Benutzerspezifische Werkzeuge
Sie sind hier: Startseite Publikationen Broschüren FIfF eGK-Broschüre II 2 Grundlagen der elektronischen Gesundheitskarte

2 Grundlagen der elektronischen Gesundheitskarte

Sebastian Jekutsch Kapitel 2 Grundlagen

 

 

Im Folgenden werden die Funktionen und Funktionsweisen der geplanten elektronischen Gesundheitskarte (eGK) erläutert, das heißt: Es folgt eine Beschreibung dessen, worüber in den letzten Monaten und Jahren viel diskutiert und gestritten wurde. Was überhaupt wie und wann umgesetzt wird, ist noch ungeklärt, dennoch sollten Sie wissen und nachschlagen können, wie die eGK und die Telematikinfrastruktur des Gesundheitswesens offiziell aussehen sollen.

 

Es gibt auf der Website der gematik (der eigens gegründeten Gesellschaft für Telematikanwendungen der Gesundheitskarte) detaillierte Spezifikationen1 für die eGK, die allerdings nicht leicht zu verstehen sind. Sie gingen hervor aus einer Lösungsarchitektur2 der drei Fraunhofer-Institute ISST, IAO und SIT, wurden aber von der gematik komplett neu geschrieben und so detailliert, dass eine Implementation der Technik möglich wurde. Vermutlich wird es eine dritte Runde geben3; mehr dazu am Ende des Textes. Anhand der in dieser dritten Runde aufgezählten Grundprinzipien werden sich dann auch die wichtigsten Aspekte der eGK gut beurteilen lassen.

Patientendaten

Herkömmlicherweise hat jeder Arzt4 eine Akte mit den Gesundheitsdaten für jeden seiner Patienten. Der wesentliche Zweck der eGK ist, dass jeder behandelnde Arzt auf alle (auch von anderen Ärzten) erfassten Daten seiner Patienten Zugriff haben kann, so dass nicht Akten hin und her getragen oder gefaxt werden müssen, doppelte Untersuchungen vermieden und widersprüchliche Medikation verhindert werden können. Das ist heute – so die Werbeaussage5 – nur mit umsichtiger Hilfe des Patienten möglich. Die Karte selbst ist der Zugangsschlüssel für diese persönlichen Daten.

Die meisten Gesundheitsdaten sollen in einer großen Datenbank gespeichert werden. Sie sind mehrfach abgesichert:

  • Die Daten sind in der Regel verschlüsselt.
  • Voraussetzung für das Schreiben und Lesen der Daten durch Arzt oder Patient ist die Karte selbst.
  • Voraussetzung ist – meist – auch eine zweite Karte (der Heilberufsausweis HBA), der an Ärzte, Apotheker, Therapeuten, etc. als Berechtigte ausgegeben wird.
  • Voraussetzung für den Zugriff ist in fast allen Fällen die Eingabe einer persönlichen PIN des Patienten.
  • Die Datenquelle, also etwa der diagnostizierende oder verschreibende Arzt, kann mittels seiner elektronischen Unterschrift (Signatur) überprüft werden.
  • Auf der Karte ist ein Foto des Patienten.
  • Alle Datenzugriffe werden auf der Karte protokolliert.

Die Art der gespeicherten Daten hängt von den genutzten Diensten ab. Dienste sind Funktionen oder Anwendungen, die die sogenannte Telematikinfrastruktur anbietet. Diese eigens aufgebaute Software-Umgebung, die das Internet nutzt, sorgt nicht nur für Transport und Speicherung der Daten, sondern auch für deren Verarbeitung. Es werden dazu Spezialgeräte eingesetzt, die sogenannten Konnektoren.

Der Arzt benötigt also neben seinem schon vorhandenen Praxiscomputer, in dem weiterhin die Dateneingabe geschieht (deshalb Primärsystem genannt), einen Internetzugang, einen Konnektor und ein neues Lesegerät für die neuen Karten.

Dienste

Die eGK steht für eine Menge Funktionen oder Anwendungen, die Patient und Arzt mit den Gesundheitsdaten ausführen können. Die Karte speichert die Zustimmungen oder Weigerungen des Patienten, diese freizuschalten. Folgende Funktionen sind laut Gesetz vorgesehen6:

  • Versichertendaten: Auf der Karte selbst sollen sogenannte Stammdaten (auch klinische Basisdaten genannt) gespeichert werden, das sind Name, Geburtsdatum, Geschlecht, Anschrift, Krankenkasse, Krankenversichertennummer, Versicherungsstatus (Mitglied, Familie, Rentner) und Zuzahlungsstatus (u.a. bestimmte Behandlungsprogramme oder Sozialstatus).
  • Übertragung von sogenannten Verordnungen, also Verschreibungen für Medikamente und Hilfsmittel, Überweisungen zum Facharzt oder Einweisungen ins Krankenhaus. Die Karte soll also die bisherigen Papiere ersetzen. Das Rezept wird zum eRezept. Es ist aber weiterhin ausdruckbar.
  • Speichern von Arztbriefen, mit deren Befunde eines Spezialisten dem Hausarzt übermittelt werden. Der normalerweise dem Patienten ausgehändigte oder direkt gefaxte Brief wird zum eArztbrief.
  • Speichern von Notfalldaten, auf die der Arzt kurzfristig Zugriff hat, z.?B. bei Unfällen. Die Daten können Allergien, chronische Leiden, Dialyse, Medikamente, Herzleiden, etc. enthalten. Auch Organspende-Hinweise finden Platz. Die Notfalldaten helfen natürlich nur, wenn der Patient die Karte auffindbar bei sich trägt, der Notarzt ein Lesegerät hat und die Daten als vertrauenswürdig einstuft und schließlich die Zeit für deren Nutzung im Notfall ausreicht. Viele Ärzte haben Zweifel, ob dies je praktikabel sein wird.
  • Dokumentation der in der Vergangenheit und Gegenwart verabreichten oder verschriebenen Medikamente, um Unverträglichkeiten und Wechselwirkungen ausschließen zu können. 
  • Elektronische Patientenakte (ePA) mit Untersuchungsergebnissen, Diagnosen, Arztbriefen, Impfungen, Patientenverfügung usw. Sie ist das elektronische Äquivalent der jeweiligen Akten aller Ärzte des Patienten.
  • Weitere Funktionen (sogenannte Mehrwertdienste), auf die im Folgenden nicht eingegangen werden soll, können zusätzlich angeboten werden. Hier sind vor allem kommerzielle Dienste aller Art zu erwarten, die nicht nur Datenspeicherung, sondern auch z.?B. Hilfestellung bei Entscheidungen des Patienten und dem Arzt geben sollen. Dazu müssen die Gesundheitsdaten den Anbietern dieser Dienste lesbar, ja sogar automatisch verarbeitbar, zur Verfügung gestellt werden.

Ergänzt werden soll nach derzeitigem Stand die Funktion, dass die Stammdaten einmal im Quartal automatisch online auf Aktualisierung geprüft werden, sobald die Karte etwa beim Arzt benutzt wird. Auf diese Weise können nicht nur die Versichertendaten aktualisiert werden, sondern auch die Karte gesperrt (z.?B. bei Kartenverlust oder Nichtzahlung der Beiträge) oder der Zuzahlungsstatus neu gesetzt werden. Die Krankenkassen freuen sich auf diese Funktion, weil mit der derzeitigen Krankenversichertenkarte häufig Betrug stattfinden soll. Allerdings ist die Funktion nicht gesetzlich vorgesehen. Es ist absehbar, dass die Ärzte zu der Online-Anbindung verpflichtet werden, die für die­se Funktion notwendig ist.

Gesundheitskarussell

Creative Commons Namensnennung Gesundheitskarussell
Foto: Arenamontanusi www.flickr.com/photos/arenamontanus/354807033/sizes/o/


Mit Ausnahme der Stammdaten stehen all diese Funktionen in der ersten Auslieferungsstufe der Karte, dem Basis-Rollout, noch nicht zur Verfügung und werden erst mit den Jahren eingeführt, beginnend vermutlich mit der Stammdaten-Aktualisierung, den Notfalldaten und dem Arztbrief. In der inzwischen angelaufenen Auslieferung ist kein Online-Zugang vorgesehen; einzig Kartenlesegeräte und die Karten selbst sind verfügbar. Die Funktionalität der eGK geht damit zunächst nicht über die der derzeitigen Krankenversichertenkarte hinaus. Neu ist allenfalls das Bild auf der Karte.

Es gibt erste Überlegungen, mit der eGK auch die Praxisgebühr abzurechnen. Sonstige Bezahlfunktionen, etwa für Rezeptgebühren und Kostenbeteiligungen, wurden bislang noch nicht öffentlich angedacht.

Freiwilligkeit

Die Anwendungen der eGK teilen sich in Pflichtanwendungen und freiwillige Anwendungen. Freiwillig heißt: Der Patient muss der Nutzung der Anwendung explizit zustimmen. Die grundsätzliche Zustimmung wird beim ersten Mal von einem Arzt eingeholt und – sofern sie nicht verweigert wird – auf der Karte mit Signatur vermerkt. Sie ist jederzeit durch den Patienten widerrufbar, allerdings wiederum nur beim Arzt. Zusätzlich zu dieser grundsätzlichen Freischaltung stimmt der Patient jeder einzelnen Datenspeicherung explizit mit Eingabe seiner PIN zu.
Alle Anwendungen der eGK sind freiwillig außer den folgenden:

  • Stammdaten und deren Online-Aktualisierung bei Benutzung der Karte
  • Elektronische Verordnungen (eRezept)

Einige Datenschützer argumentieren, dass die Gesundheitskarte formal-datenschutzrechtlich unbedenklich sei, schließlich habe der Patient die Wahl, die neuen Funktionen zu nutzen oder nicht7. Es ist in der Praxis zweifelhaft, ob Freiwilligkeit tatsächlich gegeben sein wird. Unter dem Entscheidungsdruck in der Arztpraxis oder durch Unvorsichtigkeit wird die Zustimmung vermutlich häufig unbedacht gewährt werden. Dass das eRezept von dieser Freiwilligkeit ausgenommen wurde, zerstört die datenschutzrechtliche Unbedenklichkeit endgültig.

Gesetzlich ist verboten, dass z. B. die Krankenkasse sich die Zustimmung durch ansonsten höhere Beiträge erkaufen kann.

Da der Patient eine Funktion nicht nur vollständig ablehnen, sondern von Fall zu Fall entscheiden kann, ob Daten auf die eGK geschrieben werden sollen oder nicht, kann keine Vollständigkeit der Daten garantiert werden. Die Patientenakten und die Medikamentendokumentation kann daher grundsätzlich nicht als vollständig angenommen werden. In der Werbung und den Argumentationen für diese Dienste wird das in der Regel nicht erwähnt.

Heilberufsausweis

Nicht nur der einzelne Patient hat eine Karte, sondern auch jeder Arzt, Apotheker, Therapeut etc., den sogenannten Heilberufsausweis (HBA). Dieser HBA wird nur an registrierte Vertreter ausgegeben und lässt sich ebenfalls zentral sperren. Das Schreiben von Gesundheitsdaten ist nur mit einem solchen HBA möglich. Praktisch werden in ein spezielles Lesegerät sowohl der HBA des Arztes als auch die eGK des Patienten gesteckt. In der ersten Version der eGK, dem Basis-Rollout, ist ein HBA noch nicht nötig.

PIN

Die Eingabe einer 5- oder 6-stelligen PIN ist sowohl für die eGK des Patienten als auch für den HBA des Arztes vorgesehen. Sie kann beim ersten Mal frei gewählt werden.

Der Patient muss die PIN für seine eGK bei jedem Lesen und Schreiben seiner Gesundheitsdaten eingeben, außer zum Lesen der Stammdaten und beim Erstellen und Einlösen eines Rezepts. Die PIN ist ein weiteres identifizierendes Merkmal wie der Besitz der Karte und die Ähnlichkeit mit dem Foto auf der Karte. Sie wirkt wie eine explizite Lese- und Schreibzustimmung gegenüber dem Arzt, wie schon das Einstecken der Karte in das Lesegerät selbst.

Der Arzt muss die PIN für seinen HBA eintippen bei jedem Unterschreiben von Gesundheitsdaten des Patienten wie etwa Rezepte, Überweisungen oder Arztbriefe. Die PIN löst somit die elektronische Signatur aus. Dem Arzt ist es deshalb nicht erlaubt, seine PIN Dritten zu geben, beispielsweise der Sprechstundenhilfe.

Für Patienten mit Problemen, sich die PIN zu merken oder sie einzugeben, wurde hingegen schon vorgeschlagen, dass sie ihre PIN beim Arzt hinterlegen und von ihm eingeben lassen können. Die Entscheidung liegt natürlich beim Patienten. Auch Stellvertreterregelungen sind denkbar.

Speicherung

Als Speicherort für Gesundheitsdaten bietet sich sowohl ein Server als auch die Karte selbst an. Auf der Karte ist – nach derzeitigem Stand der bezahlbaren Technik – bei weitem nicht genügend Platz für alle Daten. Eine mögliche Alternative mit herkömmlichen USB-Sticks oder teuren Karten mit mehr Speicherplatz wird von der gematik nicht wirklich ernst genommen.

Das Ausweichen auf einen externen Datenspeicher ist unter diesen Bedingungen also zwingend notwendig, was allerdings umfangreiche Sicherheitsmechanismen erfordert, damit die Daten nicht ausgespäht werden können. Im Wesentlichen bestehen diese Sicherheitsmechanismen aus einer Verschlüsselung der Daten sowohl auf dem Server selbst als auch auf dem Weg dorthin innerhalb der Telematikinfra­struktur.

Wenn davon gesprochen wird, dass die Daten auf einem zentralen Server gespeichert werden, dann ist das fast korrekt: Bedeutsam ist eigentlich nur, dass der Zugriff auf die Daten von außen einheitlich ist, nicht ob sie tatsächlich physikalisch zentral gespeichert werden. Tatsächlich sollen die Daten in der derzeitig geplanten Architektur physikalisch und logisch für jede Anwendung (Stammdaten, Verordnungen, Arztbrief, Patientenakte und jeder Mehrwertdienst für sich) getrennt gespeichert werden.

Aus der Speicherung außerhalb der Karte folgt, dass viele Anwendungen nicht offline nutzbar sein werden. Ohne Netzzugang zugreifbar sind lediglich die Stammdaten, die Notfalldaten und das Protokoll der Zugriffe. Diese sind direkt auf der Karte gespeichert. Bei den Verordnungen, etwa dem eRezept, ist es nicht endgültig geklärt. Technisch vorgesehen ist beides.

Ein weiterer Speicherort sind die einzelnen Praxen der Ärzte eines Patienten. Die Gesundheitsdaten werden zunächst in der EDV des Arztes erfasst und von dort aus mit Hilfe der Karte und des Konnektors in der Telematikinfrastruktur gespeichert, und zwar ohne dass die Daten beim Arzt gelöscht werden. Ein Vorteil dieser Variante: Hat ein Patient seine Karte bei einem Arztbesuch nicht dabei, die PIN vergessen oder die Karte gar verloren, kann der Arzt ihn dennoch auf Basis seiner lokal vorhandenen Daten behandeln.

Die gematik hat sich auf die Speicherung in zentralen Datenbanken festgelegt. Praktisch gar nicht diskutiert wurde z.?B. die Alternative der Punkt-zu-Punkt-Kommunikation. In diesem Fall würden die Daten nirgends gespeichert, außer wie eben erwähnt in den Primärsystemen der Ärzte. Auf der eGK stünden nur Hinweise, dass Daten bei bestimmten Ärzten vorhanden sind. Erst wenn auf diese zugegriffen werden soll, würden sie vom Primärsystem der früheren Ärzte geholt.

door key

Creative Commons Namensnennung door key – Foto: woodleywonderworks
http://www.flickr.com/photos/wwworks/4612188594/sizes/l/

 

Verschlüsselung

Die Gesundheitsdaten eines Patienten liegen außerhalb der Arztpraxis nur individuell verschlüsselt vor, d.h. sie sind nicht lesbar und für jeden Patienten gibt es einen eigenen Schlüssel, um es wieder lesbar zu machen. Nach derzeitigem Stand der Technik kann man davon ausgehen, dass die Verschlüsselung nicht oder nur durch immense Computerleistung überwindbar ist8. Das kann sich mit technischem Fortschritt der Computersysteme bzw. der Wissenschaft aber ändern, weswegen aus Sicherheitsgründen vorgesehen ist, jährlich zu prüfen, ob eine stärkere Verschlüsselung notwendig geworden ist. Mindestens alle sechs Jahre wird eine Aktualisierung sogar erzwungen. Für die alten noch schwach verschlüsselten Daten, die von Dieben ausgespäht und kopiert wurden, hilft das natürlich nicht mehr.

Es wird eine asymmetrische Verschlüsselung9 eingesetzt. Das bedeutet, dass es zwei zusammengehörige Schlüsselteile gibt: einen öffentlichen Schlüssel, mit dem man Daten so verschlüsseln kann, dass man sie nur noch mit dem zweiten privaten und geheimen Schlüssel entschlüsseln kann. Der öffentliche Schlüssel ist kein Geheimnis und frei verfügbar. Die Sicherheit steht und fällt damit, dass niemand anders als der Patient Zugriff auf seinen privaten Schlüssel hat.

Bei der eGK ist dies so gelöst, dass der private Schlüssel lediglich auf der Karte des Patienten hinterlegt ist10. Der private Schlüssel verlässt die Karte niemals, so dass die Karte selbst die Entschlüsselung der Daten vornehmen muss. Die eGK ist also ein kleiner Entschlüsselungscomputer.

Da eine asymmetrische Verschlüsselung eine sehr rechenintensive Operation ist, bedient man sich eines weiteren Kniffs: Auf der Karte werden nicht die Gesundheitsdaten selbst verschlüsselt, sondern lediglich ein weiterer Schlüssel, mit dem die Gesundheitsdaten verschlüsselt werden. Diese Datenverschlüsselung ist symme­trisch11, d.h. es gibt hier nur einen Schlüssel mit dem ver- und entschlüsselt wird. Dieser weitere Schlüssel wird allerdings pro Vorgang neu generiert.

Die Verschlüsselung eines Dokuments mit Hilfe der eGK läuft wie folgt ab:

  1. Die EDV beim Arzt (Computer und Konnektor) erzeugt für das Dokument einen neuen symmetrischen Schlüssel A und verschlüsselt das Dokument damit.
  2. Die EDV holt sich den öffentlichen Schlüssel Bö des Patienten von dessen eGK und verschlüsselt damit den A-Schlüssel.
  3. Der B-verschlüsselte A-Schlüssel und das A-verschlüsselte Dokument werden mit Hilfe der Telematikinfrastruktur außerhalb der Arztpraxis quasi-zentral gespeichert.

Die Entschlüsselung geht wie folgt vonstatten:

  1. Die EDV des Arztes holt sich das gewünschte A-verschlüsselte Dokument samt B-verschlüsseltem A-Schlüssel von der Telematikinfrastruktur.
  2. Der B-verschlüsselte A-Schlüssel wird zur eGK geschickt, welche ihn mit dem dort gespeicherten privaten Schlüssel Bp entschlüsselt und zur EDV zurückschickt.
  3. Die EDV entschlüsselt mit dem erhaltenen entschlüsselten A-Schlüssel das Dokument.12

Zwar werden auf diese Weise die Dokumente zentral in der Telematikinfrastruktur gespeichert, allerdings liegt der notwendige Bp-Schlüssel nur dezentral auf den Karten der Kunden vor. Auf den Servern steht also nichts Verwertbares, sondern lediglich Verschlüsseltes. Selbst wenn eine Entschlüsselung machbar wäre, müsste dies pro Patient gemacht werden, da jeder Patient seine eigene Verschlüsselung hat.

Wie eingangs erwähnt, soll mit Fortschritt der Kryptografie und der Computerleistung die Verschlüsselungsstärke der eGK regelmäßig aktualisiert werden, damit die Sicherheit im Laufe der Jahre nicht sinkt. Dies führt zu einem Problem: Die noch nach alter Methode verschlüsselten Dokumente müssen alle entschlüsselt, nach der neuen Methode verschlüsselt und wieder gespeichert werden. An einer Stelle müssen also sämtliche Dokumente aller Patienten und deren Schlüssel verarbeitet werden und insbesondere von den eGKs entschlüsselt werden. Dieser außergewöhnliche Aufwand ließe sich nur durch einen zentralen Umschlüsselungsservice vereinfachen, wozu dann allerdings die privaten Schlüssel der Patienten dort bekannt sein müssen. Eine Schlüsselkopie läge also doch vor. Es bleibt zu beobachten, wie dieses schwer zu akzeptierende Sicherheitsproblem gelöst wird.

Eine andere Schwachstelle ist der Ersteller der Schlüssel, der ebenfalls keine Kopie halten darf. Das Gesetz regelt diesbezüglich gar nichts. Nach derzeitigem Stand wird diese Aufgabe vom Bundesamt für Sicherheit in der Informationstechnologie (BSI) an Privatfirmen (Trust Center) vergeben. Das BSI selbst gehört zum Geschäftsbereich13 des Bundesministeriums des Innern und ist diesem weisungsgebunden. Wenn man das liest, zuckt man kurz ...

Datenwiederherstellung

Wenn der Patient seine Karte verliert oder zerstört, hat er den privaten Schlüssel und damit die Möglichkeit zur Entschlüsselung seiner Daten verloren. Auf dem Server verbleibt lediglich Datenmüll. Um die Daten wiederzubekommen, gäbe es zwei Möglichkeiten:

  • Der Patient sammelt alle seine Daten – inklusive noch nicht eingelöster Rezepte – bei den einzelnen Ärzte wieder zusammen, da die Daten in deren Primärsystemen weiterhin unabhängig von der Karte vorhanden sind. Ob dies von den Beteiligten akzeptiert werden würde, ist fraglich.
  • Es gibt wie bei der oben erwähnten Umschlüsselung doch noch eine Kopie des privaten Schlüssels. Mit diesem können die Daten entschlüsselt und mit einem neuen Schlüsselpaar erneut verschlüsselt werden. Eine solche Schlüsselkopie ist ein schwerwiegendes Sicherheitsproblem.

Auch dieser Punkt ist noch nicht abschließend geklärt. Laut Gesetz muss eine Datenwiederherstellung aber möglich sein.

Signaturen

Ärzte müssen Überweisungen, Rezepte, Diagnosen, Arztbriefe o.ä. unterschreiben, bevor sie mit Hilfe der eGK verschlüsselt und gespeichert werden, d.h. es muss sichergestellt sein, dass wirklich dieser Arzt das Dokument erstellt hat und nicht etwa eine nicht autorisierte Person. Der HBA unterstützt das durch die elektronische Signatur, die auch gesetzlich gefordert wird.

Der technische Ablauf funktioniert genau andersherum als oben anhand der asymmetrischen Verschlüsselung erläutert: Auch der Arzt hat einen öffentlichen und einen privaten Schlüssel. Ein mit dem privaten Schlüssel verschlüsseltes Dokument lässt sich (umgekehrt) nur mit dem öffentlichen Schlüssel wieder lesbar machen. Damit ist ein mit dem öffentlichen Schlüssel entzifferbares Dokument offensichtlich mit dem privaten, geheimen Schlüssel des Arztes verschlüsselt worden, mithin also tatsächlich von diesem Arzt.

In der Realität wird dann nicht das ganze Dokument verschlüsselt, sondern nur ein sogenannter Hash-Wert (eine Art zusammenfassende Quersumme) des Dokuments, der zu diesem Dokument so passt, dass eine unbemerkte Veränderung des Textes weitgehend ausgeschlossen ist. Sie kennen das vielleicht von signierten E-Mails.

Die Signatur löst der Arzt mit seinem HBA und seiner privaten PIN aus. Weil dies auf Dauer recht umständlich wird, soll es zwei Vereinfachungen geben: Die Stapelsignatur unterschreibt gleichzeitig eine Reihe von Dokumenten durch einmalige PIN-Eingabe, die Komfortsignatur kann nach Eingabe der PIN eine begrenzte Anzahl von nachfolgenden Dokumenten unterschreiben, wenn man bei jedem noch ein weiteres auslösendes Merkmal präsentiert, beispielsweise einen Fingerabdruck oder einen RFID-Chip. Derzeit ist dies noch in der Ideenfindung. Die Tests haben ergeben, dass die Signatur in allen Fällen umständlicher als das bisherige Verfahren blieb.

Zugriffsrechte

Aus den Spezifikationen der gematik ist nicht klar ersichtlich, ob alle HBA-Besitzer sämtliche Patientendaten lesen können, sobald der Patient seine Karte mit der PIN freigeschaltet hat. Die Stamm- und Notfalldaten sind grundsätzlich lesbar, die ausgestellten und noch nicht eingelösten eRezepte werden laut Spezifikation ebenfalls von allen Ärzten lesbar sein. Dies ist schwer akzeptabel und widerspricht auch der Absicht der gematik. Im ursprünglichen Fraunhofer-Konzept war vorgesehen, Zugriffsrechte im Detail erteilen oder verweigern zu können.

Aktueller Stand ist, dass dieser Teil noch nicht endgültig spezifiziert ist und dieser wichtige Punkt offen bleibt. Es ist ohne Zweifel kaum hinnehmbar, wenn alle HBA-Besitzer alles lesen können, es werden schließlich über eine viertel Million sein. Es wäre eine enorme Änderung gegenüber der derzeitigen Praxis: Patienten können Ärzten etwas verschweigen oder Rezepte für sich behalten. Eine Klärung hier ist im Patienteninteresse dringend nötig.

Die Krankenkassen haben keinen Zugriff auf die Gesundheitsdaten, allein schon weil die Patienten diesen ja freischalten müssten. Viele Daten erreichen allerdings die Kassen mit den Diagnosen und Therapien im Rahmen der Abrechnungen der Ärzte – dies ändert sich mit der eGK nicht, sondern ist bereits jetzt der Fall.

Übersicht der Dienste und ihrer Merkmale

Dienste Schreiben Lesen Pflicht Speicher Verschlüsselt
Online
Stammdaten Krankenkasse Patient, Arzt Ja eGK Nein Nein Krankenkasse
Patient,Arzt Ja
eGK
Nein
Nein
Zugriffsprotokoll (Karte intern)
 Patient Ja
eGK
Ja
Nein
eArztbrief
Arzt
Arzt
Nein
Server
Ja
Ja
 Notfalldaten Arzt
Patient, Arzt
Nein
eGK
Nein
Nein
Medikamente Arzt Patient, Arzt
Nein
Server
Ja
Ja
 eRezept u.a. Verordnungen
 Arzt Patient, Arzt,
Apotheker
 Ja eGK oder
Server
 Ja  Nein oder
Ja
 ePatientenakte  Patient, Arzt
Patient, Arzt
 Nein Server
 Ja  Ja

Anmerkungen:
  • Wie der Patient außerhalb der Arztpraxis etwas lesen kann, ist unklar: Angedacht waren kaum zu sichernde öffentliche Terminals oder ein ebenfalls unsicherer Zugang von Zuhause über das Internet ohne Konnektor.
  • Kein einziger Schreibzugriff ist ohne die eGK und PIN des Patienten möglich.
  • Sobald ein Arzt auf die Daten eines Patienten zugreifen will, muss er seinen HBA gleichzeitig mit der eGK des Patienten einsetzen. Sobald er schreiben will, muss er zudem eine PIN eintippen, um das Geschriebene zu signieren.
  • Sobald der Patient zu etwas zustimmen muss, muss er seine PIN eingeben.
  • Elektronische Verordnungen können sowohl über eGK (offline) als auch Server (online) gespeichert werden. Es wird zudem die herkömmliche Papiervariante (offline) möglich bleiben.
  • Die Notfalldaten und die Stammdaten stehen unverschlüsselt auf der Karte. Beide sind offline nutzbar, die Stammdaten-Aktualisierung funktioniert aber natürlich nur online.
  • Die Rechte zum Löschen und Ändern von Daten weichen von denen des Schreibens ab. Der Patient kann Verordnungen zum Beispiel löschen, ähnlich wie er Papierrezepte wegwerfen kann. Wie und wo ist allerdings noch nicht geklärt. Nicht löschbar sind nur die Stammdaten.

 

Probleme in der Umsetzung und den Tests

Die Funktionalität wird in Releases eingeteilt, deren Aufteilung vermutlich wie folgt sein wird:

  • Release 0 ist lediglich ein Austausch der Krankenversicherungskarte durch eine neue chipbasierte Karte mit einigen Stammdaten und Bild.
  • Release 1 enthält die Funktionen, die Offline möglich sind, also alle Stammdaten und den Notfallausweis.
  • Release 2 enthält die erste Online-Anwendung: Prüfen der Gültigkeit der Karte über die Infrastruktur.
  • Release 3 enthalten die vollen Stammdaten-Aktualisierung und den elektronischen Arztbrief.

Nach Stand der Überlegungen werden zunächst weder die ePatientenakte noch das eRezept umgesetzt, wenn überhaupt würden sie erst in späteren Releases kommen. Das eRezept wurde aber für erste Tests schon in Release 1 (offline, d.h. Rezept auf der Karte) und Release 2 (online) realisiert.

Die Releases werden natürlich getestet, bevor sie eingesetzt werden. Oft wird in der Kritik an der eGK vergessen, dass alles, was wir bislang gesehen haben, nur Tests waren, die bekanntlich dazu da sind, Fehler und Mängel aufzudecken.

Jedes Release wird in drei Stufen getestet14, zunächst im Labor durch die Techniker, dann erste Anwendertests weiterhin in einer Laborumgebung, schließlich in einem Feldtest mit mindestens 10.000 realen Anwendern. Ursprünglich war noch ein 100.000er Feldtest geplant, aber als schlicht nicht nötig abgesagt. Die Feldtests finden in inzwischen nur noch sechs von ursprünglich acht Testregionen statt, von Nord nach Süd: Flensburg, Wolfsburg, Bochum/Essen, Löbau-Zittau, Trier und Ingolstadt. Bremen und Heilbronn sind abgesprungen.

Bei den Tests sind schon viele Probleme aufgetaucht. Die prominentesten sind:

  • Viele Patienten konnten sich ihre PIN nicht merken.
  • Die Eingabe der PIN ist nicht barrierefrei.
  • Die Geschwindigkeit bei allen Online-Anwendungen war bislang zu gering, die Wartezeit aufgrund der Verarbeitung zu lang.
  • Der Ablauf und die Handhabung mit HBA und PIN sind praxisfern.
  • Das elektronische Rezept ist praktisch unbrauchbar, weil es in der Anwendung zu viel Zeit kostet, deswegen wurde es auch erstmal auf Halde gelegt. Auf welche Eingebung man hier wartet, ist allerdings unklar.

Es gab ohne Zweifel einige Fehler im Gesundheitskartenprojekt, der größte war wohl, dass die Anwender, insbesondere die Ärzte, nicht ordentlich in den Entwicklungsprozess eingebunden wurden, weder bei der Gesetzgebung noch bei deren Umsetzung. Es ist interessant und zugleich bedenklich zu sehen, dass die alte Forderung der kritischen Informatik um mehr Partizipation, die längst zum Software-technischen Standard zu zählen ist, auch in diesem öffentlichem Großprojekt nicht von Anfang an umgesetzt wurde und prompt als eine der Ursachen für seine Krise erkannt wurde.

Man hat aus diesen Fehlern inzwischen gelernt und die Betroffenen eingebunden zur Erstellung besserer Spezifikationen: Die Krankenkassen kümmern sich federführend um die Stammdatendienste, die Ärzte um die Notfalldaten und die Kassenärzte um den Arztbrief.

Zeitplan und Rollout

Der Rollout, d.h. die Inbetriebnahme des Systems inklusive Austeilung der Karten und Installation der Lesegeräte und Konnektoren, wird sich wohl grob (aber nicht genau) an den oben genannten Release-Stufen orientieren. Der Test von Release 3 hat noch nicht einmal begonnen, während Release 0 schon in Betrieb genommen wird. Aussagen zum Zeitplan der Einführung der Gesundheitskarte und dem Aufbau der Telematikinfrastruktur halten selten länger als drei Monate und sind derzeit ungewisser denn je. Termine können daher nicht genannt werden.

Das Gesetz gilt nur für gesetzlich Versicherte, enthält aber explizit eine Regelung, die eine Beteiligung privater Krankenkassen ermöglicht. Diese haben aber abgelehnt.

Zur Drucklegung dieser Broschüre wurden in der Region Nordrhein (südwestliches Nordrhein-Westfalen) im Rahmen des Basis-Rollouts (Release 0) die ersten Kartenlesegeräte in den Arztpraxen angeschafft und die ersten eGKs den Patienten von den Krankenkassen zugeschickt. Es sollen dann jeweils mit ein paar Monaten Abstand folgen (grob von West nach Ost):

  • in der 2. Staffel Bremen, Niedersachsen, Rheinland-Pfalz und der Rest von Nordrhein-Westfalen,
  • in der 3. Staffel Baden-Württemberg, Hamburg, Hessen, Mecklenburg-Vorpommern, Saarland, Sachsen-Anhalt, Schleswig-Holstein und Thüringen,
  • in der 4. Staffel Bayern, Berlin, Brandenburg und Sachsen,

und zwar einzeln für jedes Release 0 bis 3. Diese langsame Einführung der Gesundheitskarte hat zwei Gründe: Man ist vorsichtig, sowohl was die Technik der Karte, der Infrastruktur und der Arztpraxen als auch die Akzeptanz in der Ärzteschaft und der Bevölkerung betrifft.

Mit dieser Langsamkeit entsteht allerdings ein erhebliches anderes Problem. Derweil entstehen nämlich schon Ersatzsysteme der einzelnen Krankenkassen, die nicht so lange auf die Patientenakte warten wollen. Sie binden Patienten und Ärzte in zweifelhafte Versorgungsverträge ein. Keine Frage, dass diese Systeme technisch und gesetzlich deutlich unsicherer sind als die Gesundheitskarteninfrastruktur. Noch schlimmer sind da nur noch die reinen Patientensysteme, die von Google oder Microsoft angeboten werden, deren Datenschutzniveau haarsträubend ist.

Gesamtsituation unzufrieden

Creative Commons Namensnennung-Weitergabe unter gleichen Bedingungen Gesamtsituation unzufrieden – Foto: jpbader
http://www.flickr.com/photos/jpbader/1424655639/sizes/o/

 

Forderungen

Gesundheitsminister Rösler hat entschieden, die Entwicklung des eRezepts (zu umständliche Handhabung) und der ePatientenakte (technische Probleme und Nicht-Akzeptanz wegen Datenschutzproblematik) ruhen zu lassen. Die bestehenden gesetzlichen Regelungen in §291a SGB-V sind daher veraltet. Dort stehen noch der Einführungstermin 2006 und die Pflicht auch eRezept und ePatientenakte einzuführen. Inzwischen hat sich die Rolle der gematik (§291b) hin zu einem eher technischen Dienstleister geändert, kurz: Es muss eine Gesetzesnovelle her und daraufhin vermutlich die Spezifikationen angepasst werden.

Schon aus Software- und Sicherheits-technischer Sicht sind mindestens die folgenden Forderungen zu stellen:

  • Es darf keine Kopie des privaten Schlüssels geben. Sich daraus ergebene Komplikationen bei Kartenverlust und der Verschlüsselungsverstärkung sind in Kauf zu nehmen.
  • Eine alternative dezentrale Datenspeicherung ist ernsthaft zu prüfen und ohne Nachteile anzubieten. Auch wenn das vorliegende Konzept als technisch sichere Lösung erscheint: Wenn dies Patienten und Ärzten nicht vermittelbar ist, dann müssen Konsequenzen gezogen werden.
  • Dass es ausführliche  Tests gibt, ist zu begrüßen. Dass sie Probleme aufdecken, beweist ihren Wert. Die Tests müssen aber mehr an den Praxisabläufen orientiert werden. Ein ernsthafter Sicherheitstest muss ergänzt werden.
  • Es ist sicherzustellen, dass der konventionelle, nicht-elektronische, insbesondere nicht telematische Behandlungsweg weiterhin funktioniert, damit wir nicht abhängig werden von der Technik, die bei Weitem nicht so ausfallsicher ist, wie es für die Gesundheitsversorgung notwendig ist.
  • Das eRezept muss wie die anderen Anwendungen freiwillig sein.
  • Die standardmäßige Freischaltung von Rezepten und Patientenakte für alle Ärzte muss geändert werden in ein Opt-in-Verfahren: Der Patient gibt nach Anforderung seine Zustimmung oder nicht. Dies in der Praxis so zu gestalten, dass es einfach und verständlich ist und die Praxisabläufe nicht behindert, ist software-technisch eine große Herausforderung. Sie könnte das Projekt scheitern lassen.

Anmerkungen

1 Unter http://www.gematik.de findet man links in der Navigation Unterpunkte zu den Releases, die man weiter verfolgen kann bis man auf eine Seite mit den relevanten Dokumenten der Fachanwendungen kommt. Grundlage dieses Textes ist das Release 2.2.3. Zu den Releases siehe am Ende des Textes.
2 Sie war, ist jetzt aber nicht mehr online verfügbar.
3 Pressemitteilung der gematik vom 20.4.2010: "gematik-Gesellschafterversammlung trifft entscheidende Festlegungen zur Zukunft des eGK-Projektes"
4 In diesem Beitrag dient das Maskulinum der einfacheren Lesbarkeit, weibliche wie männliche Personen sind gleichermaßen gemeint. Der Arzt steht für alle hier angesprochenen Heilberufe, zu denen auch Zahnärzte, Apotheker, Therapeuten und Pfleger gehören.
5 Siehe etwa die Seiten des Bundesgesundheitsministeriums: http://www.bmg.bund.de/DE/Gesundheit/Gesundheitskarte-Focuspage/gesundheitskarte__node.html
6 Sogenannte §291a-Dienste, gemäß dem für die eGK maßgeblichen Paragrafen des Sozialgesetzbuchs, Fünftes Buch, SGB-V, zu finden z.?B. unter http://bundesrecht.juris.de/sgb_5/BJNR024820988.html.
7 Das Kapitel über Datenschutz in dieser Broschüre geht auf diese Argumentation detailliert ein.
8 Wer weiß allerdings schon, was das Militär schon für Computer besitzt, von denen wir noch gar nichts ahnen?
9 http://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem
10 Siehe dazu aber die weitere Diskussion in diesem und dem Datenschutzkapitel der Broschüre.
11 http://de.wikipedia.org/wiki/Symmetrisches_Kryptosystem
12 Eine schöne Bebilderung dieser Vorgänge findet man unter http://www.gematik.de/upload/gematik_whitepaper_sicherheit_3571.pdf
13 Website des BSI https://www.bsi.bund.de/cln_165/DE/DasBSI/Aufgaben/aufgaben_node.html
14 http://www.telematik-modellregionen.de/content/index_ger.html

 Sebastian Jekutsch ist Mitglied des FIfF und arbeitet als Softwaretester in Hamburg.

 

Das FIfF unterstützt die weitere Verbreitung der in dieser Broschüre veröffentlichten Artikel. Aus diesem Grund nutzen die Autor_innen eine Creative Commons Attribution-ShareAlike 3.0 Lizenz (CC BY-SA) für ihre Inhalte.

Wenn nicht anders angegeben dürfen Sie:
  • Artikel vervielfältigen, verbreiten und öffentlich zugänglich machen
  • Abwandlungen und Bearbeitungen der Artikel anfertigen
Zu den folgenden Bedingungen:
  • Die Urheberrechtsinformationen müssen erhalten bleiben.
  • Namensnennung – Sie müssen den Namen der Autor_innen und das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.V. (FIfF) als Herausgeber nennen (aber nicht so, dass es so aussieht, als würde sie/es/er Sie oder Ihre Verwendung des Werks unterstützen).
  • Weitergabe unter gleichen Bedingungen – Wenn Sie das lizenzierte Werk bzw. den lizenzierten Inhalt bearbeiten oder in anderer Weise erkennbar als Grundlage für eigenes Schaffen verwenden, dürfen Sie die daraufhin neu entstandenen Werke bzw. Inhalte nur unter Verwendung von Lizenzbedingungen weitergeben, die mit denen dieses Lizenzvertrages identisch oder vergleichbar sind. Im Falle einer Abwandlung ist es notwendig, dass Sie einen Hinweis darauf geben, dass es sich um eine Abwandlung handelt.
  • Der Artikeltitel und die URL müssen angegeben werden (e.g. http://fiff.de/egk).
Eine vereinfachte Zusammenfassung der Lizenz finden Sie auf der Webseite von Creative Commons:
http://creativecommons.org/licenses/by-sa/3.0/de/
Im Zweifel orientieren Sie sich bitte an dem rechtsverbindlichen Lizenzvertrag:
http://creativecommons.org/licenses/by-sa/3.0/de/legalcode

Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.V.
Spendenkonto-Nr: 800 927 929 Sparda Bank Hannover eG (BLZ: 250 905 00)
Mit Ihrer Unterstützung tragen Sie dazu bei, dass auch in Zukunft Artikel unter einer freien Lizenz veröffentlicht werden. Flattr this