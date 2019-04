Gesellschaft::Politik/Recht

Barmer: Freie Software für ePA nicht erlaubt?

Die Barmer Krankenkasse hat die Entwicklung einer Software für eine elektronische Patientenakte (ePA) ausgeschrieben. Laut der Ausschreibung wäre der Einsatz freier Software darin nicht erlaubt, alle Ausnahmen müssen eigens genehmigt werden.

Mirko Lindner

Die elektronische Patientenakte (ePA) , auch Elektronische Gesundheitsakte, soll es ermöglichen, alle medizinischen Daten der Nutzer in einer Online-Datenbank zu speichern. Da medizinische Daten äußerst sensitiv sind und zu den besonders geschützten Daten nach der Datenschutz-Grundverordnung (DSGVO) gerechnet werden, müssen entsprechende Datenbanken besonders sicher sein. In einigen Ländern existieren bereits gesetzliche Regelungen. In Deutschland zum Beispiel erlaubt das E-Health-Gesetz von 2015 das Anlegen von Datenbanken und den Betrieb entsprechender Anwendungen, macht dies aber noch nicht verpflichtend. Entsprechende Angebote sind somit freiwillige Leistungen der Krankenkassen oder anderer Unternehmen.

Auch die Barmer Krankenkasse will nun offenbar eine ePA-Software entwickeln und hat eine entsprechende Ausschreibung veröffentlicht. Wie der Sicherheitsexperte Mike Kuketz jetzt berichtet, kann man in den zugehörigen Unterlagen (PDF) auf Seite 39 lesen:

»Die Verwendung von Open Source Software ist grundsätzlich nicht erlaubt. Sollte im Laufe der Entwicklung die Verwendung von Open Source Software zwingend geboten erscheinen, hat der Auftragnehmer dies dem Auftraggeber in Textform anzuzeigen, unter Angabe der relevanten Lizenzbestimmungen, unter welche die Open Source Software fällt. Der Auftraggeber wird sodann über die Verwendung der Open Source Software innerhalb angemessener Frist nach freiem Ermessen entscheiden und dem Auftragnehmer seine Entscheidung in Textform mitteilen.«

Anscheinend hat die Barmer selbst gerade noch erkannt, wie weltfremd der erste Satz ist, und im Anschluss die weiteren Regelungen eingefügt. Weiter schreibt die Barmer: »Der Einsatz von Open Source Software, die nicht vorher freigegeben worden ist, stellt eine wesentliche Pflichtverletzung des Auftragnehmers dar [...].« Der Auftragnehmer soll für die eingesetzte freie Software genauso haften wie für die Eigenentwicklung.

Auch wenn diese Bestimmungen befremdlich wirken, so dürften doch in vielen Unternehmen auch intern ganz ähnliche Regelungen wirksam sein. Der eigentliche Kritikpunkt müsste daher eher die ePA an sich sein. Denn die gute Absicht, die Daten der Patienten bestmöglich zu schützen, ist durch mangelnde Sicherheitsstandards und schlampige Implementationen in höchstem Maß gefährdet. So warnt auch Kuketz vor einem fast zwangsläufig bevorstehenden Desaster. Denn, so Kuketz, hat, sobald die Daten einmal digital verarbeitet werden, niemand mehr die Kontrolle, an wen sie weitergegeben und für welche Zwecke sie verwendet werden.

Wenn es also je wirklich zu einer ernsthaften ePA kommen sollte, dann sollte es nur eine einheitliche Anwendung geben, mit der man auf die Daten zugreifen kann, und diese müsste freie Software unter der GPLv3 sein. Die GPLv3 würde im Gegensatz zu liberalen Lizenzen sicherstellen, dass jeder Anbieter den Quellcode offenlegen müsste, so dass er verifizierbar ist. Ferner könnten keine proprietären Erweiterungen eingebaut werden. Die Daten müssten vollständig unter der Kontrolle des Patienten verbleiben, so wie es aktuell im Gesetz bereits vorgesehen ist. Zusätzlich müssten erteilte Genehmigungen zur Ansicht der Daten aber einen eingebauten Mechanismus enthalten, der jede Nutzung über den genehmigten Zweck und einen bestimmten Zeitraum hinaus unmöglich macht. Realistisch ist das nicht, denn sobald die Daten einmal im Klartext vorliegen, können sie weiter kopiert werden.