Die Debatte um Epic & Co. verfehlt den Kern

Es ist unbestritten, dass Gesundheitsdaten besonders schutzwürdig sind. Aber selten wird in dieser Debatte gefragt, in welchen Konstellationen daraus tatsächlich ein relevantes Risiko entstehen kann.

Konkrete Risiken ergeben sich aus dem Zweck, aus dem Kontext, aus der möglichen Wirkung eines unberechtigten Datenzugriffs. Gesundheitsdaten bergen dort eine Gefahr, wo sie durch Missbrauch oder Zweckentfremdung Menschen konkret schaden können: durch Stigmatisierung, Diskriminierung, Nachteile im Beruf oder bei Versicherungen. Genau dort liegt ihr Risikokern.

Vor diesem Hintergrund ist es erstaunlich, wie selten in der Debatte um neue Klinik-Informationssysteme nach dem Zweck jener US-Überwachungs- und Datenzugriffsgesetze gefragt wird, vor denen so eindringlich gewarnt wird. Es wird wenig beachtet, dass diese Gesetze eben keine Instrumente zur wahllosen Durchleuchtung medizinischer Datenbestände sind, sondern der Strafverfolgung und nationalen Sicherheit dienen. Wenig beachtet wird auch, dass sie sehr spezifische Konstellationen, bestimmte Personen und Gefährdungslagen adressieren.

Die naheliegende Frage wäre also: Welche Rolle spielen die Gesundheitsdaten einer durchschnittlichen Patientin in einem Schweizer Spital in genau diesem Zweckgefüge?

Diese Frage wird kaum gestellt. Stattdessen reicht der Verweis auf die besondere Sensibilität der Daten, um ein pauschales Bedrohungsbild zu zeichnen.

Während die Debatte um mögliche Zugriffe aus dem Ausland kreist, bleiben andere Risiken bemerkenswert unterbelichtet. Risiken, die mit ausländischer Gesetzgebung nichts zu tun haben, für Betroffene aber höchst real sind.

In vielen Gesundheitseinrichtungen entstehen Sicherheitslücken aus strukturellen Engpässen. Budgets für Informationssicherheit stehen in keinem Verhältnis zu den Risiken; spezialisierte Fachkräfte sind knapp; Verantwortung für Daten ist fragmentiert. Informationssicherheit wird geplant, aber nicht immer effektiv umgesetzt.

Diese Rahmenbedingungen prägen den Alltag: Wenn Netztrennungen und Zugriffswege nur unzureichend umgesetzt sind oder Rollen- und Berechtigungskonzepte nicht konsequent gepflegt werden, kann ein erfolgreicher Cyber-Angriff mehrere sensible Bereiche gleichzeitig erfassen. Wenn Zugriffe auf Patientendaten zwar protokolliert, aber nicht systematisch überwacht werden, werden Auffälligkeiten erst erkannt, wenn Schaden bereits entstanden ist.

Die Folgen solcher Defizite können sehr konkret sein: Wenn Systeme ausfallen oder manipuliert werden, verzögern sich Behandlungen, Abläufe brechen weg, medizinische Entscheidungen müssen unter unsicheren Bedingungen getroffen werden – mit unmittelbaren Risiken für Patientinnen und Patienten.

Aber diese Risiken sind unspektakulär. Sie erzeugen keine grossen Schlagzeilen. Sie liefern keine klaren externen Schuldzuweisungen. Und genau deshalb werden sie so leicht übersehen.

So wird Aufmerksamkeit verschoben, Verantwortung indirekt ausgelagert und Sicherheit zur Frage externer Abhängigkeiten erklärt, statt zur eigenen Gestaltungsaufgabe.

Digitale Selbstbestimmung wird derzeit oft als Antwort auf geopolitische Spannungen und technologische Abhängigkeiten diskutiert. Gemeint ist damit häufig die Forderung nach mehr nationaler Kontrolle, mehr Eigenständigkeit, weniger Abhängigkeit von den USA.

Nicht nur im Gesundheitswesen stellt sich diese Frage jedoch anders. Hier entscheidet sich digitale Selbstbestimmung nicht primär an der Herkunft von Technologien, sondern daran, ob Organisationen in der Lage sind, ihre digitalen Risiken selbst zu erkennen, zu steuern und zu verantworten.

Denn digitale Selbstbestimmung ist kein Zustand, den man einmal erreicht und dann abhakt. Sie ist eine dauerhafte Aufgabe. Sie erfordert Investitionen in Architektur, in Prozesse und in Kompetenzen.

Gerade im Gesundheitswesen wird diese Last oft unterschätzt. Arztpraxen arbeiten mit minimal ausgestatteter IT, ohne Sicherheitsfachwissen. Spitäler sind hochkomplexe Organisationen, deren Ausfall nicht nur Daten, sondern Versorgung betrifft. Wenn ein Spital durch einen Cyberangriff lahmgelegt wird, ist das kein abstraktes Datenschutzproblem, sondern ein unmittelbares Gesundheitsrisiko für Patientinnen und Patienten.

All dies geschieht unabhängig davon, ob ein IT-System von einem US-Anbieter stammt oder nicht.

Vielleicht wäre es zielführender, den Eifer, mit dem wir über US-Cloud-Anbieter und Epic diskutieren, einmal auf andere Fragen zu richten.

Wenn wir die Sicherheit unserer Gesundheitsdaten wirklich ernst nehmen wollen, wäre es dann nicht sinnvoller, den Mut aufzubringen, über diese unbequemen, hausgemachten Risiken zu sprechen?

Vielleicht ist es an der Zeit, weniger diffuse Bedrohungsbilder zu pflegen und stattdessen mehr Licht in die eigenen Kellerräume zu bringen. Um das zu schützen, worum es am Ende geht: die Patientinnen und Patienten.