Wie die Widerspruchslösung die digitalen Altlasten von Swisstransplant lösen könnte

Mit der Digitalisierung des Schweizer Gesundheitswesens steht es bekanntlich nicht zum Besten: Vor einem Jahr enthüllten wir für die Republik gravierende Sicherheitsmängel bei der Plattform meineimpfungen.ch welche für das Impfzertifikat vorgesehen war. Das elektronische Patientendossier hat kaum Verbreitung (8000 Dossiers wurden bisher ausgestellt) und wird in Arztkreisen “PDF-Friedhof” genannt. Und im Januar 2022 wurde publik dass Betrügerinnen ohne grossen Aufwand beliebige Personen als Organspender im digitalen Register von Swisstransplant eingetragen haben könnten. Dafür musste der Bösewicht lediglich ein paar persönliche Angaben kennen, ein beliebiges Foto in die Kamera des Tablets halten, eine krakelige Unterschrift hinsetzen und eine Emailadresse anlegen für sein Opfer. In der besagten Datenbank wird der Spendewille dokumentiert. Der Vorfall wird seither vom EDÖB untersucht, er leitete eine Sachverhaltsabklärung ein.

Der Fall wäre eigentlich nur ein weiterer in der Serie «IT-Pleiten im öffentlichen Sektor», wäre da nicht die Abstimmung vom 15. Mai. Hierbei steht ausgerechnet die Willensäusserung im Zentrum, also genau jener Bereich bei welchem Sicherheitsmängel identifiziert worden sind. Und paradoxerweise könnte ein Ja zur Abstimmung die digitalen Altlasten der Stiftung lösen.

Alle Emailadressen des Spendewilligen kennen

41’000 Personen haben sich bei der Spender-Datenbank digital registriert. Wieviele davon sind fake, welche stammen von echten Spendewilligen? Diese Frage wird nicht endgültig geklärt, wie DNIP.ch bekannt machte. Denn: die Datenbank bleibt bestehen und wird nur “on demand” verifiziert, also nur im Fall einer konkreten Organspende.

Und diese Verifizierung verlangt von allen Beteiligten einiges ab: Bei einer potenziellen Spenderin müssen zuerst die Spendekriterien erfüllt sein: (a) die betroffene Person hirntot, b) sie hat keine Kontraindikationen, c) und sie gab ihre Einwilligung zur Spende. Gerade das dritte Kriterium – also die Einwilligung – muss dann im Fall eines Swisstransplant-Eintrags besonders auf Echtheit überprüft werden. Damit wird den Spitälern und der Familie viel Verantwortung aufgebürdet: sie müssen etwa wissen ob die im Sterben liegende Person zum Beispiel effektiv eine @gmail-Adresse besass (mit der sie einen Eintrag im Register hinterlegte), denn die Emailadresse kann auch von einem Betrüger für jemanden angelegt worden sein.

Eine sehr unrealistische Forderung und heikel, wenn die Familienmitglieder etwa nicht über den konkreten Spendewillen Bescheid wussten. Oder woher weiss man dass eine sich im Koma befindende Person namens Werner Wimler nicht doch eine Email mit dem Namen werner.wimler@gmail.com angelegt hatte und nicht nur die den Familienmitgliedern bekannte Hotmail-Adresse? Erst wenn die Authentizität des Eintrags gegeben ist – abgesegnet von den Angehörigen – gibt es grünes Licht für die Organspende.

Die Stiftung unternimmt gemäss dem EDÖB derzeit weitere Massnahmen um die «Datenwahrheit» zu überprüfen, diese werden in einem Bericht des Eidgenössische Datenschutzbeauftragen präsentiert. Ob dieser noch vor dem Abstimmungstermin erscheinen wird, ist unklar.

Fakt ist also: die Datenbank bleibt bestehen, die Frage ob sich unter den Zehntausenden von Einträgen auch unechte Spendewillige verbergen, wird vorerst nicht geklärt.

Doch mit der Widerspruchslösung kommt der Stiftung etwas Entscheidendes zugute: denn mit der “Umkehrpflicht” der negativen Äusserung hat die Stiftung nun die Chance “korrekte Daten” zu erhalten, weil sich die gesamte Schweizer Bevölkerung nun mit dem Thema beschäftigen und dazu äussern muss.

Der Widerspruch kann dabei in Form eines Organspendeausweis, im digitalen Registereintrag (sofern dieses wieder aufgeschaltet wird) oder ganz simpel schriftlich auf einem Platt Papier (Organspendewille) erfolgen, mit versehener Datum und Unterschrift. Dabei muss der geäusserte Wille (also “Nein, ich will nicht spenden”) dokumentiert sein.

“Liegt ein klarer Wille vor (d.h. findet das Spital einen festgehaltenen Willen im Register oder auf einer Spendekarte /auf einem zusammengefaltetem und datiertem, unterschriebenem Zettel im Portemonnaie, in einer Patientenverfügung etc.) so gilt dieser, und die nächsten Angehörigen werden über den festgestellten Willen informiert.“

BAG-Sprecherin Katrin Holenstein

Auch hier spielen die Angehörigen eine wichtige Rolle, bei Zweifeln haben sie ein Vetorecht.

“Erst in einem zweiten persönlichen Gespräch mit den nächsten Angehörigen darf sodann die Frage der Organspende angesprochen werden. In diesem Gespräch wird auch thematisiert, wo der Wille aufgefunden wurde und mit den nächsten Angehörigen besprochen.“

BAG-Sprecherin Katrin Holenstein

Ein aufgefundenes Blatt Papier, das irgendwo zwischen weiteren Unterlagen läge und weder datiert noch unterschrieben sei, würde eher als Indiz denn als dokumentierter Wille gewertet werden.

Aufarbeitung des Datenschutzskandals nötig

Auch wenn die Widerspruchslösung der Stiftung gerade recht kommt: Der Datenschutzskandal rund um die Stiftung Swisstransplant wirft viele Fragen auf, die einer vertieften Aufarbeitung bedürfen. Allgemein stellt sich die Frage warum ein so wichtiges Register keinerlei Aufsichtspflichten bezüglich Datenschutz und IT-Sicherheit unterlag, wie die Antwort des BAG zeigt.

“Das Spenderegister wurde von Swisstransplant als privatrechtliche Stiftung eigenständig entwickelt und wird von ihnen auch eigenständig betrieben. Der Bund ist nicht beteiligt und hat keine Aufsicht über das Register.”

BAG-Sprecher Grégoire Gogniat

Auch die Stiftung verteidigte sich: In ihrer Stellungnahme gegenüber dem BAG, die DNIP.ch vorliegt, schreibt sie dass es keiner Formvorschriften bedürfe, wenn jemand seinen Willen zur Organspende äussere. Es handelte sich um einen “freiwilligen Eintrag” und solle daher möglichst benutzerfreundlich daherkommen. Die Niederschwelligkeit wird also mit fehlenden gesetzlichen Auflagen begründet. Ausserdem spielte Swisstransplant die Vorwürfe der Firma ZTF (die die Sicherheitsmängel entdeckte) stark herunter: es handle sich beim Organspenderegister “um keine Gesundheitsdaten” handelt, was im Grunde genommen stimmt, dennoch ist es eine sensitive Information.

Zudem müsse man den “genauen Pfad- und Dateinamen” erst kennen für einen Angriff. In der Stellungnahme wird allgemein das Risiko des falschen Eintrags relativiert und viel auf die “Frage der kriminellen Energie des Täters” verwiesen.

Das BAG bemüht sich wie bereits beim vergangenen IT-Skandal rund um die Stiftung meineimpfungen.ch um Distanz gegenüber der Leistungserbringerin Swisstransplant. Doch die Stiftung ist dennoch dick im Geschäft mit dem Bundesamt. Sie ist die vom Bund beauftragte Zuteilungsstelle der Organspenden und betreibt neben dem eigenen freiwilligen Register noch eine wichtige andere Datenbank: das SOAS, also das Organzuteilsystem. Swisstransplant ist Hauptbenutzerin und administriert diese Datenbank. Die Stiftung verwaltet eines der wichtigsten Datenbanken mit allen medizinischen Daten zu Organen, Spenderinnen und Empfängern. Sie hat als einzige Stelle vollen Zugriff auf das gesamte System gemäss Dokumenten, die DNIP.ch vorliegen und erhält über 2 Millionen Franken Subventionen für den Betrieb der Datenbank. Ihre Leistungen werden für die Umsetzung des Aktionsplans abgegolten, gemäss einer Verfügung des BAG erhält sie bis 2023 Subventionen in der Höhe von maximal 350 000 Franken.

Anders als beim Organspenderegister existieren beim SOAS-System jedoch strenge Auflagen und klare Leistungsvereinbarungen: Handbücher, Dokumentationen, Abgeltungsrahmenverträge, Verfügungen und Informationssicherheitskonzepte, die DNIP.ch dank des Öffentlichkeitsgesetzes einsehen konnte.

Die Republik wollte auch wissen ob in der Vergangenheit entsprechende Überprüfungen des freiwilligen und in Kritik geratenen Organspenderregisters (eine IT-Lösung der Firma Begasoft) durchgeführt worden sind und fragte zu diesem Zweck ebenfalls nach einer entsprechenden Dokumentation an.

Doch die Stiftung möchte diese Berichte nicht herausgeben. Und weil es sich um eine private Institution handelt, greift auch das BGÖ nicht in diesem Fall. «Die von Ihnen genannten internen Dokumente enthalten sicherheitsrelevante Daten, die wir Ihnen nicht aushändigen können» lautete die Antwort auf unsere Anfrage.

Gut möglich werden die Karten nach der Abstimmung nochmals neu gemischt. Spätestens dann wenn der EDÖB seinen Bericht vorlegt und das BAG gemäss Insider-Informationen über die weitere Zusammenarbeit mit Swisstransplant entscheiden wird. Hoffentlich ziehen dann alle Beteiligten ihre Lehren daraus: dass man beim Thema Digital Health und in Sachen sensible Gesundheitsdaten (worunter auch im weitesten Sinne auch die Spendebereitschaft zu verstehen ist) die Verantwortung für Datensicherheit nicht an eine unkontrollierte Stiftung ohne Auflagen auslagern darf (oder dies genauso streng gehandhabt wie beim bundeseigenen SOAS-Organzuteilungssystem).

Und dass das BAG endlich selbst die nötige IT-Kompetenz aufbaut.

Update/Ergänzung 4.5.2022: Ein Hinweis von Leser/Autor Felix Huber: der Bund baut bei einem Ja zur Widerspruchslösung ein eigenes Register auf (für Spendewillige/Widerspruch), was ich vergessen habe zu ergänzen. Was mit dem alten Organspenderegister von Swisstransplant passiert, konnte mir niemand von offizieller Seite beantworten. Ob es nun gelöscht wird oder eben “stehengelassen” wird, weil auch nicht mehr von Relevanz: so oder so muss sich niemand von der Stiftung offenbar mit der Verifikation der Fake-Einträge auseinandersetzen.