Kailona-App in Nextcloud: Gesundheitsdaten selbst hosten?
Wie hier versprochen, noch ein paar weitere Bedenken zum Thema Gesundheitsdaten in einer Nextcloud. Es geht hier um das Nextcloud-Plugin "Kailona Personal Health Records".
Bevor ich losmaule, zunächst mal folgende einleitende Worte:
Ich finde es grundsätzlich im positiven Sinne diskussionswürdig, den Menschen die Möglichkeit zu geben, Kontrolle über ihre Daten auszuüben. Insbesondere sensible Daten wie Gesundheitszustände. Jeder sollte selbst entscheiden dürfen, wem er die Daten überlässt. Die Entwickler von Kailona schreiben:
Derzeit verteilen Regierungen, Gerätehersteller und Softwareunternehmen persönliche Gesundheitsdaten, damit Unternehmen sie nutzen können. Es gibt auch eine neue Welle von Apps, die sichere persönliche Gesundheitsakten vermarkten. Ihre Umsatzmodelle basieren jedoch auf dem Verkauf der Daten an Versicherungs- und Pharmaunternehmen, und die Benutzer:innen werden nicht explizit auf die Folgen der Verwendung dieser Apps aufmerksam gemacht.
Es ist ein wichtiges und richtiges Ziel, diesen Datenmissbrauch zu stoppen.
Aus meiner Sicht ist ebenfalls grundsätzlich sinnvoll, Software zum Sammeln und Teilen von Informationen zu nutzen, weil - wenn die Software gut und das Konzept stimmig ist - viel Arbeit und bürokratischer Aufwand gespart werden kann.
Nicht zuletzt halte ich es prinzipiell (Ausnahmen bestätigen die Regel) für eine gute Idee, dass Menschen über ihren Gesundheitszustand Bescheid wissen, und ihn aktiv durch geeignete Maßnahmen verbessern können, wenn das nötig sein sollte.
Ich vermute, soweit können die meisten Leser zustimmen. Die Probleme laufen auf, wenn man darüber nachdenkt, wie die vorgeschlagene Lösung mit der Kailona-App im Alltag angewendet wird.
Von technischen Details sei hier noch gar nicht gesprochen (z.B. Verschlüsselung, Datenübertragung, ...), sondern über konzeptionelle Problemstellungen.
Die Illusion der Entscheidungsfreiheit
Die Kailona-App soll dem Benutzer grundsätzlich die Wahl lassen, wer die gesammelten Daten erhält. Mit diesem Vorteil wird intensiv geworben. Fragen wir uns erst mal, für welche Zwecke Gesundheitsdaten im Allgemeinen eigentlich benötigt oder erwünscht/eingefordert werden.
- Ärzte und Krankenhäuser, die könnten ja sonst keine angemessene Behandlung vornehmen.
- Krankenkassen, die wollen ja schließlich wissen, wofür sie Kohle abdrücken müssen, und im Zweifel wollen sie gern eure Beiträge erhöhen, wenn ihr zu teuer werdet (gerade PKVs sind hier sehr eifrig im Nachjustieren).
- Arbeitgeber, die gerne wissen wollen, ob ihre aktuellen oder zukünftigen Mitarbeiter in Zukunft produktiv sein werden. In den USA beispielsweise wurde schon vor ein paar Jahren ein Gesetz verabschiedet, das Arbeitgeber berechtigt, Gentests von (potenziellen) Angestellten einzufordern. Gentests sind zu derlei Zwecken in Deutschland verboten, fragt sich nur, wie lange noch.
- Datenkraken wie Google, Facebook oder Apple, die spezielle kommerzielle Ziele verfolgen, nämlich euch an ihre Plattform zu binden - indem sie wiederum "unverzichtbare" Leistungen rund um eure Gesundheit anbieten, z.B. Smartwatches mit Blutdruck-, Puls-, Blutzucker-, Schlaf- und Sport-Kontrolle.
- Anbieter von Gesundheits-Services, z.B. irgendwelche Fitness-Apps - die wollen eure Daten vor allem aggregieren und ggf. verhökern.
- Gemeinnützige Gesundheitsforschung, die mit den Daten Problemlösungen, Heilmethoden, Behandlungsmaßnahmen finden oder Vorhersagen über die Entwicklung von Menschen(massen), Krankheiten, Epidemien usw. treffen wollen.
- Medizintechnik-Industrie mit kommerziellen Interessen, die auf Basis von Gesundheitsdaten neue Geräte und Hilfsmittel für Diagnostik und Behandlung entwickelt
- Pharmaindustrie, die auf Basis von Gesundheitsdaten neue Medikamente entwickelt oder an euch verkaufen will.
- Staaten/Behörden, die auf Basis von Gesundheitsdaten (zumindest theoretisch) Gesetze anpassen, Budgets kalkulieren, ggf. Notfallmaßnahmen anordnen (siehe Corona), Urteile fällen.
- Tunichtgute, die euch mit unvorteilhaften Gesundheitsdaten erpressen wollen.
Es gibt bestimmt noch mehr potenzielle Stakeholder, aber zum Zwecke der Argumentation reichen die zehn Kandidaten hier erst mal. Schauen wir uns also an, wie viel Wahlfreiheit wir in den einzelnen Fällen tatsächlich haben, wenn es um die Weitergabe oder Aggregation eurer Gesundheitsdaten geht:
Krankenhäuser, Ärzte andere behandelnde Entitäten erhalten die Daten so oder so. Muss ja.
Krankenkassen erhalten eure Daten ebenfalls so oder so. Wobei hier - insbesondere im Bereich der PKV - selbstverständlich unerwünschte Nutzung stattfindet. Krankenkassen sind in der Regel gewinnorientierte Unternehmen. Sie wollen eure Beiträge einsacken und möglichst wenig zurückgeben. Daher ist hier die Motivation bezüglich des Datensammelns ziemlich klar. Stellt ihr ein finanzielles Risiko dar, sind eure Beiträge so anzupassen (sprich: zu erhöhen), dass das Risiko möglichst verschwindet und man mit euch wieder Gewinn macht. Die KKs sprechen ja immer gern von Beitragsanpassung. Klingt besser als Beitragserhöhung.
Arbeitgebern könntet ihr natürlich die Daten vorenthalten. Aber wenn ihr den Job unbedingt wollt oder gar braucht?
Staaten und Behörden erhalten eure Daten zweckgebunden, beispielsweise im Rahmen von Gerichtsurteilen, die euren Gesundheitszustand zum Gegenstand haben, oder wenn ihr verbeamtet (eingeschränkt: angestellt) seid.
Bis hierhin läuft es mit der Wahlfreiheit nicht so wirklich gut.
Dann haben wir noch Datenkraken, Fitnessanbieter, Pharma- und Medizintechnik-Industrie. Die stecken alle unter einer Decke und kriegen eure Daten vielfach auch dann, wenn ihr sie gar nicht aktiv übermittelt, sondern nur ein bisschen unvorsichtig auf sozialen Medien geplappert habt. Siehe Facebook und Big Pharma.
Und die Tunichtgute erhalten eure Daten, wenn ihr selbst oder die anderen Datenhalter datenschutztechnisch geschlampt haben, siehe z.B. hier oder hier.
Das reicht erst mal zum Thema Wahlfreiheit. Mich irritiert bis hierhin im Wesentlichen, dass als einer der wesentlichen Vorteile dieser Kailona-App eine Entscheidungsfreiheit genannt wird, die bestenfalls nur in unwichtigen Teilbereichen existiert. Aber ein K.O.-Kriterium für den Einsatz ist das nicht, man kann Kailona ja trotzdem gut finden, um einen Überblick über die eigenen Gesundheitsdaten zu behalten.
Sensible Daten in Händen von Ungeschulten
Mehr als die Hälfte aller Deutschen gibt laut Studie freiwillig persönliche Daten Preis, wenn im Gegenzug was geboten wird. Zum Beispiel irgendwelche kostenlosen Services. Finde ich (aufgrund meiner persönlichen Erfahrungen) absolut plausibel.
Ich behaupte, dass die meisten dieser Leute das nur deshalb machen, weil sie keine Ahnung haben, was die potenziellen Folgen ihrer Freigiebigkeit sein könnten.
Hier ist noch eine (etwas ältere) Studie von Vodafone, die ab Seite 30 ein paar Daten zum Thema Umgang mit Gesundheitsdaten aggregiert. Da findet man eine grobe Bestätigung der Freigiebigkeit der Datenherausgabe.
Ich will den Menschen nicht pauschal Dummheit vorwerfen. Aber Naivität bzw. Unwissenheit durchaus: Wer alle seine Gesundheitsdaten in der Hand hat, und irgendein attraktives Angebot bekommt von irgendeiner Partei, die das Blaue vom Himmel verspricht, irgendwelche Boni und Sofortgewinne oder Vorteile oder Gutschriften, dann setzt bei vielen Leuten der Verstand aus. Einfaches Beispiel: Payback, da ist Tilt im Gehirn. Wegen lächerlichen Peanuts verraten Leute unendlich viel über sich. Und von diesem Tilt ist die Hälfte unserer Bevölkerung betroffen.
Datensicherheit und Haftung
Das größte Problem ist aus meiner Sicht: Datensicherheit. Nextcloud ist eine typischerweise im Netz offen erreichbare Plattform. So sehr sich die Entwickler um Sicherheit bemühen: Nextcloud ist beliebt und ein wunderbares Angriffsziel. Es gibt zudem nicht nur die Webanwendung als Einfallsvektor, sondern auch Desktop-Clients zum Synchroniseren, Apps fürs Handy und Schnittstellen diverser Natur für das Teilen oder Föderieren der Clouds bzw. ihrer Inhalte. Aufgrund der besonders attraktiven Inhalte solcher Nextcloud-Instanzen ist zudem die Motivation, da mal reinzuschnüffeln, recht hoch.
Es gibt zwei mögliche Hosting-Szenarien:
- Entweder die Leute lassen Nextcloud auf ihrer oder einer von ihnen gemieteten Infrastruktur laufen und administrieren selbst, mit aller verbundenen Verantwortung. In seltenen Fällen ist das okay, wenn die Leute wirklich wissen, was sie tun.
- Leute mieten sich Nextclouds von einem kommerziellen Anbieter, der dann für angemessene Sicherheit der Infrastruktur (Webserver, Backups etc.) zuständig ist. Aber eben nur dafür. Nicht für die Sicherheit der Nextcloud-Anwendung selbst.
Wenn nun Gesundheitsdaten durch einen Sicherheitsvorfall abhanden kommen und eventuell missbraucht werden: Wer haftet denn dann für eventuelle Schäden? Wen kann man vor Gericht zerren, und Schmerzensgeld oder sowas verlangen, weil derjenige bei der Datenhaltung oder Datenverteilung unentschuldbar geschlampt hat?
Niemanden. Sorry, Software-Problem, Haftung ausgeschlossen. Risiko liegt einzig und allein beim Nutzer, nicht beim Provider oder Programmierer.
Es ist aus meiner Sicht unverantwortlich, sensible Daten in einer Plattform vorzuhalten, die am offenen Netz hängt.
Also, was ist die Moral von der Geschicht'? Nein, das geht so nicht.
Für mich scheitert das Projekt bereits an der Hürde, dass man Menschen ohne IT- und Datenschutzu-Kompetenz nicht die Verantwortung für dermaßen wichtige, sensible Daten überlassen sollte. Von Problemen mit der Datensicherheit bei Übertragung und Speicherung durch Dritte mal ganz zu schweigen.
Beim Thema Gesundheitsdaten müssen extrem enge gesetzliche und technische Grenzen gesetzt werden und extrem harte Strafen für die Verletzung derselben. Daher muss ich nach aktuellem Stand sehr dringend von einer Nutzung dieser Kailona-Entwicklung abraten.
Wird trotzdem passieren, aber ich sage dann halt hinterher: Ich hab's ja gesagt.
Ansonsten erzeugt bei mir der leicht esoterische Anstrich der Angebots-Website einen geringfügigen Würgereiz, von wegen "Vertrauen, Selbstbestimmung, Selbstheilung"... aber dieses letzte Detail ist unsachliche Kritik.