waren also weniger das Thema dass es politisch nicht möglich gewesen wäre oder dass der Datenschutz schuld gewesen wäre sonder dass einfach diese Daten irgendwo verworen rumlagen dann haben wir das Thema dass seit ca 20 Jahren es sind politische scheit in der Digitalisierung des Gesundheitswesens gibt spannenderweise hat der gute Herr Lauterbach der jetzt Gesundheitsminister ist auch schon unter Ola Schmidt das Thema mit elektronischer Gesundheitskarte und e-rezept auch schon im Jahr 2003 irgendwie mit angeschoben es wirkt so ein bisschen als würde jetzt das verendet werden sollen was vor 20 Jahren mal schon unter ihm begonnen hat und wir haben natürlich das Thema mit neuen gehalten Technologien sogenannter künstlicher Intelligenz was sich auch bei dem Thema na ja Medizin sehr stark auswirkt was natürlich auch sehr stark prägt wie dies Systeme gestaltet werden sollen in Zukunft und das sind so die drei Gründe warum wir jetzt tatsächlich in sehr sehr kurzer Zeit sehr sehr viel Veränderung erleben werden und wir schauen mal wie das dann so funktioniert gehen dann über unsere sieben Thesen die sind so ein bisschen sortiert nach ja politischen Dingen nach t
echnischen Dingen nach riesikigen nach weniger nach den Chancen weil wir sind nicht die diese Datenschätze heben wollen sondern wollen darauf hinweisen wie das Heben von diesen datenschätzen möglicherweise auch besser funktionieren kann wir wollen auch durchaus optimistisch enden auch wenn es vielleicht zwischendrin ein bisschen düster wird und damit würde ich übergeben an Daniel zur Politik genau die erste These lautet gesundheitsdigitalisierung ist weit mehr als nur gesundheitsdigitalisierung was wir damit meinen ist vielleicht wenn man mal 3 Jahre 5 Jahre 5 Jahre inzwischen zurückgeht ein Benchmark von der bertsmann Stiftung aus dem Jahr 2018 die haben damals untersucht 17 EU und OECD Staaten und in Deutschland kam damals auf einen unrühmlichen vorletzten Platz Platz 16 und das war eben auch das von Bianca schon angesprochene Motiv oder Anliegen was jetzt die Bundesregierung verfolgt unter anderem jetzt seit August 2022 mit ihrer digitalstrategie wo eben an Punkt 4 stets ein ganz wichtiger Posten die elektronische Patientenakte ist und das e-rezept also die gesundheitsdigitalisierung als solche und da steht auch schon die Zahl die das ganze antreibt also auch die Bundesregierung betreibt da gewissermaßen ein Benchmarking will sich messen lassen das tut sie ja ohnehin in der digitalstrategie ganz eifrig und wird viele Ziele deswegen auch reißen aber die 80% Cent die sollen kommen Anfang 2025 und das wird eben erreicht durch einen sogenanntes optout Verfahren auf das wir gleich noch mal genauer eingehen aber erstmal was passiert da gerade und das war jetzt ein spannender Monat was gesundheitsdigitalisierung angeht weil dort tatsächlich zwei Sachen passiert sind das eine war in Deutschland zwei Gesetze wurden verabschiedet am 14.12 im Bundestag die Debatte dazu war relativ kurz Bianca war im Ausschuss auch ähm eingeladen worden die das ging dann innerhalb von zweieinhalb Stunden es war auch nur der Gesundheitsausschuss nicht der digitalausschuss der auch öffentlich
tagte aber das ging im ruckzuck bestimmte Personen wie der Datenschutzbeauftragte wurden auch gar nicht erst befragt also es war im Schnellverfahren und dieses Höchsttempo im Höchsttempo wurden da zwei Gesetze verabschiedet das eine ist das digitalgesetz das ist im Grunde das wo die EPA drin steckt oder auch der medikationsplan oder auch das e-rezept und das zweit ist das Gesundheitsdaten nutzungsgesetz da geht's darum was der Name auch schon sagt nämlich die Daten für mehr Forschung zu nutzen und Karl Lauterbach ist natürlich nicht nur ausgesprochener Fan dieser beiden Gesetze sondern eben auch des datenschatzes den es zu heben gilt also das sind immer so seine Begriffe Datenschatz ähm Quantensprung die kertwende die aufhohjagd das sind immer die Begriffe mit denen das ähm ähm gewissermaßen geschmückt wird und gariert wird das auch noch mit KI also da ist auch ein großer Fan von KI ähm er sagt z.B da kommen wir gleich noch auf das generative sprachmodelle also wirklich ähm Zeichen Anzeichen von klarer Intelligenz hätten also er will diese KI da drauf werfen äh und diese KI soll uns dann strukturierte Daten geben der zweite Punkt der einen Tag zuvor im im Europäischen Parlament eine wichtige Hörde namahmen ist der europäische gesundheitsdatenraum der gesundheitsdatenraum ist einer von insgesamt 14 geplanten Datenräume in der EU das muss man sich so ungefähr vorstellen wie so ein bin Markt nur dass er eben für Daten einge eingebracht wird und der gesundheitsdatenraum ist der erste und soll auch sowas sein wie die Blaupause des Ganzen also viele Datenräume die sich daran anschließen man hat sich vorgenommen nimmt sich jetzt den kompliziertesten vor fängt damit an und viele andere sollen dann folgen und auch da gibt es diese zwei Säulen das wirkt jetzt ein bisschen komplex aber es sind im Grunde genommen links und rechts die beiden sollen die wir in in den beiden gesundheitsvorhaben digitalisierungsvorhaben haben auf der einen Seite links die Patientensicherheit bzw di
e primärdatennutzung die eben die Patientinnen und die Versicherten vor allem betrifft und auf der rechten Seite sekundärdatennutzung das ist dann Forschung da sieht man da soll die Politik aber eben auch die Wissenschaft profitieren auch das so die Lehren aus der aus der Pandemie und damit kommen wir schon zu these 2 weil mit Datenschatz ist schon angesprochen und auch mit KI ist angesprochen dass da natürlich Unternehmen groß Interesse daran haben und eben Karl Lauterbach hat auch ein großes Fable für die für die KI selbst und hier ist mal eine Studie aus dem Januar 2023 von mckiny die mal deutlich machen oder versuchen das sogenannte Nutzenpotenzial auf Deutsch kann man auch sagen die Einsparungspotenziale auszurechnen die die EPA bzw das e-rezept die beide haben könnten das sind drei Balken der erste Balken ist das was wir direkt einsparen wenn wir beides einführen 8 Milliarden und dann gibt es indirekte Einsparung bzw Nutzenpotentiale die sich daraus erheben ergeben und das sind dann sogenannte enabler Technologien ihr müsst euch den Kreis jetzt gar nicht in Gänze anschauen ich will nur deutlich machen was dahinter steckt was für ein Interesse dahinter steckt was für ein Hebel das sein soll um mal so ein finanzkrisenbegriff zu benutzen also es gibt diesen Kreis da seht ihr eh EPA und eRezept weiter oben links und dann sind die noch mal im inneren Kreis und der innere der sich so bis zur bis zu gut ein Viertel weiter bewegt der liegt an sogenannten weiteren Technologien digitalen Technologien die ja enaen die enablelt werden sollen die dadurch ermöglicht werden sollen und die Ersparnisse sind dann eben pro Jahr bis zu 30 knapp 30 Milliarden und daran haben natürlich eben auch die Unternehmen ein großes Interesse die den Markt schon seit längerem dominieren meist im Hintergrund bzw versuchen zu erobern das das eine ist Google google ist seit langem schon dabei mit auch generativen sprachmodellen die eben auf medizinische Bereiche spezialisiert sein sollen in dies
em Markt vorzudringen das ganze hat damit zu tun oder was sie damit versuchen zu lösen ist unter anderem ein großer administrativer Aufwand der bei den ärztinen und Ärzten beim beim bei den behandelnden Leistungserbringern ähm anfällt und das Versprechen ist hier genau das was Lauterbach will ähm die Daten die in die EPA einfließen müssen möglichst strukturiert sein und diese Strukturierung wenn das Ärztin oder die Krankenkassen vornehmen ist kost ja unglaublich viel Zeit und das soll eben die KI übernehmen das Problem ist dabei dieses Sprachmodell kann beispielsweise einfache Fragen beantworten ja was sind erste Anzeichen einer Lungenentzündung oder was ähnliches das Problem ist allerdings dass sie weder den Kontext noch die konkrete Situation mit den patienttin im Behandlungszimmer einschätzen können und gleichzeit vertrauen aber Ärztin und Ärzten laut Forschung oder Studien diesen diesen kimodellen extrem und das ist diese sogenannten Automation B das heißt es gibt ein großes Vertrauen diese Systeme gleichzeitig funktionieren sie aber nicht also es gibt Bericht in der Washington Post der sehr klar beschreibt dass es einfach genauso wie bei jgpt und Co einfach zu den sogenannten Halluzinationen kommt und das ist natürlich im gerade medizinischen Bereich nicht das gewünschte Resultat Microsoft ist auch dabei da steht jetzt n drunter ähm microsoft hat das Unternehmen gekauft im april 2021 für knapp 20 Milliarden da merkt man schon die waren schon lange dran die das Unternehmen hat davor sich Namen gemacht mit Dragon Software die Spracherkennung einige werden sicher mal benutzt oder oder kennen genutzt haben oder kennen und hier wird das Ganze gewissermaßen noch mal im Turbomodus für den für das Behandlungszimmer freigeschaltet das heißt das funktioniert tatsächlich so wie es hier abgebildet ist auf der linken Seite der Patient der kommt und mit der Ärztin dann spricht und sie begrüßt in er schildert was er für Symptome hat und dieses Modell der DAX Copilot der hört
zu extrahiert diese Daten die genannt werden und füllt die dann in die Daten in die in die Akte ab in die elektronische Patientenakte das ist so das Ziel und das Vorhaben des ganzen das ganze lauscht also die ganze Zeit mit das ist online in der Cloud da wird schon sicher nichts schiefgehen das ist aber so das Vorhaben was Microsoft verfolgt und das dritte Unternehmen ne wichtiger genau Microsoft ver spricht sich davon auch was nämlich das ist so die die benefits die man davon hat und der zweite Punkt ist spannend sagt nämlich das 70% weniger Gefühl da sei für Burnout oder oder Müdigkeit spricht das soll uns soll den behandelnden unglaublich viel Arbeit abnehmen und dadurch sollen sie dann weniger das Gefühl der Belastung haben dass das nicht funktioniert bislang auf jeden Fall ist ein drittes Beisiel Spiel epic Unternehmen aus den USA das langsam auch auf den europäischen und den deutschen Markt auch vordringt also es ist an der charit und in Tübingen hat schon Fuß gefasst und das ist auch so eine krankenhaussoftware die sich eben ähnlich wie die beiden vorangehenden dem Ziel verschrieben haben den behandelnden in den in den Krankenhäusern die Arbeit abzunehmen und das ist in Großbritannien eingeführt worden vor knapp 10 Jahren es ist in Dänemark eingeführt worden und es ist auch zuletzt in Norwegen eingeführt worden ähm und in Großbritannien und in Dänemark war das Stimmungsbild relativ klar danach ähm es gab kündigungsandrohungen äh also hoch die Zahlen waren extrem waren so rund 40% der behandeln die danach gesagt haben dieses System ähm stresst uns es ist funktioniert nicht es ist teilweise falsch übersetzt es macht nicht das was es soll und der Fall in Norwegen hat dann noch mal besonders hohe Wellen geschlagen hier ist ein Bild zu sehen wo es dann zu Demonstration sogar kam wo man dieses ähm Gesundheitssystem was eben auf dem Angebot von Epic basierte wo man das wieder wegaben wollte es gab auch dort in der zentralnorwegischen Region ähm vermehrt Kündigungswe
llen äh gab eben diese Demonstration und es wurde gesagt dieses System muss wieder weg also auch epic funktioniert nicht und damit kommen wir zur these 3 ja jetzt wird's technisch und ähm ich finde es auch schön dass das Motto des diesen 37 C3 andlockt ist weil darum geht's tatsächlich es geht jetzt tatsächlich ein bisschen um Kryptografie brutforce Forschung aus dem Thema weil na ja KI ist in gewisserweise so der Versuch mit brutforce Probleme zu lösen und das kann man natürlich nur wenn man Zugriff auf Daten hat karluderbach hat da relativ unbunden zugegeben dass er für sein forschungsdatenzentrum wir nemen diese Daten dann zwar Pseudonym aber sie werden dort gesammelt und zentralisiert ähm also dort eine Crawler will mit diesem Crawler will dann irgendwelche Krankheiten erkennen und Korrelationen erkennen und einfach Dinge herausfinden und das ganze soll in sogenannten vertrauenswürdigen ausführungsumgebungen passieren und ja dazu muss man das mal Daten sammeln jetzt haben wir aber so ein kleines Problem wir haben ja elektronische Patientenakte die ist einerseits nicht besonders gut angenommen die ist ca so bei 1% Bevölkerung ausgerollt so knapp unter eine Million glaube ich sagt to der Stand ähm und wir haben anderes Problem wir haben natürlich jetzt nicht sofort die Möglichkeit auf eine Ende zu Ende verschlüsselte patientenak zuzugreifen die Patienten individuelle Schlüssel hat aktuell sind der elektronischen Patientenakte so dass es einerseits ein opttinystem ist und das ist natürlich eine Verschlüsselung hat ich sagt deswegen quasi Ende zu Ende Verschlüsselung weil die elektronische Patientenakte aktuell mit zwei externen schlüsselgenerierungsdiensten arbeitet das heißt dort wird euch ein Schlüssel generiert und ihr könnt keinen Schlüssel selbst generieren aber ist zumindest ein bisschen sicherer weil ihr habt zumindest den einen Patienten indivellen Schlüssel der ja erstmal nur euch bekannt sein sollte jetzt ist es mit optout ein bisschen schwierig und deswe
gen muss man die elektrische Patientenakte umbauen das passiert mit der sogenannten EPA für alle und ich muss dann immer aufpassen ich nicht zu unfair zu gematik bin viele Teile des Folgen sind sehr stark politisch geprägt teilweise wird das Thema zuende Verschlüsselung auch politisch nicht gewollt und man will eine ermöglichende Verschlüsselung haben deswegen ist die gematik da nur teilweise dran schuld aber sie ist auch mit Schuld und es lässt sich aktuell dieses Konstrukt lässt sich noch bis etwa Mitte Januar kommentieren ich glaube nicht dass diese Kommentierung besonders viel Wirkung hat aber man kann es kommentieren wenn man das möchte worum geht's eigentlich jetzt wir haben gehen wir mal davon aus wir haben jetzt aktuell noch eine elektronische Patientenakte und dies sogenannte EPA 26 sagt stand die wird auf die IPA 30 migriert das ist die IPA für alle in Anführungszeichen allerdings kurz auch optout IPA jetzt habe ich in dieser meiner bisherigen elektronischen Patientenakte irgendwelche Dokumente irgendwelche Befunde irgendwelche Bilder und die sind erstmal für mich in die World verschüsselt jetzt möchte ich natürlich als sagen mal BMG Bundesregierung wer auch immer da jetzt dran dran genau verantwortlich ist diese Dinge nutzen ich will sie ich wollte sie will sie automatisch nutzen ich will sie ja auch nach dem optout Prinzip nutzen ich möchte Forschungsdaten ausleiten was mache ich ich nehme natürlich diese bisher Ende zu Ende verschlusssselten Daten mit individuellen Schlüsseln und migriere sie auf ein neues System das heißt ich breche diese endeverschlüsselung die Patienten indivell ist so gibt's dafür wieder was neues weil muss es ja doch irgendwie absichern wäre schon ganz gut mit Patientendaten ja es gibt das neues und das funktioniert dann so ich nehme meine diese bisher Schlüssel den Daten verschlüssel sie neu ähm das geschieht auf einer vertrauenswürdigen ausführungsumgebung das heißt da gibt es nach wie vor einen betreiberausschluss es ist so dass
das System der elektrischen Patientenakte immer bei den Krankenkassen liegt quasi die sollen aber selbst keinen Zugriff auf diese Daten haben weil es ist ja quasi ein Interessenskonflikt deswegen gibt es bei den Elektron in der elektronischen Patientenakte 300 ein System was diese individuellen Daten noch mal neu verschlüsselt mit einem sehr sehr mächtigen Master Key dass die Master Keys gehen unter Umständen vielleicht auch mal verloren selbst Microsoft hab die mal verloren aber gut ähm und diese neuen Daten werden dann trotzdem iniv verschlüsselt aber mit einem sehr sehr schwachen Schlüssel denn man nimmt dann z.B die kvnr die kvnr ist die Krankenversicherungsnummer die Krankenversicherungsnummer na ja die kennte Krankenkasse das heißt ihr habt jetzt ein System wo eure bisher in die wel verschlüsselten Daten überführt werden in ein System was zwar auch eine Art von Verschlüsselung hat wo allerdings die größten Teile dessen der Krankenkasse bekannt sind die wiederum selbst allerdings einen betreiberausschluss hat also bisschen kompliziert aber die Kurzfassung ist ihr habt keine Möglichkeit mehr diese Daten für euch individell technisch zu verschlüsseln so jetzt wird's noch komplizierter weil ich dachte mir noch mehr Technik am Morgen nein ich versuch es kurz zu erklären es eigentlich funktioniert wir haben ja das werden wir später auch noch herausfinden das Thema dass diese elektronische Patientenakte optout ist das heißt all diese Funktionen die auf dieser elektronischen Patientenakte aufsetzen also das z.B leistungsverbringer daruf zugreifen dass diese Daten an das forschungsdatenzentrum ausgeleitet werden und dass diese Daten befüllt werden automatisch sind ja quasi der Standard das heißt ich kann dann zwar für mich selbst inivell noch mal sagen okay ich möchte das nicht ich reiche quasi einen Widerspruch ein aber diese elektronische patientenakt ist als solche konstruiert dass sie quasi in dieser vertrauenswürdigen ausführungsumgebung dazu komme ich gleich spä
ter noch mal diese Daten erstmal sag mal sehr sehr schwach individuell verschlüsselt abspeichert und dann die möglichen Widersprüche die werden dort zwar rein technisch als konsent bezeichnet sind allerdings eher logisch als Widersprüche zu sehen abspeich das heißt man nimmt erstmal den maximal aus bei dieser elektrischen Patientenakte baut den technisch dann so hin dass es alles funktioniert mit Ausleitung von Forschungsdaten mit Zugriff für alle Leistungserbringer mit ähm das äh entsprechend diese Daten befüllt werden können und macht dann quasi der Logik noch mal verschiedene Widersprüche drauf also wenn ihr z.B nicht wollt dass eure Daten ans forschungsdatenzentrum ausgeleitet werden gibt es dann ein entsprechenden Widerspruch wenn ihr z.B nicht wollt dass bestimmte Ärzte nicht auf bestimmte Daten zugreifen können gibt's dann Widerspruch dazu das heißt ihr seht dass dieses Konzept von optout sich auch komplett technisch manifestiert in dieser Umsetzung jetzt könnte man davon ausgehen dass ist vertrauenswürdige ausführungsumgebung die sogenantev ich werde abkürzen als V weil das Wort ist immer so lang dass S als solche sicher ist allerdings ist das IT security mäig ein bisschen schwierig wie man dann später merken m es gibt natürlich in diesem System genügend andere Akteure die darauf Zugriff haben wir haben z.B die IDPs das sind die sogenannten identity Provider die halt irgendwie auch ein Zugriff auf diese Akte geben müssen wir haben irgendwie die leistungsverbringer wir haben ombutstellen bei Krankenkassen wir haben ja was haben wir sonst noch wir haben digas ja genau wir haben digas digas sollen auch Zug auf die elektronische pazientenakte bekommen zumindest schreibend und lesend bestimmt auch irgendwann und es gibt also noch ein ganzes Ökosystem was dann trotzdem irgendwie Zugriff auff hat unabhängig davon ob diese Daten jetzt besonders sicher in einer vertrauenswürdigen ausfüungsumgebung abgelegt werden das wird also noch sehr sehr spannend weil wenn wir ma
l dann so gucken auf das was es also ist die elektronische Patientenakte für alle ist technisch gesehen damit keine Patientinnen zentrierte Patientenakte es wird politisch immer ganz gern subsummiert dass man sagt ja das ist jetzt irgendwie empowerment für Patientinnen die haben jetzt irgendwie endlich Kontrolle über die Daten und Transparenz na ja rein kryptograhisch gesehen haben sie es gar nicht muss sagen wie es ist und ja sollte man halt noch dazu sagen wenn ihr das Tech wenn ihr die wirklich technische Kontrolle dazu haben wollt ist die einzige Möglichkeit den OP den den optout an erster Stelle zu machen das heißt ansonsten kriegt eine elektrische Patientenakte die halt kryüptografisch nicht mehr unter eurer Hohheit ist sollte man wissen jetzt habe ich viel über diese vertrauensfürdigen ausfühungsumgebung gesprochen gibt's die denn schon wie ist denn diese wundertechnik die auch Karl lautbach immer als super sicher und total modern und sonst irgendwas bezeichnet ja die gibt schon das sind z.B so Anbieter wie ler Systems das ist ein Prinzip der Versuch flapsig formuliert ein kubernetes zu verschlüsseln in allen allen Stufen der Verarbeitung was halt quasi auch ein bisschen die Technik ist eigentlich auch dazu da dass man public clouds eher so Sachen machen kann die eher na ja private Umgebungen brauchen also auch so Sachen wie die werbeverersprechen die edler Systems auch ein bisschen hat ist ja du kannst jetzt z.B auch bei AWS oder bei Google Gesundheitsdaten verarbeiten weil es ja quasi so abgekapselt ist das ist aber quasi so Kern dieses ganzen Konzeptes dass es Technologien wie diese von Systems gibt die das auch quasi absichern weil diese gesamte V halt sehr sehr wesentlich in diesem ganzen Konzept ist jetzt ist der Kern dieser V auch etwas was sogenannte secure inclave auf Prozessoren ist also die Möglichkeit dass man diese Datenströme quasi im Prozessor noch mal abschotten kann das ganze funktioniert eigentlich ganz okay geht allerdings so alle zwei Jahr
e mal wieder kaputt weil irgendjemand in irgendwelchen Prozessoren irgendwelche Microcode Probleme findet seitenkanalattacken sonstige Dinge wenn wir jetzt mal davon ausgehen dass wir bei den Krankenkassen nicht davon ausgehen dass das auf den gleichen System betrieben wird wie irgendwelche anderen public Sachen kann man das noch ignorieren was man aberst natürlich dann nicht ignorieren kann ist sind Sachen die ja schon mal passiert sind wir haben beim 36 C3 Sachen mitbekommen metalberufsausweisen Gesundheitskarten sonstigen identifizierungsmöglichkeiten mit denen man trotzdem ein Zugriff auf indivelle Daten der elektronischen Patientenakten und aktensysteme hatte und was wir auch dann irgendwie noch so als Tipp hatten wir haben z.B auch das Chaos bei Kim mit das Zertifikate doppelt benutzt werden für verschiedene Krankenkassen wir haben so Sachen wie ja einfach das es in der Praxis von dieser Spezifikation nicht mal so viel übrig bleibt weil die Güte wie dort manchmal gearbeitet wirst in der Praxis noch viel weniger Security ermöglicht das ist die Welt auf die wir technisch zusteuern auch politisch gewollt ist weil man will ja quasi auch eine ermöglichende Verschlüsselung und die Security muss auch irgendwie nutzerfreundlich sein und so weiter und soofort de facto bricht man aber sehr sehr viel von dieser eigentlich bisher relativ stabilen Security der elektronischen Patientenakte auf ja das ganze ist auch dazu da um KI zu nutzen und man kann jetzt irgendwie sagen chgpt dor oder oder was auch immer mit journey gibt der ganz beeindruckende Ergebnisse das ist allerdings kein keine anung für so medical grade Anwendungen im Bereich KI sondern es ist halt wenn du bei Dolly irgendwie oder bei mitchon irgendwie so ein komisches Bild raus kriegst und sagst es passt mir nicht ma ich halt neues im medizinischen Bereich hast du diese Möglichkeit nicht weil davon sind manchmal Leben betroffen nichtdestotrotz versucht man eben mit z.B im gesundheitsdatennutzungsgesetz auch ganz
klar den Krankenkassen zu ermöglichen dass diese auf den Ihnen vorliegenden Daten datengeschützte enkennung indiveller Gesundheitsrisiken zu betreiben das heißt die Krankenkasse kann auf euren Abrechnungsdaten und z.B auch den rezeptdaten weil die Liegen den Krankenkassen vor die so Verdachtsdiagnosen stellen also z.B auf pflegebürftigkeit oder irgendwelche schwerwiegenden Krankheiten weil sich aufgrund von den Abrechnungen möglicherweise ein Risiko ergibt weil andere Verläufe ähnlich waren die auch ähnliche Diagnosen dann zurfolge hatten so könnte man es mal äh darstellen diese Daten geschützte Erkennung der inen Gesundheitsrisiken ist erstmal optout das heißt die Krankenkassen dürfen das machen auß wieder sprecht Krankenkassen haben D noch so ein bisschen eine Aufklärungspflicht sie müssen relativ gut drüber informieren aber de facto können die Krankenkassen jetzt die nächsten zwei Jahre auch nach in krafttreten dieses Gesetzes relativ viel auch in diesem Bereich machen und werden wahrscheinlich auch relativ viel experimentieren weil die Krankenkassen sich natürlich auch neu in dieser Welt von dem digitalen digitalisierten Gesundheitswesen positionieren müssen als ja gewisserweise Gesundheitsdienstleister dabei aber natürlich einen Bereich betreten wo sie eigentlich keine Expertise haben weil sie sind keine Medizinerinnen sondern sind einfach ne Bank im großen Ganzen das führt zu dem Thema dass wir Abrechnungsdaten haben mit einer eher stochastischen Technologie kysteme sind eher so ein bisschen schwammig kommt daraus eine präzise Diagnose rein ich würde sagen nein äh viele Medizinerinnen die auch in der Anhörung zum gesundheitsdatennutzungsgesetz waren sahen es auch sehr kritisch Bundespsychotherapeutenkammer bundesärzteekammer eigentlich alle Medizinerin die Stellung abgegeben haben sahen das kritisch es ist trotzdem gesetzlich möglich ja dazu kommen natürlich auch demm äh die Probleme die sogenannte KI im medizinischen Bereich grundsätzlich Inn wohnen wir habe
n da z.B so Sachen wie na ja KI findet zwar die richtigen Korrelationen aber die Kausalitäten sind dann doch andere hier ist ein Beispiel von Alena büs Vorsitz des Deutschen Ethikrates die hat dann z.B ein Beispiel für für die Erkennung von Tuberkulose in rönten Bildern und da stellte sich raus dass System eigentlich ganz gut funktioniert dass man d festgestellt hatte dass es so ein ganz ganz komischen bas gibt nämlich dass die tuberkuloseraten bei röntenbildern von mobilen rönengeräten sehr viel höher waren als bei normalen rönengeräten der Hintergrund davon ist dass diese Biers auch aus den Daten kommt weil üblicherweise in Ländern in denen höhere tuberkuloseraten sind auch na ja mehr mobile rentengeräte benutzt werden das ist tatsächlich die Korrelation das heißt wenn ihr dann ein Bild eines mobilen rönengerät habt sagt es mit höherer Wahrscheinlichkeit dass es Tuberkulose ist weil es halt von diesen charakteristischen Rändern von mobilen rentengeräten erkennt na ja es war ja schon bei den anderen mobilen rentengerät Bilder so dass da mehr Tuberkulose war solche Dinge haben wir solche Dinge fangen machen man auch erst später irgendwie auf weil man das halt erstmal einsetzt und dann vielleicht auch später erstmal hinterfrägt ob das denn eigentlich so wirklich kausal richtig ist das ganze Thema hatten wir auch im Bereich covid da werden z.B dann auch im Bereich frontenbilder eher so Shortcuts genommen statt eigent Signal zu bewerten und es gibt noch viele andere Beispiele und ein anderes Beispiel das ist alles nicht so einfach ist ist z.B IBM jetzt nicht die kleinste Firma die haben auch mal versucht mit IBM Watson im Bereich Onkologie Dinge zu lanciieren sind dann krachenend gescheitert und wenn IBM das in den letzten Jahren versucht hat und schon gescheitert ist ist die Wahrscheinlichkeit dass es jetzt auch trotz mehr Technik und mehr Daten wieder funktioniert eher unwahrscheinlich also von daher man experimentiert da so ein bisschen wir werden mal sehen was dabe
i rauskommt so tes 5 I know what you recovered from last summer wir haben so ein Problem was beim Thema Forschung auch sehr stark entsteht eigentlich braucht Forschung gut aufgelöste verknüpfte Datensätze die Wahrscheinlichkeit dass ich aber dann noch Privatsphäre Versprechen einhalten kann wird unwahrscheinlich höheer aufgelöst und verknüpf der Datensatz ist eigentlich ganz einfach je je eindeutiger quasi die Daten sich von anderen unterscheiden desto weniger gut kann ich die Privatsphäre der entsprechenden Person noch aufrechterhalten muss dazu auch sagen dass für das Thema Forschung diese Daten auch zentral im forschungsdatenzentrum gebündelt werden sollen also einerseits kommen da Pseudonyme abbrechnungsdaten zu zusammen und es kommen auch die dazu promisierten Daten aus der elektronischen Patient dazu so jetzt ist es spannend wie das im Gesetz formuliert ist ich habe in meiner stellungnah dazu geschrieben dass man einerseits versucht das reidentifikationsrisiko für für pseudony Daten zu minimieren also steht drin wir versuchen das möglichst gut zu pseudonymisieren soweit das entsprechend im Rahmen der Anwendung möglich ist allerdings erwähnt man im gleichen Gesetzestext auch wieder dass falls man jetzt zufällig eine eine reidentifikation unabsichtlich gemacht hat hat das ist wenn man das anzeigt dass es dann nicht so schlimm ist und man will dieses Verfahren dann nur noch im Benehmen mit bsi und äh BfDI abstimmen im Benehmen heißt man frckt die mal aber die müssen nicht zustimmen so das heißt pseudonymität als solche bietet auch bei diesen massenhaft ausgeleiteten Forschungsdaten keine ausreichende Sicherheit das ganze könnte man sagen ja es gibt doch irgendwelche Techniken mit den kann man künstliche Daten erzeugen ja die gibt's aber auch da gibt's zilweise das Problem dass man äh da mit eher unbrauchbare Daten erzeugt oder dass diese Daten dann doch wieder Rückschlüsse auf die Originaldaten zulassen das heißt man ist das immer so ein bisschen am hin und her z
wischen pseudonymisierungstechniken und Techniken das ganze wieder entpseudonommisieren es wird also relativ spannend speziell auch mit dem mit dem Gedanken dass wir äh das karladbach da auch sehr stark auf sehr stark zentrale äh Forschungsdaten Berge setzt was dann auch noch relativ spannend ist weil ich gerade das forschungsdatenzentrum angesprochen habe da läuft eigch noch ein Prozess von Konstanz kurz der läuft eigentlich so länger der ist jetzt irgendwie im Februar erstmal pausiert worden weil das forschungsdatenzentrum inem alle diese Forschungsdaten Pseudonym vorliegen also wir sprechen von allen Abrechnungsdaten der Krankenkassen plus eben zukünftig auch den Daten elektronischen Patientenakte weil das kein sicherheitsk hat dieses Sicherheitskonzept hätte vorliegen können seit dem digitale versorgungsesetz von 2019 also sind gissse Zeit eigentlich schon ins Land gegangen es gibt da noch keins deswegen ist die Klage die jetzt über konstante kurz und die GFF anliegt noch pausierend weil man noch gar nichts beklagen kann weil es kein Konzept gibt was man beklagen kann na ja schauen mal wie das dann weitergeht dazu kommen noch dass diese Daten diesem forschungsdatenzentrum Speicherfrist haben von bis zu 100 Jahren das auch das wurde tatsächlich im gesundheitsdatennutzungsgesetz geändert und 100 Jahre ich weiß nicht wie häufig ihr schon Technologiewechsel mit irgendwelchen Speichersystemen und security system hattet aber 100 Jahre ist dann doch einiges zu tun um dies Daten entsprechend noch abzusichern gut damit kommen wir zu T 6 genau jetzt war schon viel von Vertrauen die Rede und gleichzeitig die Rede davon dass einfach ein Zugriff auf diese Systeme relativ einfach möglich ist also relativ einfach vor allem dass aber viele darauf Zugriff haben und umso überraschender und damit kommen wir wieder zurück zu dem politischen Teil und auch zu dem optout ist keine Option ist es dass wir hier ein Paradigmenwechsel haben in den letzten Jahren also 2019 standen wir noch
beim Prinzip informierte einwidigung also wir kennen das von der dsgvo wir kennen das von cookiebannern wir kennen das von der Organspende wo auch heftig drum gerungen wurde was aber auch schon gerade wieder kippelt auch das wird in die Debatte kommen aber da merkt man auch wieder den Paradigmenwechsel also es vollzieht sich da gerade eine Veränderung wo ich nicht mehr informiert begründet in etwas einwillige und eine andere Partei darauf wartet dass ich da ein Kreuzchen ein Häkchen oder meine Unterschrift setze sondern ich werde erstmal in das System reingespült meine Daten werden da reingespült in ein System wo ich keine Kontrolle drüber habe technisch kryptographisch nichts die Daten sind da drin und dann kann ich innerhalb einer bestimmten Frist sagen ich will da raus und kann diese dat löschen lassen und das ist eine Veränderung jan hat schon angesprochen wo das gerade bei der EPA relevant wird bei der EPA ist es so ich kann verschiedene Sachen ausblenden oder ich kann auf verschiedenen Stufen kann ich outopten das ist einmal will ich überhaupt eine EPA haben wird die befüllt haben die Zugriff da drauf und werden die Daten der Forschung zur Verfügung gestellt im Grunde genommen sind davon nur zwei relevant will ich überhaupt so ein relativ unsicheres Ding haben was nicht Technik was nicht Patienten technisch nicht patientenzentriert ist m und B will ich diese Daten der Forschung zur Verfügung stellen in einem System wo pseudonymisierte Daten sich relativ leicht wieder entschlüsseln lassen Sie das Gerichtsverfahren was Bianca angesprochen hat sprich Vertrauen steht einem optout Verfahren gegenüber ein vertrauen was ich schenken soll was ich hinterfragen muss technisch und auch politisch wie ich finde KI ist intelligent steht gegenüber einem optout Verfahren was relativ mir zumindest schwache Möglichkeiten nur an die Hand gibt und das ist beim European Health dataspace so der Verordnungsentwurf von der Kommission die macht das ja immer die gibt immer eine Grundla
ge vor und dann wird darüber diskutiert dann werden die verschiedenen Partner müssen eine Position dazu finden also Rat Parlament und dann geht das ganze in die Verhandlung jetzt hat das EU-Parlament bzw der Kommissionsentwurf also das was den ganz das Fundament der ganzen Debatte auf EU-Ebene war sah keinerlei Widerspruchsrecht vor null nada also ich muss musste das Ding akzeptieren das war auch ein Widerspruch zur deutschen zu den deutschen Plänen also wenn ich hier ein optout habe in der EU aber nicht wie wie geht das zusammen das war lange Zeit ein Fragezeichen da merkt man auch es wurde schnell gestrickt und keiner guckte wo die feldden viicht D mal zusammeng gehen das EU-Parlament hat sich überraschenderweise dann in der ersten Positionierung die Ausschüsse verhandeln dass dann auch dazu entschieden wir brauchen kein optout und dann gab's aber noch mal letztendlich auf den letzten Metern doch noch die Entscheidung okay wir führen sowas wie ein optout das ist aber relativ weich ja das ist was was dann gefordert wurde das fand dann das ist eine Klausel die jetzt drin steckt dass die wie besagt dem Mitgliedstaaten obligt es zu entscheiden ob ein optout möglich ist das heißt bestenfalls ja und damit löse ich nur den Widerspruch zwischen Mitgliedstaat und EU auf bestenfalls gibt's hier zuul Lande ein optout wie ohnehin die Bundesregierung das vorsieht kein opt-tin und ob das in anderen Ländern so ist bleibt abzuwarten und ob das überhaupt durch den jetzt anstehenden Trilog es schafft bleibt auch abzuwarten also weiterhin viele viele Fragezeichen das heißt was wir gerade haben ist dieses Prinzip optout was langsam kommt und das betrifft nicht nur die gesundheitsdigitalisierung da wird gerade ich sagte schon das ist eine Blaupause auf EU-Ebene und auch hierzulande wird das einiges auslösen also dieses optout wird das neue Paradigma offensichtlich wie ich mit datenschutzpremen umgehe und das ist der eigentliche finde ich eigentlich der politische Skandal der über dies
e ganze gesundheitsdigitalisierung hinausreicht warum ist das relevant in zweier Hinsicht wir hatten gerade den 40 Geburtstag des Rechts auf informationelle Selbstbestimmung das ist keine Worthülse das wurde erkämpft das wurde vom Bundesverfassungsgericht definiert und das definiert das würde definieren mit Blick auf die gesundheitsdigitalisierung etwas was auch das patiententinnenbild definiert ich selber kann darüber bestimmen was mit meinen Daten Pass passiert das heißt gleichzeitig ich muss mich damit beschäftigen ich muss das Reflektieren und ich werde damit als autonomer Bürger persönlich autonomer Bürgerin wahrgenommen und wird auch in die Rolle versetzt das was gerade passiert ist ein hochgradig paternalistisches Modell wo einfach gesagt wird deine Daten dienen der Forschung dienen dem Gemeinwohl also geben wir die frei und können auf der Grundlage auch dieses eingeschränkte optout recht machen also das ist tatsächlich auch ein bürgerinnenbild was dahinter steckt was mit einem emanzipatorischen und ich finde auch in sich demokratischen von unten demokratischen Gesellschaftsbild wenig zu tun hat das zweite spielt damit zusammen das ist nämlich eine machtasymmetrie wenn ich ein Opt-In Verfahren hätte dann würden die Krankenkassen auf mich zukommen und würden mich mit Broschüren zumüllen und würden sagen warum das alles so toll ist so sicher und so weiter und vielleicht würden sie es auch sicherer machen als wie Bianca das gerade geschildert hat das machen sie aber nicht sondern das was sie machen ist sie werden jetzt praktisch ich glaube dass ein Großteil der Bevölkerung gar nicht weiß was da auf sie zukommt das ist das Problem sondern das wird reingereicht das ist entschiedene Sache und das wird kommen und das optout das werden dann jene machen die das überhaupt mitbekommen verarbeiten und am Ende auch das das Schreiben abschicken wie das passiert ist noch offen um sich da ähm raus zu manövrieren und an dem an die Versicherungen die die Leistungserbringer die
behandelnden haben erstmal aus von sich wenig Interesse dass ich daran viel ändert damit kommen wir zur these 7 wie eine patientenzentrierte gesundheitsdigitalisierung auskönn sehen könnte also ich meine wir haben schon vieles jetzt bemängelt daraus kristallisiert sich schon heraus was eine besseres Motiv wäre ich würde jetzt aber sagen den ersten Schritt machst du weil da warst du involviert ja genau nein also wenn man mal so ein bisschen mal zwei Jahre zurückgeht oder drei Jahre zurück geht drei Jahre sind genau dreieinhalb wir haben ja schon so große Digitalisierungsprojekte im Gesundheitswesen auch schnell irgendwie hinbekommen und es war Pandemie wir brauchten ganz ganz große kontaktnchverfolgungslösung die irgendwie auch Vertrauen genießt wir haben das tatsächlich schon mal hinbekommen wir haben die Coron ja irgendwie erfolgreich an den Start gebracht es war ein bisschen hau und Stechen vor ja gut das gehört dazu Apple und Google waren auch noch beteiligt aber es ist schon bemerkenswert dass das Ministerium also das BMG das in der Pandemie mit etwas viel Hilfe ein führendes Beispiel an Security bei Design Transparenz und selbstbestimmen geschaffen hat genau das jetzt bei der Digitalisierung des gesundheitswiesens nicht macht und zwar ganz bewusst und wir versuchen auch immer so konstruktiv wie möglich zu sein man kann sagen es ist alles doof und blöd und ja aber es ist ja im der digitalisier des Gesundheitswesen sind trotzdem auch viele ich sage jetzt nicht Chancen sondern ich glaube es hat es ist notwendig dass wir in eine Zeit kommen wo wir auch zeitgemäß mit digitalen vertrauenswürdigen Methoden im Gesundheitswesen agieren können und deswegen ich würde jetzt mal noch kurz ein bisschen erklären wie es zu diesem Brief gekommen ist haben wir versucht mit verschiedenen Organisationen auch das Ganze zu artikulieren wie sowas aussehen könnte kennt vielleicht noch die Prüfsteine der chon warnpp das ganze gibt's jetzt auch fürs für die Digitalisierung des Gesundhe
itswesens Zeh Prüfsteine für die Digitalisierung des Gesundheitswesens und weil wir so ein bisschen halt auch immer in dieser nerdbabble sind ja ein paar Nerd sagen das unsicher aber die haben wir keine Ahnung ähm dachten wir lass uns doch auch mal Betroffenen sprechen ähm und wir haben dann tatsächlich auch diesen offenen Brief äh ausgelöst zusammen mit der deutschen elshhilfe dem ch Computerclub den innovations öffentlich Gesundheit SuperLab D64 W hab wir noch die digitale Gesellschaft und ich hoffe ich kein vergessen haben relativ viele auch noch die sich angeschlossen haben z.B ja die Verbraucherzentrale Bundesverband also durchaus auch Menschen die jetzt nicht so Hardcore Technik machen die aber sehr stark um die Bedürfnisse von Patientinnen VerbraucherInnen kümmern und z.B auch den paritätischen Gesamtverband das heißt durchaus merken wir dass es auch für Betroffene für Menschen die diskriminiert und stigmatisiert werden durch möglicherweise auch das digitale Gesundheitswesen dass für die das auch ein Anliegen ist dass man das einerseits zwar möchte digital aber möchte es auch vertrauenswürdig mach es selbstbestimmt und dazu kommen wir jetzt zu Forderungen aber vielleicht noch eine Ergänzung dazu was mir gerade so einfällt und was mir auch auffällt seit ein paar Monaten wenn man so diese Ausschusssitzungen oder auch die Debatten dazu verfolgt wie dann selbst hohe Repräsentantin aus den Ministerien aber auch auf europäischer Ebene wie dann forschende die zu technischen Dingen zu kryptografischen Themen aber auch zu diskriminierungspotenzialen oder Gefahren viel mehr sich äußern wie die geradezu diskreditiert werden also es wird nicht nur ignoriert sondern es wird z.B unterstellt dass die ForscherInnen die sich mit Kryptographie beschäftigen und kritisieren oder zumindest warnen davor dass diese Systeme nicht sicher sein dass Sie beispielsweise von ähm amerikanischen browseranbietern finanziert sein das ist sind Argumente die sich dann nicht mehr mit dem Themati
k oder mit der Sache beschäftigen sondern ist eine Diskreditierung die ich aus anderen Ländern kenne wo es längst nicht mehr darum gibt um Fakten zu diskutieren oder tatsächlich um Gefahren gesellschaftliche Gefahren immensen Ausmaß es geht ja um Gesundheitsdaten von rund 500 Millionen Menschen die da reingepumpt werden und insofern ist es bemerkenswert dass es halt nicht nur die eine Bubble ist sondern dass es tatsächlich ein Querschnitts ähm Bild sich da zeigt und auch eine mein dazu also tatsächlich ja es empört mich muss ich kurz reinschieben so kommen zu den Forderungen wir machen vier Forderungen die wir am Ende noch mal aufstellen das betrifft die informationale Selbstbestimmung das Gemeinwohl als zweites das dritte ist die IT Sicherheit und das vierte ist die Dezentralisierung von Daten wie sie gerade schon angesprochen war die erste Forderung mit dem Recht auf informationale Selbstbestimmung ich sag das schon das ist keine Worthülse sondern das ist ein Grundrecht und Bianca sagte gerade es gibt Diskriminierung es gibt Stigmatisierung und wenn man sich das Gesundheits die gesundheitsgesetze anschaut bei der elektronischen Patientenakte habe ich z.B die Möglichkeit bestimmte Inhalte zu verschatten wenn ich also nicht möchte dass meine Zahnärztin was sieht was meine Therapeutin geschrieben hat oder diagnostiziert ist dann kann ich Daten verschatten in bestimmten Bereichen ist das aber gar nicht vorgesehen beispielsweise medikationsplan den ich erhalte wenn ich eine bestimmte Menge an Medikamenten bekomme dann habe ich einen elektronischen medikationsplan und da kann ich Sachen nicht verschatten das heißt ich brauche das Recht auf Information Selbstbestimmung im Detail ich muss meinen konsent geben können im Detail zu einzelnen Bereichen das muss quer über alle Bereiche über alle Apps über alle Einzelteile dieser gesundheitsdigitalisierung und Sektoren muss das erfolgen äh und erst dann kann ich auch davon reden dass ich tatsächlich das Recht und die Verfügbark
eit an diesen Daten habe und eine Entscheidung treffen kann wie damit umgegangen wird das ist bislang nicht der Fall das zweite ist Gemeinwohl definieren und umsetzen eine Kritik die immer wieder auftaucht die aber wieder immer wieder nicht angenommen wird ist dass der Begriff des Gemeinwohls nicht definiert ist das ist tatsächlich ein wohlfeiler Begriff der immer wieder in diese Debatte geworfen wird seitens der Bundesregierung die sich aber nicht die Mühe macht den zu definieren und ich glaube aus gutem Grund weil ich mit Blick auch auf die dsgvo sagen kann dass datenschüz dass Datenschutzrechte eingeschränkt gelten wenn das Gemeinwohl davon profitiert sprich wenn mit den Daten geforscht wird daran haben die Unternehmen Interesse und bekanntlich und wir haben darauf hingewiesen will Karl Lauterbach auch den Unternehmen diese dat Silos ja auch weitgehend übergeben das heißt ähm ich habe hier äh keine klare Definition des Gemeinwohls weil sie einschränken würde ich brauche sie aber und das würde bedeuten wenn Unternehmen mit den Daten forschen dann muss ich als versicherte Person davon profitieren können ich muss die Daten einsehen können die Ergebnisse einsehen können das passiert aber meistens im Zuge der Publikation erst Monate wenn ich sogar Jahre später das muss geändert werden es muss patentfrei sein frei zugänglich sein äh und wenn ich das hinbekomme dann kann ich darüber sprechen überhaupt erst darüber sprechen dass es eine diskriminierungssensible m Umgang mit Gesundheitsdaten ist die auch tatsächlich Patientinnen zentriert ist und das ist sie bislang auch mit Blick aufs gemein wohl nicht gut kommen wir mal zu dem Thema Vertrauen durch Technik das ist eine weitere Forderung ich habe jetzt gerade von vertrauenswürdigen ausführungsumgebung gesprochen wir vertrauen in diesen Systemen wie sie angedacht sind sehr sehr vielen wenigen einzelnen Playern die auch in der Umsetzung nicht ja verpflichtet sind das offen zulegen die gematik macht zugeebenerweise relativ
vielen Open Source inzwischen sie stellt Spezifikationen bereit die Dinge die sie selbstentwickelt sind auch meistens Open Source das machenwis machen sie inzwischen ganz gut aber de factor haben wir in diesen ganzen System viele magische Dinge die irgendwie nicht unter Kontrolle sind die wir auch nicht genau einsehen können was die Krankenkassen damit machen wie die Spezifikation umgesetzt werden weiß kein Mensch wir wissen ein bisschen was die Kerntechnologien sind ähm aber äh das das ganze ist nur dann vertrauenswürdig wenn man das auch klar einsehen kann wenn man das auch klar irgendwie kontrollieren kann wenn es auch von neutralen Dritten eingesehen werden kann was im Bereich gesundheitsdigitalisierung gerade auch passiert ist eine Entmachtung des BFD und des BSI weil man die nur noch im ja im Benehmen konsultiert und nicht mehr im Einvernehmen und das heißt da die frck man mal so bisschen Z opator macht D mal dann eigentlich was man will und ich glaube Vertrauen durch Technik kann nur dann entstehen wenn sie Systeme offen zugänglich auch bestensfalls Open Source sind und erst dann kann ich diesen System auch Vertrauen speziell auch im Bereich Security das Ganze kann ist nur dann sicher wenn es nicht irgendwie security by obscurity ist sondern wenn es ganz klar auch einsehbar nachvollziehbar und auditierbar ist von neutralen Dritten ja was uns noch zu diesem Thema führt ich habe über cloudtechniken gesprochen de facto haben wir jetzt so vertrauenswürdige ausfüungsumgebungen die z.B bei der größten Krankenkasse in Deutschland ca 11 Millionen Daten setze in so ein vertrauenswürdigen Dings zentralisieren und Karl auderbach verwendet ganz gerne mal das Wort Dezentralisierung weil man sagt es hatte so ein bisschen ein flir von Privatsphäre und Sicherheit die factor ist aber alles das was jetzt gerade passiert eine sehr sehr starke tiefergehende Zentralisierung von Daten und wir wissen dass diese Systeme irgendwann mal scheitern werden irgendwann mal lecken werden ab
er wir würden uns natürlich auch im Sinne der Hackerethik wesentlich woher damit fülen wenn wir das so gut wie möglich dezentralisieren könnten weil am Ende geht's nicht darum dass diese Daten irgendwo in Größen Topf großen Topfen irgendwo liegen sondern es geht darum dass dies Daten indivelle für die einzelne Patientin gebündelt sind und damit am bestenfalls dezentralisiert sind bei der jeweiligen Patienten ja und damit sind wir den Abschnitt der Fragen und verweisen noch mal auf die Slides Artikel bei Netzpolitik unsere Kontaktdaten und jetzt gerne fragen
[Musik]
[Applaus]
vielen Dank für diesen super Vortrag schon mal wenn ihr Fragen habt stellt euch bitte an den Mikrofonen auf wir werden euch nach und nach dran nehmen als erstes würde ich mal den Signal Angel bitten eine Frage vorzulesen es gibt insgesamt fünf Fragen aus dem Internet die erste Frage wäre gibt es Ansätze diese Daten über Schnittstellen abfragbar zu machen ohne sie in einen großen datentopf zur Verarbeitung zusammenzuführen und auf so einer föderierten Architektur die verschiedeneen Forschungs und medizinanwendung über multiparty computation oder ähnliche Ansätze zu realisieren ja also diese Ansätze gibt's technisch sie werden technisch tatsächlich auch von z.B die Medizininformatik Initiative benutzt das ist spannend weil also es gibt in Deutschland Institution die diese Techniken tatsächlich erfolgreich benutzen wden aber bei dem Bereich von äh den den Kern Elementen der des forschungsdatenzentrums und auch ja bei den Krankenkassen nicht genutzt was spannend ist also eigentlich gibt's das aber man will das politisch eigentlich bewusst meines mein Ansicht nach nicht genau okay dann Mikrofon 1 bitte ja vielen Dank euch erstmal meine Frage ist hattet öfter den Herrn Lauterbach erwähnt gibt es denn überhaupt eine politische Partei oder größere Gruppen von interessensträg die heute noch Widerstand leisten können z.B gegen so eine optout Geschichte oder so oder ist das eigentlich ein breites Bild also sagen wir sind jetzt wir gegen die alle oder gibt es dann noch Unterstützer nee also man muss auch dazu sagen wir hatten z.B einen offenen Brief online und dann haben z.B auch Anke domschalberg und Sabine Grützmacher die z.B auch hier sitzt dies sind auch mit unterzeichnet ich weiß auch von bestimmten Abgeordneten der Grünen die da bewusst dagegen sind weil eben diese Transparenz nicht nicht da ist aber ähm ich habe das Gefühl dass das Thema so bewusst in diese gesundheitsschiene gedrückt wird und dass man die digitall Leute gar nicht einbeziehen will und das ist das entsch
eidende Problem dass dieser dieser politische Gesetzgebungsprozess so schnell durchgedrückt wurde dass gesundheitsleute über die Risiken von digentalen System entschieden haben und ich glaube da muss man mit allen Möglichkeiten die man z.B im Nachhinein noch hat dagegen klagen und sonst dieinge tun und noch mal drauf hinweisen dass es nicht okay ist und das muss man auch auf EU den Ton danke okay vielen dank für die Frage und die Antwort Mikrofon Nummer 3 bitte auch erst noch mal ganz herzlichen Dank du hast ganz zum Schluss gesagt Daten dezentralisieren wo würdest du sie gerne gespeichert sehen in den Arztpraxen beim Patienten also ich bin natürlich ein Mensch der sehr sehr gerne versucht das indivell bei den Personen zu lassen also im Sinne von eine eine dezentrale Kopie bei den Patientinnen wäre ganz gut dass man es eh dann aggregiert bei den Patientinnen man hat's ja eh so dass man hat hatmer eine quasi doppelte Datenhaltung hat das einerseit in diesen zentralen Ding in der elektronischen paentenakt z.B und eben auch in den Arztpraxen und de facto gibt's dann halt immer die Notwendigkeit dass man quasi die den die Patienten in die World Kopie immer bei den Patientinnen belässt das W mir eigentlich am liebsten aber wir haben natürlich da immer Probleme mit Backup sonstige Dinge von DAH wird es dann immer so Dinge geben die man dann immer so ein bisschen ja Backup muss aber die factor muss man das System glaube ich gar nicht so groß verändern weil was macht die Krankenkasse sie macht ein Backup von dem System wo sie nicht reingucken sollen und ähm das muss man glaube ich einfach sehr stark noch runterbrechen auf auf äh stärkere Dezentralisierung Vereinzelung das wäre möglich wir ist aber nicht gewollt vielen Dank lieber Signal Angel bitte die nächste Frage aus dem Internet die nächste Frage wäre gibt es konkrete Handlungsempfehlungen Hinweise wie funktioniert opout und gibt es nur ein bestimmtes Zeitfenster für den opdout oder wie das umgesetzt wird also zum Thema
optout ist es so es gibt eine eine Informationskampagne die hat ein riesenbudget von 4 Millionen Euro ich weiß nicht was da jetzt passiert aber die Krankenkassen sind damit beauftragt dafür zu informieren D von daher sollte noch was kommen es ist aber glaube ich auch sinnvoll dass man da noch mal drauf guckt in den im neuen Jahr wenn auch ganz klar ist wie es umgesetzt wird auf ja weiß nicht Verbraucherzentralen sonstige weil es aktuell noch so ein bisschen in der Schwebe ist das Gesetz ist es quasi frisch ver und die Umsetzung auch mit der EPA für alle dessen Spezifikation noch nicht final ist wird noch ein bisschen bis wirklich final ist wie es funktioniert dauern aber man kann ja schon mal bei der Krankenkasse Anfragen und sagen übrigens wieen das ich würde hät da Interesse meine meine Rechte wahrzunehmen wie macht ihr das denn hilft auf jeden Fall dann würde ich das Mikrofon Nummer 3 noch mal bitten ich habe noch eine Anmerkung zum Thema Verschlüsselungsverfahren meiner Ansicht nach sind die für den Anwendungszweck gar nicht geeignet bei Bankdaten ist es so nach 10 Jahren wenn die dann potenziell gebrochen sind fürchlüssungsverfahren interessiert das wahrscheinlich niemanden mehr bei Gesundheitsdaten die können auch noch nach Vieren Jahrzehnten toxisch sein potentiell wenn es um Gendaten geht auch über mehrere Generationen hinweg es gibt ja den Ansatz Store now decrypt later äh das heißt ich schneide jetzt alles mit was verschlüsselt übertragen wird legegt mir da die Daten ein paar Jahre in den Schrank und hab dann ein gebrochenes Verschlüsselungsverfahren und kann das Entschlüsseln habt ihr da auch schon mal drüber nachgedacht ähm also muss dazu sagen genau einem Punkt hat die gematik darüber nachgedankt dass man da auch schon in Richtung Quanten sicher gehen soll zumindest mit von der Übermittlung der Daten an an diese an diese vertrauenswürdige ausfungsumgebung aber bei allem was in der Verarbeitung dann funktioniert und was z.B auch bei den bei den Forschun
gseinrichtung mit diesen Daten dann beforscht wird oder ähm im forschungsdatenzentrum selbst da gibt es da keine größeren äh Überlegungen dazu das ist aber natürlich ein Problem wie Du richtig angemerkt hast dann noch mal Mikrofon ein bitte vielen Dank für den Vortrag und für eure Arbeit ich wollte mal wissen ob ihr vielleicht Infos darüber habt ob so optler in irgendeiner Form benachteiligt werden sollen von den Krankenkassen also per Gesetz soll das nicht so sein aber in der Praxis ist ja immer so ein bisschen na ja man man kennt das ja okay danke dann würde ich noch mal eine Frage aus dem Internet nehmen zu der thesee mit der Statistik bei den Krankenkassen heißt ist konkret dass wir in Zukunft risikobasierte krankenkassetarife angeboten bekommen so bei der Kfz versiererung mit regional und schadensfreiheitrapport nein das ist gesetzlich tatsächlich ausgeschlossen aber es ist nicht glaube ich nicht wirklich auszuschließen dass z.B na ja Menschen die mit dir dann irgend Kontakt sind also diese diese Empfehlungen die die Krankenkassen dann verschicken die sollen sie schriftlich verschicken aber das heißt natürlich dass sie trotzdem indirekt so ein Profiling haben das soll sich nicht auf die Krankenkasse Tarife auswirken allerdings ist natürlich rein logisch äh politisch gesehen für eine stärker marktorientierte Gesundheitsversorgung der nächste Schritt Mikrofon 1 bitte ja ich habe folgende Frage es ist ja so medizinische Daten sind ja nicht auch immer fehlerfrei also Stichwort z.B zweitmeinungsgesetz äh der eine Arzt sagt operiere die Hüfte man geht woanders hin der sagt ist ja gar nicht nötig ferner sind ja medizinische Diagnosen ja auch nicht immer nur für den Patienten da sondern manchmal auch z.B abrechnungsgetriggert hat man als Patient in diesem ganzen Konzept dann eigentlich wenn man schon mal der EPA eingewilligt hat dann ein Recht darauf solche Daten wieder zu entfernen also z.B zu sagen dieser Arztbrief des Orthopäden das ist totale Humburg der muss da ra
us der hat mit mir nichts mit meinen Daten nichts zu tun oder mit meiner Gesundheit ich will nicht dass jetzt konkrete Dokumente da drin bleiben habe ich diese diese Möglichkeit auf Löschung also grundsätzlich die Möglichkeit auf Löschung ist rein im Berechtigungskonzept wie es aktuell kenne aber es ist auch in der Entwicklung ist aktuell noch enthalten das Problem ist aber glaube ich auch dass du ja noch ein Folgeproblem hast du musst ja auch die Diagnose die dann quasi auch deine Krankenkasse dann schon kennt unter Umständen auch noch korrigieren das ist also eher so ein Problem was jetzt schon jetzt schon vorliegt was jetzt in der Praxis schon ein Problem sein kann auch mit mit irgendwie ja ähm spit mit der Krankenkasse und äh das ist nicht besonders explizit angesprochen worden tatsächlich gab es auch Meinungen wo wo Ärztinnen in den Anhörungen meinten Patientinen soll gar kein Recht haben Daten zu löschen also das trifft auch ein bisschen eine komische Richtung ab okay danke dann gehen wir mal nach hinten an das Mikrofon Nummer 4 bitte habt ihr in der EPA für alle irgendeinen Hinweis gefunden ob ein optout ein eine technische andere Behandlung der Datenverarbeitung beinhaltet oder ist völlig egal ob ich ein mache die Daten W gleichzeitig diekrypt wie alle anderen auch also grundsätzlich ist die EPA im optout etwas was technisch eigentlich nur dadurch gelöst wird dass die Verarbeitung durch den konsent blockiert wird das aber z.B der Zugriff es gibt noch ein entitlement Management das entitlement entitlement Management gibt bestimmt Anwendungen Zugriff auf diese Daten das wird normalerweise nicht geändert du kannst aber individuell deen persönlichen Konsens oder sag mal eher Widersprüche draufszen die bestimmte Verarbeitung blockieren also eigentlich ist es kryptographisch kein Unterschied okay und dann noch eine letzte Frage Mikrofon Nummer 3 noch mal bitte du hast gesagt EPA 300 wird verschlüsselt mit der Krankenversicherungsnummer die steht no nicht nur der K
rankenkasse zur Verfügung sondern steht auch auf diesen Karten drauf und auf jeder Überweisung und ih ihr Rezept kannst du das noch mal genau erklären bitte also die Kauf ist eine Nummer die besteht aus zwei Teilen ein erster Teil davon ist auf deiner Krankenversicherungskarte das sind die ersten Nummern das ist auch also Teil davon ist patientenell unique über den gesamten gesamte Leben und ein anderer Teil besteht steht nur der Krankenversicherung als zweiter Teil zur Verfügung das heißt aber trotzdem dass die Krankenversicherung als solche diese Information vorlegen hat hat sie Frage beantwortet grob gut man merkt do anhand der ganzen Fragen dass es ein sehr interessantes Thema ist vielen lieben Dank Daniel und Bianca für diesen tollen
[Applaus]
Vortrag
[Musik]
