Die elektronische Gesundheitsakte auf dem Smartphone

Wie ich bereits Ende November vermutet habe, war die Gesundheitsapp der Krankenkassen “Vivy” Thema auf dem 35C3. Das ist der jährliche Kongreß des Chaos Computer Clubs zwischen Weihnachten und Silvester. In den letzten Jahren gab es dort immer wieder Vorträge zu Themen, die weit stärker in den Alltag eingreifen als man normalerweise annimmt.

Die Sicherheit der Ladesäulen für E-Autos war Thema, PC Wahl, die Software mit der unsere Wahlzettel nach der Bundestagswahl etc. übertragen werden und jetzt eben “Vivy” die elektronische Gesundheitsakte, die nach dem E-Health Gesetz 2021 zur Pflicht werden soll.

Im Logbuch Netzpolitik Podcast gab es dazu einen kleinen Abschnitt der bereits auf das Thema und die Brisanz die darin steckt hinwies. Hier noch der Link zu einem zweiten Bericht bei Logbuch Netzpolitik.

Um es kurz zu machen, die App scheint nicht die Sicherheit zu bieten, die man bei Patientendaten erwartet. Die Hersteller der App haben zwar in einigen Punkten nachgearbeitet, aber im großen und ganzen ist das Vertrauen in diese App mit dem Vortrag und den dort vorgestellten Lücken verschwunden.

Dazu kommt noch eine Grundsätzliche Frage bei mir auf:

Muss man denn Krankendaten überhaupt auf einem Smartphone mit sich herumtragen? Gerade im Android Segment gibt es zu viele Geräte, die einfach keine Security oder Betriebssystem Updates erhalten und damit pauschal als unsicher gelten. Und diesen schlecht gesicherten Maschine will/soll man nun hoch intime Daten speichern? Ich denke mal, dabei habe nicht nur ich ein schlechtes Gefühl.

Aktuell nutze ich ein Replicant Smartphone, das sich komplett aus freier Software speist und ebenso komplett ohne Google Dienste auskommt. Meine Apps beziehe aus dem F-Droid Repository, da kommt “Vivy” aber gar nicht erst rein, weil es nicht komplett (nicht mal in Teilen) frei ist.

Auch gibt es ja immer wieder Bedenken gegen Hardware Hersteller. Huawei zum Beispiel ist in einigen Ländern (z.B. USA) auf der No-Go Liste oder darf dort gar nicht verkauft werden. Da kann man eher wirtschaftliche Interesse vermuten, aber Fakt ist nunmal, das es Länder gibt die diese Hardware als unsicher einstufen. Huawei hat auch in Deutschland genug Geräte an den Kunden gebracht. Die diese dann mit ihren Patientendaten befüllen sollen. Wo bleibt denn da der Sicherheitsgedanke oder sind wir in der Zwischenzet so weit, das uns solche Sachen egal sind?

Ich denke auf jeden Fall, das man schnell anfangen sollte sich Gedanken zu machen wie und für welche Zwecke man Technik nutzen will. Zum Thema Gesundhetsakte habe ich noch einige Links zusammengestellt, die weitere Informationen bereit halten.

Übersicht des Bundesgesundheitsministeriums

https://www.bundesgesundheitsministerium.de/service/begriffe-von-a-z/e/e-health-gesetz.html

Vortrag zu “Vivy” auf dem 35C3

Flattr this!