Jan geht es nicht gut. Schon seit längerem plagen ihn düstere Gedanken, Depressionen und Schlafstörungen, er flüchtet in den Alkoholkonsum, der seine Probleme aber nur verschlimmert. An einem Tiefpunkt angekommen stellt er fest: Er braucht Hilfe, um sein Leben wieder in den Griff zu bekommen. Nach langer Suche findet er schließlich einen Psychotherapeuten, mit dem er gut klarkommt. Immer mehr öffnet er sich in den Sitzungen, bis Jan ihm auch sein letztes, am stärksten behütetes Geheimnis anvertraut: Jan ist pädophil, er fühlt sich schon seit seiner Jugend zu Jungs im Vorschulalter hingezogen. Der Therapeut reagiert zum Glück verständnisvoll, und mit seiner Unterstützung kann Jan seine psychischen Probleme langsam in den Griff bekommen. Am Ende jeder Sitzung tippt der Therapeut seine Sitzungsnotizen in den Rechner ein und füllt nach und nach Jans Patientenakte, in der als Diagnose nun unter anderem auch der Code F65.4 notiert ist – Pädophilie.
Jahre vergehen. Jan ist schon lange nicht mehr bei seinem Therapeuten, er kommt inzwischen ganz gut alleine klar. Alles scheint gut für ihn zu laufen, bis er eines Tages eine Mail von einem unbekannten Absender in seinem Postfach findet. Als Jan die Mail liest, fängt er an zu zittern und zu schwitzen. In der Mail steht nicht nur sein voller Name, seine Adresse und seine Sozialversicherungsnummer, sondern auch all jene Sachen, die er vor Jahren seinem Therapeuten anvertraut und über die er sonst noch mit niemandem geredet hat, allen voran: die Gefühle, die er für kleine Jungs hat. Der unbekannte Absender verlangt eine Zahlung von mehreren hundert Euro in Cryptowährungen auf ein anonymes Konto innerhalb der nächsten 24 Stunden, ansonsten droht er damit, die Informationen öffentlich zu machen. Wie sich später herausstellen sollte, wurde die Praxis, zu der Jan gegangen ist, von kriminellen Hackern angegriffen und seine Patientenakte, in der sämtliche Behandlungsnotizen aus seiner Therapie gespeichert waren, dabei abgegriffen.
Die Geschichte von Jan ist zwar erfunden, basiert aber auf einer realen Begebenheit, die eng mit dem Aufstieg und Fall des größten Anbieters für Psychotherapien in Finnland verbunden ist.
2009 wurde in Finnland die Firma Vastaamo gegründet, die eine für damalige Verhältnisse innovative Softwarelösung anbot, mit der potenzielle Klient:innen unkompliziert und mit wenig Wartezeit Termine bei zertifizierten Therapeut:innen online bekommen konnten. Damit wurde die Firma so erfolgreich, dass sie ab 2012 eigene Kliniken eröffnen konnte, die ebenfalls mit selbst entwickelter Software ausgestattet wurden. Am Höhepunkt des Erfolgs von Vastaamo betrieb die Firma 25 Kliniken in dem recht bevölkerungsarmen Land. Wer zu der Zeit eine Psychotherapie in Finnland in Anspruch nahm, ging recht wahrscheinlich in eine Vastaamo-Klinik.
Die nach außen hin beeindruckende Erfolgsstory des Unternehmens verbarg jedoch einen verrotteten Kern. Die Software, auf der sich der Erfolg von Vastaamo begründete, war extrem unsicher. So wurden Patientenakten mit höchst sensiblen Daten ohne jegliche Anonymisierung oder Verschlüsselung in einer Datenbank gespeichert, die nur durch drei einfache Firewalls geschützt war. Um das System leichter warten zu können, konfigurierten die verantwortlichen Systemarchitekten aus Bequemlichkeit faustgroße Löcher in diese Firewalls, sodass es nur eine Frage der Zeit war, bis das System erfolgreich angegriffen werden würde. 2018 und 2019 gelang kriminellen Hackern schließlich zweimal der Zugriff auf diese Datenbank, was die Verantwortlichen bei Vastaamo zunächst zu vertuschen versuchten.
Etwa eineienhalb Jahre sollte es dauern, bis die Hacker den Wert der Daten, die bei diesen Hacks abgegriffen wurden, überhaupt erkannten. Im September 2020 forderten sie schließlich eine halbe Million Euro von Vastaamo und drohten damit, die gehackten Daten zu veröffentlichen, sollte Vastaamo nicht zahlen. Als diese Drohung nicht fruchtete, versuchten die Hacker eine für Cyberkriminelle eher ungewöhnliche Strategie und fingen an, einzelne Betroffene direkt zu erpressen. Gleichzeitig veröffentlichten die Kriminellen nach und nach Patientenakten Darknet, um den Druck auf die Firma und die Betroffenen zu erhöhen. Darunter waren Akten von Politiker:innen und anderen Menschen in Führungspositionen, aber auch von Menschen, die in der vermeintlichen Sicherheit der Therapie zugaben, pädophile Neigungen zu haben.
Der Fall erschütterte 2020 ganz Finnland und hatte weitreichende strafrechtliche, aber auch politische Folgen. Einige Betroffene versuchten verzweifelt, das geforderte Erpressungsgeld zu bezahlen, wobei unklar ist, ob danach je Datensätze wirklich gelöscht wurden. Vermutlich aufgrund eines eigenen Fehlers stellten die Kriminellen versehentlich alle etwa 33.000 gehackten Patientenakten kurzzeitig für die ganze Welt online, womit die Katze sowieso aus dem Sack gelassen war. Wer in einer Klinik von Vastaamo je in Behandlung war, musste damit rechnen, dass sein soziales Umfeld von seinen intimsten und privatesten Gedanken jederzeit erfahren konnte. Für einige Betroffene war diese Vorstellung so unerträglich, dass sie sich daraufhin das Leben nahmen.
Der Fall Vastaamo ist ein Extrembeispiel dafür, wozu eine fahrlässige Nachlässigkeit bei der Verarbeitung von sensiblen Gesundheitsdaten im schlimmsten Fall führen kann. Es handelt sich dabei aber keineswegs um einen Einzelfall, erst kürzlich wurden wurden in einem ähnlichen Fall die gehackten Patientenakten von 1.300 Klient:innen einer Spielsucht-Beratungsstelle in der Schweiz im Darknet veröffentlicht. Solche Fälle zeigen exemplarisch, was für Risiken insbesondere auch pädophile Menschen eingehen, die sich in Therapie begeben. Längst ist es nicht mehr so, dass das, was man im Vertrauen seinem Therapeuten erzählt, den Patientenraum nicht mehr verlässt. Elektronische Datenverarbeitung ist heute Standard geworden, und so landen auch sensible Patientendaten in digitalen Systemen, wo sie prinzipiell abgegriffen werden können. Digitalisierung im Gesundheitssystem ist daher neben möglichen Chancen auch immer mit potenziellen Risiken verbunden, die für Betroffene meist gar nicht mehr überblickbar sind.
Wesentlich vorangetrieben wurde die Digitalisierung des Gesundheitswesens in Deutschland Anfang des Jahres mit Inbetriebnahme der elektronischen Patientenakte (ePA). Jeder, der nicht explizit widersprochen hat, besitzt seit April dieses Jahres so eine Patientenakte, in der Behandelnde Diagnosen und Befunde hinterlegen können. Zwar landen, anders als bei Vastaamo, in der ePA keine detaillierten Sitzungsprotokolle, allerdings durchaus Diagnosen. In Deutschland ist für Diagnosen weiterhin der ICD-10 maßgebend, in dem Pädophilie unter dem Code F65.4 noch als Krankheit gelistet ist. Im Klartext bedeutet dies, dass jeder pädophile Mensch, der sich gegenüber einem Arzt oder Therapeuten als pädophil outet die „Diagnose“ Pädophilie verliehen bekommen kann und sie gegebenenfalls in der ePA digital hinterlegt wird. Und auch mit dem ICD-11, der irgendwann in der Zukunft in Deutschland gültig werden soll, sieht es nicht besser aus: zwar gilt dort Pädophilie „nur“ noch als Störung, wenn sie mit Belastungen oder Fremdgefährdungen einhergeht, aber es liegt weiterhin in der Deutungshoheit der Behandelnden zu bestimmen, wann dieser Punkt erreicht ist. Es ist also auch mit dem ICD-11 weiterhin möglich, in den eigenen Gesundheitsdaten mit einer entsprechenden Diagnose als pädophil markiert zu werden.
Dass auch die ePA nicht vor unbefugten Zugriffen sicher ist, zeigten Sicherheitsfachleute des Chaos Computer Clubs letztes Jahr in einem Vortrag auf dem 38. Chaos Congress. Eindrucksvoll demonstrierten sie mehrere teils gravierende Schwachstellen, über die sie mit vergleichsweise wenig Aufwand Vollzugriff auf die Patientenakten Dritter erlangen konnten, auf die sie eigentlich gar keinen Zugriff haben sollten. Danach wurde der Start der ePA zwar noch einige Male verzögert und es wurde technisch nachgebessert, aber selbst kurz Inbetriebnahme der ePA im April äußerten Fachleute immer noch Zweifel daran, dass die ePA wirklich sicher sei. Fakt ist jedenfalls, dass die ePA zahlreiche hochsensible Daten zentralisiert sammelt, und dadurch ein äußerst begehrenswertes Angriffsziel für kriminelle Hacker:innen darstellt. Diagnosen wie die Pädophilie nach F65.4 sind dabei wiederum für Cyberkriminelle besonders interessant, da wohl keine „Krankheit“ stärker stigmatisiert und schambehafteter ist und sich somit besser für Erpressungen eignet.
Immerhin sind wir den Risiken der ePA nicht hilflos ausgeliefert. Es ist jederzeit möglich, die eigene Patientenakte löschen zu lassen, ohne dass dies zu Benachteiligungen bei Behandlungen führen darf. Dafür reicht ein formloses Schreiben an die Krankenkasse. Wer sich als Pädophile:r in therapeutischer Behandlung befindet, sollte diesen Schritt unbedingt aufgrund der möglichen Risiken erwägen. Wer auf die Vorteile der ePA nicht ganz verzichten möchte, hat außerdem die Möglichkeit zu fordern, dass eine mögliche Diagnose einer Pädophilie nicht in der ePA landen soll. Wer eine solche Diagnose bereits in seiner ePA stehen hat, sollte darauf achten, diese auszublenden, sodass nicht jede Arztpraxis darauf zugreifen kann. Informationen über Widerspruchsmöglichkeiten bei der ePA finden sich zusammengefasst auf heise.de.
Die letzten Monate wurde Deutschland von einer Reihe von Gewaltfällen erschüttert: so zum Beispiel im Mai, als am Hamburger Hauptbahnhof eine Frau, die kurz vorher aus der Psychiatrie entlassen wurde, 18 Menschen mit einem Messer verletzte. In der Medienberichterstattung zu diesen Fällen wurde schnell die psychiatrische Vorgeschichte der Täter:innen in den Vordergrund gestellt. In dem Bemühen, Entschlossenheit zu demonstrieren, stellte die Politik daraufhin Forderungen, die für mehr Überwachung psychisch kranker Menschen warben. CDU-Generalsekretär Carsten Linnemann sprach sich für ein Register psychisch kranker Gewalttäter aus, Thüringens Innenminister Georg Maier sprach davon, psychisch kranke „Gefährder“ verpflichtend an die Polizei zu melden, und in Hessen überprüfte eine neu gegründete Taskforce der Polizei für „Psychisch Auffällige, Vielschreiber, Gewalttäter“ 1.600 Menschen, die in ihrer Polizeidatenbank als psychisch krank markiert waren. Die hessische Landesregierung plant darüber hinaus eine Gesetzesänderung, die es unter bestimmten Umständen verpflichtend machen soll, aus der Psychiatrie entlassene Personen an Sicherheitsbehörden zu melden.
Als Reaktion darauf wiesen Kritiker:innen schnell darauf hin, dass der Zusammenhang zwischen psychischen Erkrankungen und Gewalttaten überschätzt sei. Die meisten psychisch erkrankten Menschen sind friedlich, und andersherum haben die meisten Gewalttäter:innen keine psychiatrische Geschichte. Wichtig sei vor allem, auf Prävention zu setzen, also Behandlungsangebote auszubauen, die auf individuelle Bedürfnisse zugeschnitten sind. Die Debatten um psychische Erkrankungen erinnern damit zunehmend an die Debatten um Pädophilie, insbesondere in der Hinsicht, als dass über psychisch erkrankte Menschen zunehmend als ein Risiko für die Sicherheit der Gesellschaft gesprochen wird, das irgendwie „gemanaged“ werden muss. In einer Pressemitteilung der CDU Hessen wird über psychisch Kranke etwa schon gar nicht mehr als Hilfsbedürftige, sondern nur noch als potenzielle Gefahr geredet.
Kurzsichtige Pläne von Politiker:innen, Daten zu psychisch erkrankten Menschen der Polizei zur Verfügung zu stellen, müssen mit Sorge beobachtet werden. Psychiatrieverbände wie die dgppn und BPD befürchten eine Stigmatisierung Betroffener und die Aufweichung des Arztgeheimnisses und weisen darauf hin, dass die Pläne dazu führen können, dass Betroffene aus Angst vor Datenweitergabe nicht mehr rechtzeitig einen „Rettungsanker“ annehmen. Schon jetzt fragen sich Betroffene, ob es Nachteile für sie haben kann, wenn sie sich in Behandlung begeben. Für Pädophile wenig beruhigend dürfte dabei die Einschränkung sein, dass es ja nur um psychisch kranke „Gefährder“ gehe. Da den gesellschaftlichen Vorurteilen nach Pädophile grundsätzlich als gefährliche, tickende Zeitbomben gelten, ist davon auszugehen, dass Pädophile von den geplanten Regelungen übermäßig betroffen sein werden.
Das hohe gesellschaftliche Stigma und die verbreitete Gleichsetzung von Pädophilie und Missbrauch wiederum bedeutet, dass es fatal sein kann, bei der Polizei als pädophil bekannt zu werden. Diese Information alleine ist unter Umständen schon ausreichend dafür, dass ein Strafverfahren eingeleitet und eine Hausdurchsuchung angeordnet wird. Bei tatsächlich vorliegenden Straftaten kann eine diagnostizierte Pädophilie zu höheren Strafen oder zusätzlichen Auflagen vor Gericht führen. Im Übrigen ist auch jetzt schon die ePA hier potenziell problematisch. Für gewöhnlich unterliegen ärztliche Unterlagen einem Beschlagnahmeverbot, heißt auch bei Verdacht auf das Vorliegen einer Pädophilie darf die Polizei nicht in die Akten des Therapeuten einer Person schauen, um diesen Verdacht zu bestätigen. Bei der ePA ist unklar, ob hier das Beschlagnahmeverbot auch gilt, da diese Akten nicht von den Behandelnden, sondern von den Krankenkassen verwaltet werden. Schon 2023 stellte der damalige Bundesdatenschutzbeauftragte daher fest, dass es nicht ausgeschlossen ist, dass die Polizei völlig legal Zugriff auf ePAs erhalten könne. Dies ist noch ein Grund sicherzustellen, dass der Vermerk auf Pädophilie niemals in der eigenen ePA zu finden ist.
In den USA-Bundesstaaten gibt es die sogenannten Mandatory Reporting Laws, die unter anderem auch Psychotherapeut:innen dazu verpflichten, bei Verdacht auf Kindesmissbrauch die Behörden zu alarmieren. Um sich selbst abzusichern, machen viele Psychotherapeut:innen so eine Meldung schon bei Klient:innen, die sich als pädophil outen. In Deutschland muss (und darf) eine Meldung derzeit nur dann erfolgen, wenn konkrete Hinweise auf eine drohende Selbst- oder Fremdgefährdung vorliegen. Dass Pädophile sich relativ gefahrlos in einer Therapie outen können, und selbst Straftäter:innen ohne Angst auf Konsequenzen von vergangenen Straftaten erzählen können, ist etwa die Basis dafür, dass ein Projekt wie Kein Täter Werden im deutschsprachigen Raum überhaupt existieren kann. Dies wird durch Forderungen nach Polizeiregistern für „Gefährder“ und verpflichtendem Datenaustausch zwischen Psychotherapie und Polizei fundamental infrage gestellt.
All diese Gefahren und gesellschaftliche Entwicklungen sollen bitte noch niemanden davon abhalten, sich Hilfe zu suchen, wenn sie benötigt wird. Es ist aber wichtig sich eines bewusst zu machen: in einer digitalisierten Welt sind auch vertrauliche Diagnosen und Behandlungsprotokolle am Ende Daten, die in datenverarbeitenden Maschinen landen. Und Daten wecken Begehrlichkeiten: einmal von Cyberkriminellen, aber auch von Sicherheitsbehörden, die diese Daten nutzen wollen, um vermeintliche Risiken zu bewerten, was am Ende aber vor allem bereits marginalisierte Gruppen stigmatisiert. Als Pädophile:r gebietet es die hohe Gefahr der Stigmatisierung, sich dessen bewusst zu machen, und genau zu hinterfragen: Wo landen diese Daten, wer hat Zugriff darauf, und wie sind diese abgesichert?