Experten: Roboter-Therapeuten brauchen Regeln

Künstliche Intelligenz (KI) wird bei psychischen Erkrankungen eingesetzt –  doch für die Roboter fehlen bisher umfassende ethische Regeln. Darauf weist eine am Mittwoch veröffentlichte Studie der Technischen Universität München hin. Untersucht worden sei darin erstmals, wie „verkörperte KI“ die Behandlung psychischer Erkrankungen unterstütze. Wichtige ethische Fragen zu dieser Technologie seien jedoch unbeantwortet. Es bestehe dringender Handlungsbedarf für Regierungen, Fachverbände und Forschung, so das Fazit.

Der Universität zufolge werden etwa Roboter-Puppen eingesetzt, mit denen autistische Kinder lernen, Menschen besser zu verstehen. Computergenerierte Avatare wiederum helfen, mit Halluzinationen umzugehen. Dazu kommen virtuelle Chats, die Unterstützung bei Depressionen bieten. Die Menschen interagierten mit einem künstlichen Gegenüber, wodurch neue Dynamiken entstünden. Diese Anwendungen hätten „enormes Potenzial“, heißt es. Sie könnten mehr Menschen Zugang zu einer Behandlung bieten, weil sie nicht an bestimmte Zeiten und Orte gebunden seien.

Künstliche Intelligenz darf nicht zu einer günstigen Alternative werden

Einigen Betroffenen fällt es zudem leichter, mit der KI zu kommunizieren als mit einem menschlichen Gegenüber, wie die Studie ergab. Doch Amelia Fiske, die daran mitwirkte, warnte, verkörperte KI dürfe kein billiger Ersatz für eine Behandlung durch reale Ärztinnen und Ärzte sein. Ihrer Ansicht nach ist es dringend nötig, die Vorteile dieser Technologien zu nutzen, zugleich aber die Nachteile zu vermeiden. Der Professor für Psychosomatische Medizin, Peter Henningsen, forderte, das Thema auch im Medizinstudium zu behandeln.

Derzeit werden laut der Professorin für Ethik der Medizin und Mitglied des Deutschen Ethikrates Alena Buyx bereits vermehrt Leitlinien für KI erstellt. Aus ihrer Sicht braucht es aber fachspezifische Regeln für therapeutische KI-Anwendungen: „Wenn die Programme beispielsweise erkennen können, ob Patienten Suizidgedanken haben, dann müssen sie, genau wie Therapeutinnen und Therapeuten, im Ernstfall klare Warn-Protokolle befolgen.“

Bisher gebe es auch kaum Erkenntnisse, wie sich der Kontakt mit KI auf Menschen auswirke, so Buyx. Womöglich lerne etwa ein Kind mit einer Störung aus dem Autismus-Spektrum durch den Kontakt mit einem Roboter nur, wie man besser mit diesem umgehe, nicht aber mit Menschen. 

Schön-Klinik Bad Arolsen: Bei Depression und Essstörungen steckt der Therapeut auch im Handy

Bad Arolsen. Psychotherapie am Computer, Online-Hilfe bei Depression oder Essstörung, geht das? – Die Psychotherapeuten der Schön-Klinik beantworten beide Fragen mit einem eindeutigen „In bestimmten Fällen, ja!“ und verweisen auf das von ihnen entwickelte System MindDoc.de

 „Online-Intervention in der psychotherapeutischen Versorgung“ lautete der Titel einer Fortbildungsveranstaltung in den Räumen der Klinik. Zehn interessierte Psychotherapeuten aus Nordhessen und dem angrenzenden Ost-Westfalen nutzten dabei die Gelegenheit, sich vom Psychotherapeuten Bernhard Backes und der Leitenden Psychologin der Klinik, Stephanie Brausewetter, in die nicht nur für medizinische Laien erstaunlichen technischen Neuerungen auf diesem Gebiet einführen zu lassen. 

Einige dieser online-basierten Therapie-Tools wurden von den Experten der Schön Klinik in Bad Arolsen im Rahmen eines von der EU-geförderten Forschungsprojektes entwickelten MindDoc-Systems einführen.

Minddoc gilt als erste vollwertige Psychotherapie, die über das Internet erfolgt. Das System ist nach den Richtlinien der Psychotherapeutenkammer zertifiziert und beachtet alle Aspekte der Datensicherheit. Die Server stehen in Deutschland und unterliegen deutschem Datenschutzrecht. Die Kommunikation zwischen Therapeut und Patient erfolgt über eine End-to-End-Verschlüsselung mittels einer eigenen App. Skype oder gar Messengerdienste gelten als viel zu offen und unsicher.

Ganz ohne menschlichen Kontakt funktioniert aber auch diese Online-Therapie nicht: Patienten, die diese niedrigschwellige Therapie gegen ihre Depression, Angst- oder Essstörung nutzen wollen, müssen sich zunächst bei einem Psychotherapeuten, der mit der Schön-Klinik kooperiert einem zweimal 50-minütigem Diagnose-Gespräch unterziehen. Dabei werden die Symptome erfragt und die Therapiefähigkeit abgeklärt.

Wie kann der Therapeut Kontakt aufnehmen?

Danach können die Patienten ähnlich wie bei der klassischen ambulanten Therapie einmal oder mehrmals wöchentlich mit ihrem Therapeuten in der Schön-Klinik in Online-Kontakt treten. Das geht über ein besonderes Programm verschlüsselt von Computer zu Computer. Dabei sehen sich Therapeut und Patient auf dem Bildschirm und sprechen wie bei einem Praxisbesuch miteinander. Am Ende einer solchen Sitzung kann der Therapeut dem Patienten eine „Hausaufgabe“ mitgeben, genauso wie dies bei jeder Therapie üblich ist.

Die Fragebögen und Online-Tagebücher können am PC oder auf der Handy-App bearbeitet werden. So können Patienten auch unauffällig etwa im Bus oder im Zug ihre Aufgaben lösen ohne für jedermann sichtbar große Fragebögen auszufüllen.

Eventuell notwendige Krisengespräche lassen sich schneller und unkomplizierter vereinbaren und abwickeln. Allerdings kann ein Video-Gespräch immer nur vom Therapeuten begonnen werden. Der Patient aber, der etwa beieiner schweren Depression, das Bett nicht verlassen möchte. muss nicht das Haus verlassen und findet schnell einen kompetenten Ansprechpartner.

Wie können Apps bei der Behandlung von Essstörungen helfen?

In das Minddoc-System integriert ist die App „Recovery Record“ für die Behandlung von Esstörungen. Mit Hilfe dieser App können die Patienten zeitnah Buch führen über die Mahlzeiten, die sie aufgenommen haben, über die Gefühle, die sie dabei empfanden und viele Aspekte mehr.

Der Vorteil: Fast jeder Patient führt ohnehin ständig ein Smartphone mit sich. Deshalb gebe es keine Hürde, die überwunden werden muss. Kern von „Recovery Record“ ist ein Ernährungsprotokoll, das den behandelnden Medizinern genau aufzeigt, welche Fortschritte der Patient mit seinen Essstörungen macht. Automatisiert gibt die App positives, ermutigendes Feedback und formuliert Tipps, was als nächstes zu tun ist.

Bei der Behandlung von Angststörungen setzt die Schön-Klinik die neuste Generation von 3-D-Brillen ein, mit denen dem Gehirn ein „Virtual Reality“, also eine virtuelle Wirklichkeit vorgegaukelt wird. Diese Anwendungen, die an moderne Computerspiele erinnern, eignen sich dazu, Patienten mit einer Angst vor Menschenansammlungen oder einer Sprechhemmung vor Publikum ihrer individuellen Angstsituation auszusetzen. 

„Dr. Google“ kann erste Hinweise geben

Bernhard Backes: „Diese Programme simulieren einen Vortrag vor einem Publikum, das sich langweilt, gähnt oder provozierende Fragen stellt. Damit kann man die tollsten Sachen trainieren.“ Im Rahmen seines Vortrags stellte dertechnikbegeisterte Psychotherapeut auch eine Auswahl anderer Online-Angebote zur Psychotherapie vor. Einige dieser Angebote stammten von Krankenkassen und seien nicht zertifiziert: „Da weiß man nicht, wer die Daten sammelt und was damit geschieht.“ Andererseits seien die niedrigschwelligen Angebote zur Selbsteinschätzung auch eine gute Hilfe, seine eigene Behandlungsbedürftigkeit einzuschätzen. Der allgegenwärtige „Dr. Google“ habe durchaus seine Berechtigung wenn die dort gewonnenen Erkenntnisse dazu dienten, recht bald einen richtigen Mediziner aufzusuchen.

Als allgemein zugängliche Programme zur Selbsthilfe listete Backes Moodpath, Self-apy, Moodgym, iFightDepression, deprexis24 oder bei Essstörungen Jourvie auf. Manche Apps seien kostenlos, andere nur gegen Lizenzgebühr nutzbar. Gegen ein kritisches Ausprobieren spreche nichts, so der erfahrene Online-Therapeut.

Wenn denn diePrognose der Weltgesundheitsorganisation WHO stimme, wonach im Jahr 2030 Depressionen die größte Krankheitslast ausmachen, dann könnten gar nicht so viele Therapeuten ausgebildet werden wie nötig seien. Dann führe langfristig kein Weg an Online-Interventionen vorbei.

Viele Praxen gehen zu nachlässig mit Passwörtern um

Zwischen der optimistischen Selbsteinschätzung von Praxen und Krankenhäu­sern hinsichtlich ihrer IT-Sicherheit und der Realität besteht häufig eine große Kluft. Das lässt sich den Ergebnissen einer mehrstufigen Untersuchung zur IT-Sicherheit im Gesund­heitssektor im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) entnehmen, die der Verband heute in Berlin präsentierte. Schwachpunkte sind demnach vor allem elementare Sicherheitsversäumnisse wie die Verwendung schwacher Passwörter oder veralteter Software.

Nach einer bereits im Sommer 2018 durchgeführten Forsa-Umfrage im Auftrag des GDV waren 81 Prozent der teilnehmenden Ärzte der Meinung, ihre Computersysteme seien umfassend geschützt. Rund 44 Prozent der Praxen bewertete das Risiko, Opfer von Cyber­kriminalität zu werden, zwar als hoch, aber nur 17 Prozent der Ärzte sahen dieses Risiko auch für ihre Praxis.

„Das Bewusstsein ist da, dass Cyberangriffe jeden treffen können“, meinte Gert Baumeis­ter, Vorsitzender der Projektgruppe Cybersicherung im GDV. Die Einschätzung des eigenen Risikos sei in der Selbstwahrnehmung jedoch geringer ausgeprägt als in anderen Bran­chen. So halten etwa 56 Prozent der befragten Ärzte ihre Praxis für zu klein, um in den Fokus von Cyberkriminellen zu geraten – laut Baumeister ein Irrtum, da viele Angriffe ungezielt unternommen würden.

Zusätzlich zur Forsa-Umfrage hat der Verband einen mehrmonatigen IT-Sicherheitstest von November 2018 bis März 2019 mit dem Analysetool Cysmo beauftragt, in den die Mailserver von circa 1.200 willkürlich ausgewählte Praxen unterschiedlicher Größe und Fach­richtungen sowie 250 Kliniken und Apotheken einbezogen wurden. Mit dem automa­tisierten Tool lassen sich öffentlich einsehbare Informationen aus Sicht eines Angreifers erfassen und potenzielle Angriffspunkte ausmachen.

Das Testergebnis: Von den untersuchten Arztpraxen waren nur fünf (0,4 Prozent) bei den verwendeten Verschlüsselungsverfahren auf dem technischen Stand, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt. Die übrigen Praxen ließen eine Verschlüsselung des E-Mail-Verkehrs auch mit veralteten oder unsicheren Standards zu, sodass diese Mails potenziell auch von unbefugten Dritten gelesen werden könnten.  Zudem setzten nur fünf Prozent der Kliniken sichere Verschlüsselungstechnologie ein.

Größtes Risiko: Passwörter

Im dritten Schritt der Untersuchung hat der GDV die IT-Sicherheit von 25 niedergelasse­nen Ärzten von einem White-Hat-Hacker und IT-Sicherheitsexperten analysieren lassen. Michael Wiesner, Mitglied im Chaos Computer Club, testete dabei die technische und organisa­torische IT-Sicherheit von 25 freiwilligen Teilnehmern sowohl vor Ort in der Praxis als auch von außen mit Phishing-Mails und einem Penetrationstest.

Dabei zeigten sich erhebliche Defizite bei der organisatorischen Sicherheit. „Von außen sind die Praxen in der Regel gut abgesichert, doch bei Passörtern schludern fast alle Ärzte“, erklärte Wiesner.

Empfohlene Schutzmaßnahmen:

  • Sicherheitsupdates automatisch einspielen und Systeme aktuell halten
  • Mindestens einmal wöchentlich Sicherungskopien machen
  • Administratoren-Rechte nur an Administratoren vergeben
  • Über das Internet erreichbare oder mobile Systeme zusätzlich schützen
  • Manipulationen und unberechtigten Zugriff auf Sicherungskopien verhindern
  • Systeme mit Schutz vor Schadsoftware ausstatten und diesen automatisch aktualisieren lassen
  • Sicherungskopien physisch vom gesicherten System trennen
  • Mindestanforderungen für Passwörter verlangen und technisch erzwingen
  • Eigene Zugangskennung und individuelles Passwort für jeden Nutzer
  • Wiederherstellen der Daten aus der Sicherungskopie regelmäßig testen

So verwendeten neun von zehn Ärzten leicht zu erratende Passwörter. Am beliebtesten ist ihm zufolge das Passwort „praxis“, gefolgt vom Namen des jeweiligen behandelnden Arztes. Einige Praxen verzichteten sogar komplett auf einen Passwortschutz. Zudem konnte der Experte für Cybersicherheit in jeder zehnten Arztpraxis und bei 60 Prozent der Kliniken ohne besonderen Aufwand E-Mail- und Passwortkombinationen im Darknet recherchieren, wie er in einer Livedemonstration vorführte.

Auch für Phishing-Attacken zeigten sich viele Praxen äußerst anfällig: In jeder zweiten Praxis öffneten Mitarbeiter eine potenziell schadhafte E-Mail, 20 Prozent klickten auch auf einen Link oder öffneten einen Mailanhang. Dabei dient häufig das Erzeugen von Neugier oder Angst als Auslöser, um Nutzer zum Öffnen schadhafter Mails zu bewegen. So hatte Wiesner etwa eine fingierte Mail versandt, in der auf eine schlechte Bewertung der Praxis im Internet hingewiesen wurde, verbunden mit der Aufforderung, das Profil in dem Arzt-Bewertungsportal einzusehen.

zum Thema

Datensicherung häufig unverschlüsselt

Laut Wiesner erstellten zwar alle Praxen mindestens wöchentlich eine Datensicherung, aber nur neun von 25 haben ihre Datensicherung auch verschlüsselt, und nur vier teste­ten gelegentlich, ob sich die Daten durch eine Rücksicherung auch wiederherstellen lassen. In neun von 25 Praxen fehlten aktuelle Sicherheitsupdates der IT-Systeme. Vor allem veraltete Betriebssysteme waren häufig anzutreffen.

Lediglich eine der untersuchten Praxen verfügte über ein schriftliches Notfallkonzept für den Fall eines IT-Ausfalls. Die anderen Praxen verwiesen für diesen Fall auf ihren IT-Dienstleister – aber nur zehn Praxen hatten auch einen entsprechenden Vertrag mit ihrem Dienstleister abgeschlossen. Das ist insofern bemerkenswert, als acht von zehn Arztpraxen laut Forsa-Umfrage nach eigenen Angaben ihre Arbeit bei einem Ausfall der Praxis-IT einstellen oder stark einschränken müssten.

„Die Qualität der Sicherheit steht und fällt mit der Qualität der IT-Dienstleister“, konsta­tierte der IT-Sicherheitsexperte. „IT-Sicherheit kostet Geld, wenn man sichere technische Lösungen haben will.“ Organisatorische Lösungen, wie etwa ein regelmäßiger Passwort-Wechsel, seien da erheblich leichter durchzusetzen.

Pro und Contra: Sind internet- und mobilbasierte Interventionen sinnvoll bei psychischen Störungen?

Mit fortschreitender Digitalisierung werden zunehmend internet- und mobil­basierte Selbstmanagement-Interventionen (IMI) für psychische Störungen angeboten, vornehmlich bei leichten bis mittelschweren Depressionen oder Angsterkrankungen. Beispiele dafür sind die von diversen Krankenkassen angebotenen Programme Deprexis oder moodgym, Ifightdepression von der Stiftung Deutsche Depressionshilfe, oder auch Apps, die sich jeder herunterladen kann, wie zum Beispiel moodpath. Befürworter und Bedenken­träger solcher Anwendungen halten sich zurzeit die Waage.

Philipp Klein: Auch Selbstmanagement-Interventionen führen zu einer messbaren und andauernden Verbesserung der psychischen Beschwerden.

Das wichtigste Beispiel für IMIs sind Selbstmanagement-Interventionen. Sie vermitteln Kenntnisse aus der Psychotherapie nicht durch einen Therapeuten, sondern durch ein internetbasiertes Computerprogramm. Der Einsatz dieser Interventionen sollte sich nach der Studienlage und der Diagnose richten, die idealerweise vor Nutzung der Intervention gesichert wird.

Jan Philipp Klein, Leitender Oberarzt, Zentrum für Integrative Psychiatrie ZiP gGmbH, Universitätsklinikum Schleswig-Holstein /Malte Joost, GEO.de

Die Studienlage ist insbesondere bei Depressionen und Angsterkrankungen sehr gut. Die Studien zeigen beispielsweise, dass Selbstmanagement-Interventionen besonders geeignet sind für Menschen mit psychischen Störungen, die gegenwärtig nicht in Behandlung sind. Denn eine fehlende Behandlung bei bestehender psychischer Störung kann verschiedene Gründe haben. Viele Betroffene ziehen es vor, ihre psychische Störung aus eigener Kraft zu überwinden. Für diese Menschen kann eine Selbstmanagement-Intervention eine sinnvolle Alternative zur Psychotherapie im persönlichen Kontakt sein. Denn auch Selbstmanagement-Interventionen führen zu einer messbaren und andauernden Verbesse­rung der psychischen Beschwerden.

Sie eignen sich darüber hinaus als Ergänzung zu einer ambulanten oder stationären Psychotherapie. In diesem Fall können sie die Wirksamkeit der Psychotherapie steigern. Studien geben aber auch Hinweise darauf, in welchen Fällen der Einsatz von Selbstmanagement-Interventionen an seine Grenzen stößt: Beispielsweise sind diese Interventionen weniger wirksam bei Menschen, die einer Psychotherapie im persönlichen Kontakt mehr vertrauen oder bei Menschen, die auf der Warteliste für eine Psychotherapie stehen. Das bedeutet, dass diese Interventionen trotz ihrer nachgewiesenen guten Wirksamkeit keinesfalls immer als Behandlung der ersten Wahl angesehen werden können. Ferner sollten nur Programme zum Einsatz kommen, deren Wirksamkeit in randomisierten Studien gezeigt wurde.

Timo Beeker: Unspezifisch konstruierte Eingangstests suggerieren Usern einen höheren als tatsächlich bestehenden Hilfsbedarf.

IMI für psychische Störungen werden medial und in der Fachwelt oftmals einhellig begrüßt. Dabei gerät allzu leicht aus dem Blick, dass es sich bei ihnen nicht nur um ein Hilfsangebot handelt, sondern auch um ein lukratives Geschäftsmodell, hinter dem Start-Up-Unternehmen und Investorengelder stehen.

Timo Beeker, Assistenzarzt, Hochschulklinik für Psychiatrie und Psychotherapie der Medizinischen Hochschule Brandenburg /privat

Besondere Skepsis ist gegenüber sogenannten Psycho­therapie-Apps angezeigt, die versprechen, vollautomati­siert eine ähnliche Wirkung wie eine herkömmliche Verhaltenstherapie zu erzielen. Bereits aus dem Aufbau dieser Anwendungen wird der Einfluss expansiver Marktlogik ersichtlich: Unspezifisch konstruierte Eingangs­tests suggerieren Usern einen höheren als tatsächlich bestehenden Hilfs­bedarf. Dadurch werden gezielt Menschen angesprochen, die lediglich unter lebens­bedingungs- oder stressassoziierten Allgemein­beschwerden leiden. Nichtsdestotrotz erfolgt die Interaktion mit den Programmen unter der Hypothese, die subjektiven Beschwerden seien in Wirklichkeit Symptome einer Erkrankung. Diese subtile Umdeutung des eigenen Befindens kann schnell in Selbstpatholo­gisierung umschlagen. Spätestens wenn die Beschwer­den nachlassen, was ohnehin zumeist spontan geschieht, scheint der Beweis erbracht, dass man wohl tatsächlich krank gewesen ist. Diese per self-fulfilling prophecy gewonnene Überzeugung sichert die zukünftige Kundentreue und erhöht zugleich das Risiko, dass User auch im analogen Gesundheitssystem eigentlich inadäquate Diagnosen erhalten.

Angesichts des expandierenden psychiatrischen Versorgungssystems und der inflationären Vergabe psychiatrischer Diagnosen sollte dies Anlass zur Sorge bieten. Ähnlich wie der Antidepressiva-Boom in den 1990er-Jahren könnten IMI für psychische Störungen eine neue Welle der Psychiatrisierung von Gesellschaft und individuellen Lebenswelten auslösen.

Ärzte sollten Zugang zur Telematik­infrastruktur bestellen

Arzt- und Psychotherapeutenpraxen müssen bis zum 31. März dieses Jahres die Technik für den Anschluss an die Tele­ma­tik­infra­struk­tur (TI) bestellt haben und dies ihrer Kassen­ärztlichen Vereinigung (KV) nachweisen. Bis Ende Juni 2019 muss die Technik installiert sein, ansonsten drohen Sanktionen in Höhe von einem Prozent des Praxisum­satzes. Darauf hat die Kassenärztliche Bundesvereinigung (KBV) hingewiesen. Sie rät den Ärzten, sich bei der Bestellung einen Installationstermin bis zum 30. Juni schriftlich zusichern zu lassen.

„Ärzte und Psychotherapeuten, die noch nicht an die Tele­ma­tik­infra­struk­tur (TI) ange­schlossen sind, sollten in jedem Fall noch in diesem Monat bestellen und das Ergebnis der Bestellung auch an ihre Kassenärztliche Vereinigung (KV) melden“, unterstrich KBV-Vorstandsmitglied Thomas Kriedel in einem Interview mit KV-on.

Das gelte selbst dann, wenn der Anbieter zurzeit noch nicht in der Lage sei, alle Kompo­nenten zu liefern oder fristgerecht Termine zu benennen. Kriedel betonte: „Nach unserer Auffassung ist in einem solchen Fall der Arzt oder Psychotherapeut definitiv von Sanktio­nen befreit, weil er seine Verpflichtungen aus dem Gesetz erfüllt hat.“

zum Thema

Der KBV zufolge gelten für die TI besonders hohe Sicherheitsanforderungen. Demnach benötigen Praxen neben Konnektor und E-Health-Kartenterminal einen VPN-Zugangs­dienst, ein Update des Praxisverwaltungssystems (PVS) und einen Praxisausweis.

Für die Bestellung der Technik ist der PVS-Anbieter oder der IT-Betreuer der Praxis der Ansprechpartner. Einige Praxen hätten zudem Anspruch auf weitere Geräte. Hierzu können die KVen Auskunft geben. Sie informieren auch darüber, in welcher Form der Nachweis über die Bestellung der TI-Komponenten erfolgen soll. 

„Depression ist ein Massenthema“

Jeder zweite Psychotherapie-Patient bekommt keine Behandlung. Nora Blum hat ein Online-Portal zur Selbsthilfe aufgebaut.

Frau Blum, wie geht’ s Deutschland, psychisch gesehen?

Nora Blum: Verbesserungswürdig. Es gibt in Deutschland noch immer sehr viele Menschen, die unter psychischen Erkrankungen leiden. Um die zehn Millionen Menschen haben Angststörungen und Depressionen. Diese Zahl ist seit Langem in etwa konstant, nur die Offenheit ist größer geworden. Die Anzahl derer, die Hilfe in Anspruch nehmen wollen, steigt. Viele davon bekommen diese Hilfe aber nicht.

Sie kommen aus einer Familie von Psychologen, richtig?

Meine Mutter ist Psychotherapeutin, mein Onkel Psychoanalytiker. Mein Bruder ist mittlerweile Life-Coach. Bei uns zu Hause am Esstisch war Psychologie ständig Thema. Meine Mutter hat uns schon früh Techniken beigebracht, wie wir es selbst schaffen, uns besser zu fühlen. Zum Beispiel, wenn ich nicht schlafen konnte.

Was haben Sie dann gemacht?

Viele Menschen geraten in eine Gedankenspirale. Das kennt jeder: Was muss ich morgen alles machen, hab ich dies und jenes bedacht? Es ist ein einfacher Trick, aber er hilft: vor dem Schlafengehen seine Gedanken externalisieren. Alles aufschreiben, dann ist das Wirrwarr nicht im Kopf, und auch hinzufügen, was man tun will, damit alles funktioniert. Ich war immer schon proaktiv, um zu schauen, wie ich Dinge ändern kann. Ich habe zum Beispiel eine Liste meiner Ressourcen angelegt, die half mir, wenn ich traurig war. Ich bin davon überzeugt, dass das eine gute Präventivarbeit gegen psychische Erkrankungen ist.

Was kam noch am Esstisch zur Sprache?

Gefühle wurden immer ausdiskutiert. Ich habe das als Privileg empfunden. Ich wurde zwar bedauert, schließlich ist meine Mutter auch Paar- und Sexualtherapeutin. Aber wenn meine Freundinnen bei uns anriefen, wollten sie oftmals nur mit ihr sprechen. Sie meldeten sich wegen ihres Liebeskummers, und dann schrieb meine Mutter mit ihnen Listen.

Ihr Berufswunsch war also früh klar?

Ich konnte gar nicht verstehen, wie jemand etwas anderes als Psychologie machen wollen könnte. Für mich gab es immer schon nichts Spannenderes als herauszufinden, warum wir uns so verhalten, wie wir uns verhalten. Ich habe die Entscheidung nie bereut, das Fach zu studieren. Ich fand alles spannend.

Dafür brachten Sie ein gutes Abitur mit?

Ich war schon immer eine Streberin. Ich habe einfach gerne gelernt. Ich habe die Abiturnote 1,0 gemacht und wurde deshalb für ein Stipendium vorgeschlagen. Ich habe dann im englischen York meinen Bachelor gemacht und bin für den Master nach Cambridge gegangen. Dort hatten viele Psychologen, die ich bewunderte, studiert. Ich habe mich auf Sozialpsychologie und Hirnforschung fokussiert. Um das Stipendium zu behalten, musste ich stets zu den besten zehn Prozent gehören.

Was kam danach?

Ich wollte nicht direkt in die Klinische Psychologie. Und eigentlich wollte ich erst einmal etwas anderes, Aufregendes machen. So bin ich beim Startup-Inkubator Rocket Internet gelandet, in der Abteilung, die die unterschiedlichen Unternehmen aufbaut.

Ganz ohne betriebswirtschaftliche Kenntnisse?

Ich musste in kurzer Zeit sehr viel lernen. Das hat mir als Gründerin später sehr geholfen. Mein erstes Projekt war gleich Foodora. Die wuchsen rasend schnell, jede Woche verdoppelte sich die Mitarbeiterzahl. Meine Mutter meinte schon zu mir: Es ist ja in Ordnung, wenn du viel arbeitest, aber muss es unbedingt ein Essens-Lieferservice sein? Und auch ich dachte mir, dass ich eigentlich gerne wieder etwas mit Psychologie machen wollte.

Sie bekamen die Idee für Ihr Online-Soforthilfe-Portal gegen psychische Belastungen.

An Selfapy arbeitete ich zu der Zeit schon intensiv am Wochenende. Das Versorgungsdefizit in Deutschland ist riesengroß. Jeder zweite Patient bekommt keine Behandlung. Die Wartezeit beträgt im Schnitt fünf Monate. In der Psychia­trie, in der ich ein Praktikum gemacht hatte, wurden Menschen nur aufgenommen, wenn sie knapp vorm Suizid standen.

Nun geht es ja nicht allen Therapiebedürftigen so schlimm.

Jeder zweite Mensch erkrankt mindestens einmal im Leben an einer depressiven Episode. Das ist ein Massenthema. Meine Mitgründerin Katrin Bermbach arbeitete in der Charité Berlin. Ihre Hauptaufgabe war es, Therapieplätze abzusagen! Obendrein ist die Hemmschwelle groß. Im Studium habe ich erlebt, wie viele abgebrochen haben, weil der psychische Druck zu groß wurde. Wir haben uns gedacht: Es muss eine nie­drigschwellige Beratung geben, die sofort hilft, ein Online-Programm mit psychologischer Begleitung. An der Charité fing Katrin dann an, erste Kurse zu ­schreiben.

Ihr Online-Portal fing also ganz analog an?

Wir haben Bücher gewälzt und forschungsbasierten Content geschrieben, den wir mit den Charité-Professoren abgeglichen haben. Dann haben wir den Fragebogen kostenlos auf einer E-Learning-Plattform angeboten. Schon damals haben wir den Patienten angeboten, zusätzlich einmal die Woche ein Telefongespräch mit PsychologInnen führen zu können. Das waren damals nur wir beide. Das wurde sehr gut angenommen. Schließlich haben wir den Sprung ins kalte Wasser gewagt und ich habe bei Rocket Internet gekündigt. Die Tage waren lang, aber es hat unglaublich viel Spaß gemacht.

Ist das nicht eine Krankheit unserer Zeit, dass keiner mehr weiß, wo die Arbeit aufhört und wo die Freizeit anfängt?

Der Job soll heutzutage Selbstverwirklichung sein. Das ist schon so. Da muss man ein gutes Mittelmaß finden. Ich nehme mir mittlerweile auch mal Tage, an denen ich keine Mails beantworte. Aber Selfapy ist meine große Liebe, das Unternehmen habe ich immer im Kopf. Das ist gut, wenn es gut läuft, aber wenn es Probleme gibt, fällt es mir schwer, mich davon zu lösen.

Nun sind Sie Geschäftsführerin, mit 27 Jahren.

Der Titel bedeutet eigentlich nur, dass ich für alles zuständig bin. Heute fokussiere ich mich auf die Zusammenarbeit mit den Investoren und Krankenkassen. Wir müssen denen 113 gesetzliche Verträge vorlegen, dazu kommen 30 private. Ich tingele dafür durch das ganze Land. Es gibt ja so viele Kassen! Bisher übernimmt nur ein Teil davon die Kosten unserer Programme.

Im Schnitt kosten Ihre begleiteten Programme 100 Euro im Monat. Was ist, wenn Bedürftige das nicht zahlen können?

Wer es sich wirklich nicht leisten kann, der bekommt Rabatt. Wir wollen keine Abstriche machen, was die Wirksamkeit der Programme angeht. Wir sind kein Social-Profit-Unternehmen, aber unser Hauptziel ist auch nicht die Profitmaximierung. Investoren sind meist nicht begeistert davon, dass wir die kostenintensive telefonische Betreuung anbieten. Aber wir wollten nie ein reines Tech-Produkt machen. Menschlicher Kontakt ist wichtig.

Sie werben mittlerweile nicht mehr mit dem Begriff „Online-Therapie“.

Das ist kein geschützter Begriff, aber wir wollen nicht missverstanden werden. Wir bieten keine Psychotherapie an, das können nur approbierte Therapeuten face-to-face leisten. Für uns arbeiten Psychologen in Ausbildung, die parallel in Kliniken arbeiten. Für die ist das ein guter, flexibler Nebenjob.

Können denn unfertige Therapeuten mit schwerkranken Patienten umgehen?

Wir fragen immer mögliche Suizid-Absichten ab. Wer apathisch wirkt oder bestimmte Schlüsselwörter äußert, wird gleich an Kliniken weitergeleitet. Die Gespräche sollen keine Psychotherapie ersetzen, das ist per Telefon gar nicht zu leisten. Wir geben so eine Rückmeldung zum Online-Programm und motivieren, weiterzumachen. Es ist ein Selbsthilfeprogramm, das nur durch aktive Mitarbeit des Nutzers funktioniert und nachhaltig ist, weil man sich die Strategien selbst aneignet.

Was macht man so in Ihren Programmen?

Man lernt Strategien, die einem helfen, sich besser zu fühlen, zum Teil ganz banale Dinge, die aber viele nicht hinbekommen. Sich mit seinen Stärken befassen! Wer in einer Krise ist, vergisst die positiven Dinge um sich herum.

Sie haben auch ein Programm gegen Burn-Out. Ist das nicht bloß ein Modewort für „Depression“?

Das beobachten wir auch. Viele Nutzer buchen unser Burn-Out-Programm, und dann schieben wir sie im Verlauf in das Depressions-Programm. Burn-Out ist keine diagnostizierte Krankheit, aber es ist eine Sub-Form einer Erschöpfungsdepression.

Sie bieten auch Unternehmen psychologische Unterstützung an.

Es sind schon einige auf uns zugekommen, denn psychische Erkrankungen sind mittlerweile der zweithäufigste Grund für Arbeitsunfähigkeit. Das Angebot von Betriebspsychologen wird oft nicht wahrgenommen. Unser Programm ist niederschwellig und anonym. Und die Firma zahlt.

Hätten Sie ein Problem, wenn es auf einmal genug reguläre Therapieplätze für alle gäbe?

Es wird immer einen Bedarf für Online-Therapie geben. Wir behandeln auch Menschen, die normalerweise keine Therapie machen würden. Die schätzen die Flexibilität und brauchen gar keine richtige Gesprächstherapie. Unsere Übungen kann man per App auf dem Weg zur Arbeit machen.

Was haben Sie noch vor mit Selfapy?

Wir wollen das Thema Sucht angehen, aber auch Zwangsstörungen. Schizophrenie würden wir gerne behandeln, auch wenn es schwierig ist. Posttraumatische Belastungsstörungen würden sich dagegen gut online behandeln lassen.

Haben Sie selbst Zwänge und Süchte?

Eigentlich nicht. Ich fühle mich durch meinen Hintergrund sehr gut gewappnet. Ein kleiner Zwang vielleicht: Ich telefoniere noch immer jeden Tag mit meiner Mutter. Da bin ich ganz Mamakind.

Sie wohnen und arbeiten mittlerweile in Berlin. Da sind Sie ja in guter Start-Up-Gesellschaft.

Ich wohne seit vier Jahren in einer Siebener-WG. Alle meine MitbewohnerInnen sind selbständig. Das Berliner Umfeld hat mich schon geprägt: Mach dein Ding, und wenn du fällst, dann fällst du eben – und machst was anderes.

Haben Sie auch das Nachtleben der Hauptstadt für sich entdeckt?

Die Techno-Szene ist nicht so meine. Ich höre vor allem deutschen Schnulzpop, also Philipp Poisel und Co. Meine Freunde meinen, davon würden sie depressiv werden. Aber ich finde das schön.

Online-Therapie gelingt Schritt in den GKV-Markt

E-Health-Startups kann es durchaus gelingen, im GKV-Markt Fuß zu fassen. Bei der Vorstellung mehrerer Angebote von Startups beim BMC-Kongress wurde deutlich, dass der Weg über die Erstattung als Kassen-Satzungsleistung am leichtesten gangbar ist. Dafür ein Beispiel ist die psychologisch begleitete Online-Therapie des Berliner Unternehmens Selfapy.

Das Startup ist mit dem Ziel aufgebaut worden, Versorgungslücken zu schließen, indem Wartezeiten auf einen Therapieplatz durch die Online-Therapie überbrückt werden, berichtete Farina Schurzfeld, Gründerin von Selfapy beim BMC-Kongress.

„Wir wollen die Psychotherapie nicht ersetzen, wir wollen, dass die Wartezeit für die Patienten nicht verloren ist, dass die immer noch vorhandene Hemmschwelle, einen Psychotherapeuten zu konsultieren, abgebaut wird, und wir wollen eine bessere Nachsorge über unser Angebot ermöglichen“, so Schurzfeld. Das Besondere an diesen Angebot: Zusätzlich zum Online-Angebot sprechen Patienten bei Selfapy einmal wöchentlich auch mit einem Psychologen.

30 Psychologen seien mittlerweile im Team von Selfapy. Das Resultat seien hohe Durchhaltequoten bei der Online-Therapie von über 90 Prozent sowie eine Symptomreduktion um 35 Prozent, was vergleichbar mit klassischer Psychotherapie sei.

Das Angebot sei bei den Krankenkassen zunächst auf wenig Resonanz gestoßen. Doch sei klar gewesen: „Ohne Unterstützung der Kassen erreichen wir die Patienten nicht“, erläuterte Schurzfeld. Mit Hilfe von Gesundheitsminister Jens Spahn habe man am Ende auch das zunächst blockierende Bundesversicherungsamt überzeugt.

Mittlerweile könnten sich 14 Millionen gesetzlich Versicherte die Kosten für die Leistung erstatten lassen. Auch Hausärzte wolle das Unternehmen ansprechen, um mehr Patienten zu erreichen. Immerhin würden 80 Prozent der psychischen Diagnosen in Hausarztpraxen gestellt, sagte die Startup-Gründerin.

Digitalisierung: Nachbesserungen in Stellungnahmen gewünscht

Das Terminservice- und Versorgungsgesetz (TSVG), das heute im Bundestag in einer öffentlichen Anhörung beraten wurde, beinhaltet auch Aspekte der Digitali­sierung im Gesundheitswesen und der elektronischen Patientenakte (ePA). Eine große Rolle spielte das Thema in der Anhörung nicht, in schriftlichen Stellungnahmen zur Anhörung gab es aber Nachbesserungswünsche.

Das TSVG sieht vor, zum Beispiel das elektronische Patientenfach und die ePA begrifflich zusammenzuführen. Die Einwilligung des Versicherten in die Nutzung der medizinischen Anwendungen (unter Beachtung der Datenschutzgrundverordnung) soll vereinfacht werden. Auf medizinische Daten der ePA soll der Versicherte künftig auch ohne Einsatz der elektronischen Gesundheitskarte (eGK) mittels mobiler Endgeräte (Smartphone oder Tablet) zugreifen können (Aufhebung des Zwei-Schlüssel-Prinzips).

Darüber hinaus werden Krankenkassen verpflichtet, ihren Versicherten bis spätestens ab 2021 eine ePA zur Verfügung zu stellen und sie darüber zu informieren. Sie erhalten zudem das Recht, ihren Versicherten in deren ePA eigene Inhalte oder Anwendungen anzubieten, sofern diese die ePA nicht beeinträchtigen.

Richtlinienkompetenz für medizinische Inhalte

Die Kassenärztliche Bundesvereinigung (KBV) begrüßt grundsätzlich die Verpflichtung für Krankenkassen, ihren Versicherten durch die gematik – Gesellschaft für Telematik­anwendungen der Gesundheitskarte zertifizierte ePAs zur Verfügung zu stellen. Allerdings müsse sichergestellt werden, dass die alternativen Zugriffsverfahren neben der eGK ebenfalls hohen Sicherheitsstandards genügen und außerdem nicht zu einer bürokratischen Belastung der Praxen führen dürfen.

Darüber hinaus fordert sie die Aufnahme einer gesetzlichen Richtlinienkompetenz der KBV für die technische Spezifikation der Dokumentation medizinischer Befunde, über die insbesondere die innerärztliche Kommunikation, aber auch die sichere und unkompromittierbare Weitergabe ärztlichen Befunde in eine ePA und das Herauslesen aus einer ePA sichergestellt werden können. Auch soll der ärztliche Kommunika­tionskanal KV Connect als sicherer Übertragungs­weg in den Gesetzestext mit aufgenommen werden.

Grundsätzlich positiv bewertet die KBV auch die Digitalisierung bisheriger papier­gebundener Verfahren durch eine elektronische Arbeits­unfähigkeits­bescheinigung (eAU).  Allerdings befürchtet die Körperschaft, dass eine eAU dazu führen wird, dass Arztpraxen diese Leistung nahezu ohne Vergütung erbringen müssen, weil die bisherige Abrechnung einer Grundpauschale – im Fall der Erstkonsultation – entfallen würde.

Ein „Verdünnerschein“, der für die Mischkalkulation aktuell sinnvoll ist, entfalle dadurch. Zudem führe die derzeit geplante Regelung dazu, dass in Arztpraxen für denselben Prozess (AU‐Bescheinigung) zwei Verfahren (Papier für Patient und Arbeitgeber und Digital für die Krankenkasse) vorgehalten, gewartet und finanziert werden müssten.

Zusätzlich zur Verpflichtung des Vertragsarztes, die AU-Bescheinigung digital an die Krankenkasse zu übermitteln, sollte deshalb die Krankenkasse verpflichtet werden, die digitale Bescheinigung an den Patienten (etwa per ePA) sowie den Arbeitgeber weiterzuleiten. Zudem plädiert die KBV aus Gründen der Praktikabilität dafür, bei der digitalen Übermittlung die Authentizität und Unveränderbarkeit der Inhalte der eAU auch ohne qualifizierte elektronische Signatur (QES) vorzusehen.

Kein alternativloser Zugriff per Smartphone

Die Bundes­ärzte­kammer begrüßt die Neuregelungen zur ePA, empfiehlt aber dringend, Wahlmöglichkeiten der Versicherten und die Stärkung der Patientensicherheit als wichtige Aspekte mit aufzunehmen. So sollten aus ihrer Sicht neben Krankenkassen auch andere Anbieter wie etwa Ärztenetze eine ePA für Versicherte anbieten können. Der Versicherte müsse Anspruch auf ein technisch und insbesondere ökonomisch diskriminierungsfreies Wahlrecht seines Aktenanbieters als Leistung der GKV haben, fordert sie.

Auch den mobilen Datenzugriff auf die ePA durch den Versicherten bewertet die BÄK positiv. Allerdings weist sie darauf hin, dass dies mit einem deutlichen Verlust an Datensicherheit einhergeht. „Der komfortable Zugriff via Smartphone konterkariert das ursprünglich mit dem Aufbau einer Tele­ma­tik­infra­struk­tur verbundene Ziel, Gesundheitsdaten vor dem Zugriff unberechtigter Dritte wirksam zu schützen.“

Daher fordert die BÄK den Gesetzgeber auf sicherzustellen, dass ein Zugriff des Patienten auch auf einem höheren Sicherheitsniveau angeboten werden muss und der Zugriff per Smartphones nicht alternativlos ist. Krankenkassen sollten vor diesem Hintergrund verpflichtet werden, künftig nur noch kontaktlose (NFC-fähige) eGKs herauszugeben, sodass die eGK als grundlegendes Authentifizierungsinstrument bei mobilen Zugriffen genutzt werden kann.

Zusätzlich plädiert sie dafür, dass auch Ärzten der mobile Zugriff auf digitale Gesundheitsdaten (Notfalldaten, ePA) durch ein Zulassungsverfahren (etwa durch die Gesellschaft für Telematik – gematik) ermöglicht wird. Die Regelungen, dass Abrechnungsdaten der Krankenkassen hinter dem Rücken der Leistungserbringer an Dritte zu unbekannten Zwecken übermittelt werden „sollen“, lehnt die BÄK ab.

Differenziertes Berechtigungskonzept

Um die Akzeptanz der ePA bei Patienten zu fördern, müssen nach Meinung der Bundes­psycho­therapeuten­kammer sowohl eine professionelle und ausführliche Patienteninformation und -aufklärung als auch die Gewährleistung von Patienten­souveränität bei der Nutzung der ePA im Vordergrund stehen. Das umfasst insbesondere auch, dass Patienten Zugriffsberechtigungen differenziert für jeden Leistungserbringer auf Dokumentenebene erteilen können, um etwa mögliche Stigmatisierungen auszuschließen.

Außerdem fordert die Psychotherapeutenkammer, dass der Versicherte sich jederzeit gegen die Nutzung eines alternativen Zugriffs­verfahrens auf die ePA über mobile Endgeräte entscheiden und diesen Zugriffsweg sperren lassen kann. Zudem seien die Versicherten vor der Einwilligung zu einem Zugang ohne eGK über alle damit verbundenen Fragen zu Datenschutz und Datensicherheit umfassend zu informieren.

Plädoyer für den freien Wettbewerb

Die Deutsche Krankenhausgesellschaft (DKG) plädiert für die Bereitstellung der ePA durch Anbieter am Markt und nicht durch die Krankenkassen, denn dies „erschwert einen Kassenwechsel und negiert die Vorteile des Wettbewerbs“. Der Rückgriff auf patientenbezogene medizinische Daten, die in den Krankenhäusern dokumentiert werden, könne nur in gemeinsam vereinbarter und strukturierter Form akzeptiert werden.

„Keinesfalls kann akzeptiert werden, dass die Krankenkassen durch den Betrieb von Patientenakten Behandlungsinformationen und Daten zur Verfügung gestellt bekommen, die sie heute zum Schutze der Patienten vor Risiko­selektions­strategien nicht haben“, so die DKG.

Neudefinition der Rolle der gematik als Netzagentur

Die AOK-Gemeinschaft begrüßt den gesetzlichen Auftrag, die ePA „im Wettbewerb zeitnah auf den Weg bringen zu können“. Um den Prozess der Digitalisierung voranzubringen, schlägt die AOK eine Neudefinition der bisherigen Rolle der gematik im Sinne einer Netzagentur vor. „Sie sollte sich dabei auf die Sicherstellung der Interoperabilität und die Einhaltung der grundlegenden Infrastruktur fokussieren. Vernetzte digitale Anwendungen und Dienste sollten künftig in einem regulierten Wettbewerb entstehen“, heißt es.

Hierbei sollte die gesetzliche Kran­ken­ver­siche­rung die Vorgaben für zusätzliche Anwendungen für die Versicherten und bei einem Krankenkassenwechsel die Portabilität der Daten verantworten. Wenn Krankenkassen eine ePA anbieten, muss aus Sicht des AOK-Bundesverbands sichergestellt sein, dass Akten anderer Anbieter nicht von der Krankenkasse finanziert werden.

Im Hinblick auf die Neuregelung von Paragraf 305 SGB V, wonach die Krankenkassen zur Übermittlung von Sozialdaten auch in elektronischer Form an von dem Versicherten benannte Dritte befugt werden, sollte nach Meinung der AOK auch die Rolle des Versicherten gegenüber den Leistungserbringern gestärkt werden, indem das bisherige Auskunftsrecht auf Verlangen zu einem Recht auf permanente Abrufbarkeit der eigenen Daten weiterentwickelt wird.

Keine Zulassung von kassenindividuellen Inhalten durch die gematik

Dass Versicherte in Zukunft auch ohne eGK und Gegenwart des Inhabers eines Heilberufeausweises lebenslang und sektorenübergreifend Zugriff auf ihre Daten und darüber hinaus auf zusätzliche Inhalte und Anwendungen haben, ist aus Sicht des BKK-Dachverbands konsequent und zu begrüßen. Allerdings lehnt er es strikt ab, dass kassenindividuelle Angebote der ePA auch von der gematik zugelassen werden müssen.

Um den Datenaustausch zwischen Patienten, Ärzten und Leistungserbringern zu beschleunigen, plädiert er dafür, die Rolle der gematik bei der ePA auf die Vorgabe technischer Standards zu beschränken. Außerdem verlangen sie eine gesetzliche Klarstellung, dass Krankenkassen, die eine eigene ePA anbieten, nicht zur Erstattung von Kosten für die ePA eines anderen Anbieters verpflichtet werden.

Zusätzlich sollte das TSVG Krankenkassen außerdem ermöglichen, die Daten der ePA auf Wunsch der Versicherten zu verarbeiten und diese zielgerichtet zu beraten. „Nur so können sie ihren gesetzlichen Versorgungs- und Beratungsauftrag auch erfüllen und Versicherte durch den Dschungel des Gesundheitswesens lotsen“, so Franz Knieps, Vorstand des BKK-Dachverbands. Bislang ist das nur in Ausnahmefällen möglich.

Freiwillige ePA-Nutzung

Der Verbraucherzentrale Bundesverband (vzbv) unterstützt, dass die Patienten von den Möglichkeiten der Digitalisierung im Gesundheitswesen durch die verpflichtende Einführung einer ePA stärker profitieren sollen, hält jedoch eine Nutzung auf freiwilliger Basis für Versicherte und Patienten für zwingend erforderlich. Eine Entscheidung gegen die Nutzung dürfe keinesfalls mit Sanktionen oder Einschränkun­gen bei ihrer medizinischen Versorgung verknüpft sein, heißt es in der Stellungnahme.

Zudem müssten Patienten und Verbraucher im gesamten Digitalisierungsprozess möglichst aktiv eingebunden werden, zum Beispiel über Nutzerbefragungen, Nutzerbeiräte oder Bürgerforen. Dies sei auch ein „Schlüsselfaktor für die Akzeptanz und den Erfolg der ePA. Außerdem müsse im Hinblick auf den geplanten mobilen Zugriff auf die ePA-Daten der besonderen Sensibilität der Gesundheitsdaten Rechnung getragen werden.

Barrierefreie und sichere ePA

Die BAG Selbsthilfe begrüßt, dass die Digitalisierung im Gesundheitswesen voran­getrieben werden soll. Gerade für Menschen mit chronischen Erkrankungen und Behinderungen böten digitale Formate enorme Chancen. Dafür müssten die Dokumente aber barrierefrei sein, forderte die BAG.

Aus Sicht der Patientenvertreter sind zudem hohe Sicherheitsstandards im Umgang mit sensiblen Gesundheitsdaten zu gewährleisten. Zudem müsse gesichert sein, dass der Patient stets Herr seiner Daten bleibe. Daher spricht sie sich für die Beibehaltung der ursprünglichen Regelung aus, dass der Nutzer differenzierte Zugriffsrechte für Inhalte seiner ePA vergeben kann.

„Der Patient muss elektronisch selbst entscheiden können, welche Information der ePA von welchem Arzt eingesehen werden darf“, heißt es. Aufgrund der Sicherheitsrisiken bei einem mobilen Zugriffsmodell ohne eGK sind aus Sicht der BAG Selbsthilfe zudem hohe Ansprüche an die Informationen der Patienten über mögliche Risiken und Sicherheitsprobleme hierbei zu stellen. Sie plädiert für die Erarbeitung eines Kriterienkatalogs unter Beteiligung der maßgeblichen Patientenorganisationen, welche Informationen die Krankenkassen ihren Versicherten übermitteln sollten.

Fairer Wettbewerb nötig

Nicht nur Krankenkassen sollten als Aktenanbieter berücksichtigt werden, sondern auch die von Kassen unabhängig angebotenen Lösungen, die sich bereits auf dem Markt befinden. Damit die freien Aktenangebote mit den Angeboten der Krankenkassen in einem fairen Wettbewerb stehen, sollten Versicherte frei unter den Akten wählen können, fordert der Bundesverband Gesundheits-IT.

Alle ePAs können nach den Spezifikationen der ge­matik weiterentwickelt und zugelassen werden; die hierfür anfallenden Kosten sind von den Kassen an den Patienten zu erstatten. Neben den medizinischen Informationen sollten bei der Konzeption der ePA auch pflegerelevan­te Zustands- und Versorgungsinformationen berücksichtigt werden. 

Wissenspodcast: Breite digitale Aufklärung

Aktuelle und gesellschaftlich relevante Digitalthemen will das Hasso-Plattner-Institut (HPI) künftig in Podcasts anschaulich und verständlich vermitteln. „Es braucht eine digitale Aufklärung“, begründete HPI-Direktor Christoph Meinel das neue Angebot des Instituts.

Im Hinblick auf den grundlegenden technologischen Wandel, der eingesetzt habe, sei das Internet nur eine Metapher für die neue virtuelle Welt, die parallel zur physikalischen Welt und mit eigenen Gesetzen entstanden sei, erläuterte er. In dieser virtuellen Welt spielten beispielsweise Zeit und Räume keine Rolle mehr. Ein gewisses technisches Verständnis gehöre dazu, um sich darin zu bewegen, „auch wenn man nicht gleich programmieren können muss“, so Meinel im Einführungs-Podcast.

Die Themen, die verschiedene Experten des HPI unter https://podcast.hpi.de bei iTunes, Spotify und Deezer aufgreifen wollen, sind breit gefächert: Wie lassen sich etwa persönlichen Daten im Internet bestmöglich schützen? Wie werden wir in Zukunft lernen und wie funktioniert eine Blockchain? Was verbirgt sich hinter künstlicher Intelligenz (KI) und wie lassen sich etwa mit KI Hassbotschaften in sozialen Netzwerken erkennen?

Die Podcasts sollen in zweiwöchentlichem Rhythmus unter der Rubrik „Neuland“ veröffentlicht werden. Auch Digital Health als ein Forschungsbereich des HPI spielt dabei eine Rolle. So gibt es am 6. Februar beispielsweise einen Podcast mit dem Mediziner und Gründungsdirektor des HPI der Universität Potsdam, Erwin Böttinger, zur Medizin der Zukunft („Siri, ist mein Blutdruck normal?“)

zum Thema

Das HPI engagiert sich seit Jahren für eine breite digitale Aufklärung, um die Bevölkerung zu einem besseren Schutz vor Cyberkriminalität zu bewegen. So bietet das Institut unter anderem auf open.HPI.de kostenfreie Weiterbildungskurse für alle Interessierten zu IT- und Innovationsthemen an. Im Onlinekurs „Digitale Identitäten“ etwa können die Teilnehmer sich über sichere Passwörter, die Abwehr möglicher Cyberangriffe auf diese und sichere Verfahren zu ihrer Speicherung informieren. 

„Neuen Sicherheits­maßnahmen stehen stets auch neue Angriffs­möglichkeiten gegenüber“

Bis zum Jahr 2021 sollen nach dem Willen des Gesetzgebers alle Kranken­kassen ihren Versicherten eine elektronische Patientenakte (ePA) anbieten. Die Gesellschaft für Telematikanwendungen der Gesundheitskarte (gematik) hat hierfür fristgerecht zum Jahresende ihre Vorgaben für eine datenschutzkonforme ePA vorgelegt.

Im Vorgriff darauf hatten 2018 bereits drei große Anbieterkonsortien elektronische Aktenmodelle vorgestellt: „Vivy“ und „TK-Safe“ sowie das „digitale Gesundheits­netzwerk“ der AOK. Vivy, als erste Akte seit Mitte September 2018 im Echtbetrieb, steht seither wegen diverser Sicherheitsmängel in der Kritik. Doch auch andere Akten­lösungen wurden beim Chaos Communication Congress 2018 als unsicher bewertet.

Tschirsich 2018 /mediaccc.de

Fünf Fragen an Martin Tschirsich, IT Security Analyst beim Schweizer Unternehmen modzero AG, das im Frühjahr 2011 gegründet wurde, um bei speziellen Sicherheitsfragen bei Computertechnologien zu unterstützen.

DÄ: Müssen Gesundheitsdaten besser geschützt werden als Finanzdaten beim Onlinebanking?
Martin Tschirsich: Gesundheitsdaten sind gegenüber Finanzdaten nach Artikel 9 DSGVO besonders geschützt. Selbst in skandinavischen Ländern wie Schweden, wo bei Steuererklärungen und Einkommen auf maximale Transparenz gesetzt wird, gilt dies explizit nicht für Gesundheitsdaten. In Deutschland bezeichnete Ex-Bundesjustizministerin Sabine Leutheusser-Schnarrenberger Gesundheitsdaten als „die sensibelsten Daten, die wir haben“. Aus gutem Grund: Gelangten sie etwa ins Internet, kämpften Betroffene nicht mehr bloß um ihre Gesundheit, sondern auch gegen Karriereknick, Stigmata und Verfolgung – ohne eine Chance, den Daten zu entkommen.

Diese Macht unserer Daten weckt Begehrlichkeiten. Erhebungen aus den USA zeigen, dass für Patientenakten ein lukrativer Schwarzmarkt existiert. Für eine halbe Millionen US-Dollar etwa verkauften Kriminelle 2016 eine einzige erbeutete Datenbank. Darin lagen knapp zehn Millionen Patientenakten. Noch nicht eingerechnet sind Einnahmen, die der Verkäufer zuvor durch Erpressung der Betroffenen erzielt hatte. Doch was, wenn es um politische Einflussnahme geht? Vor Geheimdiensten ist sogar das Handy der Bundeskanzlerin nicht sicher.

Auch dem eigenen Staat sollten wir unsere Gesundheitsdaten strukturell unzugänglich machen. Denn auch nach der NS-Zeit gab und gibt es immer wieder Initiativen, unseren Behörden einen direkten Zugriff zu gewähren, so zuletzt in Bayern vor Verabschiedung des Psychisch-Kranken-Hilfe-Gesetzes. Gegenüber Finanzdaten sind Gesundheitsdaten zudem sehr langlebig und müssen ein Leben lang sicher verwahrt werden – ein bisher ungelöstes Problem.

DÄ: Welche Sicherheitsmängel sehen Sie beim derzeitigen E-Health-Angebot?
Tschirsich: Zunächst: Das Sicherheitsniveau unterscheidet sich bei einzelnen Anbietern stark, und korrespondiert oft nicht mit der Außendarstellung oder der Anzahl vergebener „Sicherheitszertifikate“.

Am problematischsten sind grundlegende architektonische Mängel, die sich selbst in Produkten etablierter Anbieter finden und die wie im Fall der „CGM Life Gesundheits­akte“ kritisch sind. Solche Mängel lassen sich im Nachhinein nicht oder nur mit hohem Aufwand beheben.

Darüber hinaus wurden bei fast allen elektronischen Gesundheitsakten und Teleme­dizin­diensten ganz praktische Fehler bei der Umsetzung gemacht, welche sich auch ohne tiefere Analyse aufspüren lassen. In diese Kategorie fallen die unsichere Speicherung von Passwörtern, der Einsatz unsicherer kryptografischer Primitiven, die unzureichende Filterung von Benutzereingaben oder auch fehlender Schutz vor Brute-Force-Angriffen (eine Methode, die versucht Passwörter oder Schlüssel durch automatisiertes, wahlloses Ausprobieren herauszufinden, Anm. d. Redaktion) – hier hätte schon eine einfache Zugangssperre bei wiederholt falscher PIN-Eingabe geholfen. Es wurden also sowohl bei der Konzeption als auch bei der Umsetzung Fehler gemacht und damit die Sicherheit teilweise oder gänzlich kompromittiert.

DÄ: Sollten Entwickler digitaler Anwendungen im Gesundheitsbereich dazu verpflichtet werden, externe „Hackertests“ durchzuführen?
Tschirsich: Der Fall „Vivy“ hat gezeigt, dass solche im Nachgang durchgeführten Penetrationstests die fehlende Berücksichtigung von Informationssicherheit schon in der Entwurfsphase und bei der Entwicklung der Anwendung nicht ausgleichen können. Solche Tests sind also eine notwendige, aber nicht hinreichende Bedingung für eine sichere Anwendung.

Gleiches gilt für den Datenschutz. So wurde beispielsweise die Datenschutzkonformität inklusive des technischen Zugangsschutzes des E-Portals „Meine Gesundheit“ durch den Landesbeauftragten für den Datenschutz in Rheinland-Pfalz positiv bewertet, obwohl hier weiterhin grobe Mängel bestehen.

Anstelle einer expliziten Verpflichtung zur Durchführung von externen Tests plädiere ich für ein grundlegend anderes Anreizsystem, welches sich beispielsweise aus einer Meldepflicht für Sicherheitslücken und erweiterter Produkthaftung im Umgang mit Gesundheitsdaten ergäbe.

DÄ: Inwieweit ist ein laufendes Onlinemonitoring der Sicherheit notwendig und wer sollte es durchführen?
Tschirsich: Durch angemessene Protokollierung können technische Probleme und laufende Angriffe erkannt werden. Ein zentrales Monitoring der Infrastruktur durch den Betreiber ist daher eine Voraussetzung für das Erreichen eines angemessenen Sicherheitsniveaus.

Zudem werden täglich neue Sicherheitsmängel in vielgenutzten Hard- und Software­komponenten bekannt, hier muss schnellstmöglich reagiert werden können, beispielsweise mit der Installation von Updates. Das Monitoring der allgemeinen Gefährdungslage dagegen hilft, das Schadpotenzial bestehender und neuer Bedrohungen und Angriffsmethoden einschätzen und angemessene Gegenmaßnahmen ergreifen zu können.

DÄ: Sind Gesundheitsdaten für digitale Anwendungen überhaupt geeignet?
Tschirsich: Ja, sicher. Nur müssen wir die Realität anerkennen: Wir können langfristig nicht kontrollieren, wer unsere Gesundheitsdaten für welche Zwecke verarbeitet und mit weiteren Daten zusammenführt. Das hat die Bestandsaufnahme der Daten­sicherheit deutscher E-Health-Anwendungen auf dem zurückliegenden Chaos Communication Congress eindrücklich gezeigt.

zum Thema

Deutsches Ärzteblatt print

aerzteblatt.de

Dass das kein deutsches und auch kein theoretisches Problem ist, wird mit dem Blick auf Länder wie Norwegen und die USA klar, wo bereits große Datenabflüsse hingenommen werden mussten. Das Problem ist auch rein technisch nicht abschließend in den Griff zu bekommen. Denn neuen Sicherheitsmaßnahmen stehen stets auch neue Angriffsmöglichkeiten gegenüber.

Ich wünsche mir daher, dass wir neben dem Nutzen auch klar die zum Teil gesamt­gesellschaftlichen Risiken benennen und auch hier nach Lösungen für zukünftig Betroffene suchen, anstatt mit großzügigen aber unhaltbaren Sicherheitsversprechen das Vertrauen der Bürgerinnen und Bürger zu untergraben, von deren Akzeptanz ja auch die Digitalisierung des Gesundheitswesens lebt. © KBr/gie/aerzteblatt.de