|
Lexikon auf Ihrer Homepage |
|
Lexikon als Lesezeichen hinzufügen |
Die elektronische Gesundheitskarte (eGK) sollte die zum 1. Januar 1995 eingefĂŒhrte Krankenversicherungskarte[1] in Deutschland ersetzen.[2] Die ursprĂŒnglich zum 1. Januar 2006 vorgesehene EinfĂŒhrung hat sich ohne politische Entscheidung verzögert. Die Testphase wurde mehrfach verlĂ€ngert, die Zielsetzung ist jedoch unverĂ€ndert geblieben.
Inhaltsverzeichnis |
Die gesetzliche Konzeption greift dem Bedarf der Versicherungen und der Versicherten sowie der Dienstleister im Gesundheitswesen weit vor. Die bisher verwendete Krankenversichertenkarte erfĂŒllt die grundlegenden BedĂŒrfnisse im Verwaltungshandeln seit ihrer EinfĂŒhrung vollstĂ€ndig.
Die ĂŒber die Funktion der Krankenversichertenkarte hinaus vorgesehenen Funktionen erfĂŒllen keinen Bedarf fĂŒr den Patienten in der stationĂ€ren Pflege, da sie weder eine Funktion der Patientenrufanlage nach VDE 0834 noch eine andere Funktion der IdentitĂ€tsfeststellung unter besonderen Anforderungen an die Hygiene besser erfĂŒllen. Die ĂŒber die Funktion der Krankenversichertenkarte hinaus vorgesehenen Funktionen zur UnterstĂŒtzung der Ă€rztlichen TĂ€tigkeit sind bisher nicht im Konsens mit der Ărzteschaft verabschiedet. Ein solcher Zustand wĂ€re in einem privaten Unternehmen nach den GrundsĂ€tzen des Betriebsverfassungsgesetzes (BetrVerfG) aufgrund der bestehenden gesetzlichen Regelung möglich, bildet aber keine Motivation.
Die Datenspeicherung auf der eGK wird gegenĂŒber der Krankenversichertenkarte so erweitert, dass nun vertrauliche personenbezogene Daten auf der Karte gespeichert werden können und auch werden sollen.
In der Bundestagsdrucksache zum Gesundheitsmodernisierungsgesetz (GMG) von 2003 wird ausgefĂŒhrt:[3]
âDie ErgĂ€nzungen der Krankenversichertenkarte durch das Aufbringen eines Lichtbildes des Karteninhabers und die Erweiterung der administrativen Daten der Krankenversichertenkarte um die Angabe des Geschlechtes ist erforderlich, um die eindeutige Zuordnung der Krankenversichertenkarte zum jeweiligen Karteninhaber zu verbessern und damit den Missbrauch zu verhindern.â
GemÀà dem verbindlichen Sicherheitskonzept der gematik (V2.4.0, Anhang E, S. 15 vom 5. September 2008) sind die Krankenkassen als Herausgeber der eGK fĂŒr die Einhaltung der gesetzlichen Anforderungen und gemÀà den Spezifikationen der gematik GmbH verantwortlich. âDie Erreichung der Schutzziele und die Wirksamkeit und Konsistenz der gewĂ€hlten Prozesse sowie der einzelnen Prozessschritte ist vom Kartenherausgeber zu gewĂ€hrleisten.â Jede Krankenkasse ist ausschlieĂlich selbst fĂŒr die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich und muss neben dem Sicherheitskonzept der gematik GmbH die Anforderungen des Bundesbeauftragten fĂŒr den Datenschutz und die Informationsfreiheit (BfD) und die europĂ€ischen Vorgaben berĂŒcksichtigen.
GemÀà § 291 Abs. 2 SGB V ist eine Krankenversichertenkarte mit geĂ€nderten Sicherheitsmerkmalen einzufĂŒhren, die zeitgleich gem. § 291a SGB V zur elektronischen Gesundheitskarte (eGK)[4] ausgebaut werden soll. § 291 Abs. 2 SGB V wurde durch das GKV-Modernisierungsgesetz vom 14. November 2003[5] mit Wirkung zum 1. Januar 2004 dergestalt geĂ€ndert, dass die Aufbringung eines Lichtbildes und der Unterschrift des Versicherten auf der Krankenversichertenkarte zu erfolgen hat.
Der Bundesbeauftragte fĂŒr den Datenschutz und die Informationsfreiheit Peter Schaar hat am 3. Juni 2009 in der Tagesschau gefordert, dass âdie Krankenkassen dafĂŒr Sorge tragen mĂŒssen, dass die Fotos den Betroffenen zuzuordnen sindâ. Das eigene Bild ist ein Datum, das auf eine bestimmte Person bezogen ist. Es ist das intensivste Mittel, um eine Person erkennbar und identifizierbar zu machen. Anderes gilt fĂŒr den Namen. Er ist kein der Person unmittelbar und unlöslich anhaftendes Wesensmerkmal. Vielmehr wird er, nachdem der Zustand der Namensfreiheit aus polizei- und strafrechtlichen Gesichtspunkten aufgehoben wurde, vom Staat durch Gesetz oder Verwaltungsakt verliehen. Der Name ist daher kein geborenes, sondern ein gekorenes Persönlichkeitsgut. Seine Zuordnungsfunktion ist auch von geringerer ZuverlĂ€ssigkeit, da es das Recht hinnimmt, dass mehrere Personen den gleichen Namen tragen. Ein gelĂ€ufiger Name ist daher nur bei Hinzutreten weiterer UmstĂ€nde ein personenbezogenes Datum.[6]
Das abgenommene und gĂŒltige Sicherheitskonzept der gematik (V2.4.0, S. 145 vom 5. September 2008) schreibt vor: âAllgemein MUSS die Zuordnung der Daten eines Versicherten in der Telematikinfrastruktur zu der IdentitĂ€t des Versicherten sichergestellt werden. [Hierzu ist die] BestĂ€tigung der IdentitĂ€t durch eine vom Benutzer unabhĂ€ngige Instanz notwendig. [Gleichfalls ist eine] BestĂ€tigung der Adresse durch eine vom Benutzer unabhĂ€ngige Instanz notwendigâ.[7] Die Einhaltung des gematik-Sicherheitskonzepts ist Voraussetzung fĂŒr die Zulassung einer Krankenkasse als Herausgeber von eGK.[8] Die o.g. âMUSS-Anforderungenâ werden durch Lichtbilder, die mittels Papierverfahren und Internetupload ohne IdentitĂ€tsprĂŒfung eingesammelt werden, nicht erfĂŒllt. Die gematik GmbH hat jedoch bisher keinerlei Nachweis vorgelegt, dass die geplante Grundlage und die AusfĂŒhrung gemÀà Spezifikation sowie gemÀà Abnahme aus dem Jahre 2008 dem neuesten Stand der Technik nach ISO/IEC 15408 aus dem Jahre 2009 genĂŒgt.
Auf EU-Ebene wird von der Artikel-29-Datenschutzgruppe (das unabhĂ€ngige Beratungsgremium der EuropĂ€ischen Gemeinschaft in Fragen des Datenschutzes) gemÀà der Richtlinie 95/46/EG in 00323/07/DEWP 131 gefordert, dass âPatienten absolut zweifelsfrei identifizierbar sein mĂŒssen. WĂŒrden aufgrund von Fehlern bei der Patientenidentifikation irrtĂŒmlicherweise Daten einer anderen Person verwendet, hĂ€tte dies in vielen FĂ€llen fatale Folgen.â. Diese Forderung ist Bestandteil des abgenommenen Sicherheitskonzepts der gematik (V2.4.0, S. 144/145). Ferner wird gefordert: âDer Zugriff durch Unbefugte muss faktisch unmöglich sein und von vornherein unterbunden werden, wenn das System aus Sicht des Datenschutzes annehmbar sein soll.â und âDie Datenschutzgruppe weist nachdrĂŒcklich darauf hin, dass die Einrichtung (âŠ) in völliger Ăbereinstimmung mit den GrundsĂ€tzen des Datenschutzes, wie sie in der Richtlinie 95/46/EG verankert sind, erfolgen muss.â Weiterhin setzt die Datenschutzgruppe 29 eine elektronische Gesundheitskarte mit einem amtlichen Ausweisdokument gleich. Es heiĂt in 00323/07/DEWP 131: âAuthentisierung: ⊠dass eine Person den Nachweis erbringt, dass sie tatsĂ€chlich die ist, fĂŒr die sie sich ausgibt. Dies geschieht in der Regel durch Vorlage eines amtlichen Ausweispapiers mit Fotoâ und weiter âEine elektronische Gesundheitskarte in Form einer Chipkarte könnte die elektronische Identifizierung von Patienten und auch ihre Authentisierung (âŠ) erheblich erleichternâ.
Die Anlage 4a des Bundesmantelvertrags (BMV-Ă und EKV Anlage 4a) setzt die Umsetzung der MUSS-Anforderungen des Sicherheitskonzeptes der gematik voraus. Die Ărzteschaft ist zur IdentitĂ€tsprĂŒfung verpflichtet, kann diese aber ohne vorausgegangene zweifelsfreie Zuordnung der eGK zur Person durch BestĂ€tigung durch eine vom Benutzer unabhĂ€ngige Instanz nicht erfĂŒllen. Der 112. Deutsche Ărztetag vom 19 - 22. Mai 2009 hat deshalb folgende EntschlieĂung gefasst: âDie Krankenkassen werden aufgefordert sicherzustellen, dass die Fotos, die die Versichertenkarten schmĂŒcken sollen, tatsĂ€chlich den Versicherten darstellen.â[9]
Die Diskrepanz zwischen den MUSS-Anforderungen des gematik-Sicherheitskonzeptes und der geplanten Umsetzung durch die Krankenkassen hat zu Klagen und WidersprĂŒchen von Versicherten gefĂŒhrt. Die Artikelâ29-Datenschutzgruppe fĂŒhrt dazu aus, dass âein Mangel an geeigneten Authentifizierungsverfahren zur Entstehung von Betrugsmustern fĂŒhren und das Vertrauen der Nutzer in die elektronische Kommunikation beeintrĂ€chtigen könnteâ.[10]
Die fĂŒr die Ausgabe der eGK verantwortlichen Krankenkassen haben entgegen dem gĂŒltigen Sicherheitskonzept der gematik, den Forderungen der Datenschutzgruppe der EU, den Anforderungen des BundesdatenschĂŒtzers und damit auch entgegen den relevanten Gesetzen keine BestĂ€tigung der IdentitĂ€t durch eine vom Benutzer unabhĂ€ngige Instanz etabliert und fĂŒr die Lichtbilder keine IdentitĂ€tsprĂŒfung vorgesehen. Sie verlassen sich ausschlieĂlich auf ungeprĂŒfte Selbstangaben der Versicherten. Die im gematik-Sicherheitskonzept geforderte AdressprĂŒfung durch eine vom Benutzer unabhĂ€ngige Instanz ist in den derzeitigen Verfahren gleichfalls nicht vorgesehen. GemÀà dem verbindlichen Sicherheitskonzept der gematik sind die Krankenkassen als Herausgeber der eGK fĂŒr die Einhaltung der Anforderungen verantwortlich. âDie Erreichung der Schutzziele und die Wirksamkeit und Konsistenz der gewĂ€hlten Prozesse sowie der einzelnen Prozessschritte ist vom Kartenherausgeber zu gewĂ€hrleisten.â[11]
Die Ablösung der bisherigen Krankenversichertenkarte (KVK) durch die neue elektronischen Gesundheitskarte (eGK) bedeutet auch, dass im Vorfeld der bundesweiten EinfĂŒhrung erst einmal ein flĂ€chendeckendes Rollout von KartenlesegerĂ€ten, welche die neue Karte verarbeiten können, stattfinden muss. Diese GerĂ€te werden eHealth-BCS-Terminals genannt. Die gesetzlichen Krankenkassen finanzieren diesen Vorgang gröĂtenteils. Ărzte erhalten ĂŒber die KassenĂ€rztlichen Vereinigungen (KVn), ZahnĂ€rzte ĂŒber die KassenzahnĂ€rztlichen Vereinigungen (KZVn) eine so genannte Erstattungspauschale fĂŒr das KartenlesegerĂ€t-Rollout. ErstattungsfĂ€hig sind jedoch nur GerĂ€te, die bestimmte Voraussetzungen erfĂŒllen. Zu den Voraussetzungen gehören u. a. Zertifizierungen durch die gematik, das Bundesamt fĂŒr Sicherheit (BSI) und den TĂVIT. Ob die GerĂ€te mit der eingesetzten Praxissoftware funktionieren, muss beim Hersteller der Praxissoftware abgeklĂ€rt werden. Dieser muss die GerĂ€te korrekt in seiner Software integriert haben, damit ein reibungsloser Praxisablauf möglich ist.
KartenlesegerÀt: CardStar medic 2, celectronic
KartenlesegerÀt: Hypercom medHybrid
KartenlesegerÀt: Orga 930 M
Die eGK muss alle Daten enthalten, die bereits auf der KVK gespeichert waren (§ 291a Abs. 2 Halbsatz 1 SGB V). Nach § 291 Abs. 2 SGB V sind also zu speichern:
Die Angaben zum Geschlecht und zum Zuzahlungsstatus, wie auch die Aufnahme eines Lichtbildes des Versicherten, sind erst durch das Gesetz zur Modernisierung der gesetzlichen Krankenversicherung (GMG) vom 14. November 2003 als verpflichtend eingefĂŒhrt worden. Die Angaben waren auch in der KVK spĂ€testens zum 1. Januar 2006 aufzunehmen (§ 291 Abs. 2 Satz 2 SGB V). Versicherte bis zur Vollendung des 15. Lebensjahres sowie Versicherte, deren Mitwirkung bei der Erstellung des Lichtbildes nicht möglich ist, erhalten eine Krankenversichertenkarte ohne Lichtbild.
WĂ€hrend auf der KVK nur die oben genannten Daten gespeichert werden durften, muss die eGK geeignet sein, Daten nach § 291 Abs. 2 Satz 1 Halbsatz 2 SGB V, also Ă€rztliche Verordnungen (sog. eRezept) und den Berechtigungsnachweis fĂŒr EU-AuslĂ€nder (sog. EuropĂ€ische Krankenversicherungskarte) zu speichern,
DarĂŒber hinaus muss die Gesundheitskarte geeignet sein, folgende freiwillige Anwendungen zu unterstĂŒtzen, insbesondere das Erheben, Verarbeiten und Nutzen von
Dabei können, weil der Speicherplatz â nicht nach den gesetzlichen Vorgaben, aber nach der geplanten technischen Umsetzung â auf der eGK begrenzt ist (32 kB), nur bis zu 8 eRezepte und die Notfalldaten[12] auf der eGK selbst speicherbar sein. Die ĂŒbrigen freiwilligen Anwendungen wie z. B. eine Patientenakte werden auf Servern der sog. Telematik-Infrastruktur abgelegt.
Die komplizierte Gliederung des Gesetzes ist teilweise durch differenzierende Regelungen zur Speicherung der Daten und zum Zugriff auf diese Daten zu erklĂ€ren. WĂ€hrend die Speicherung von Daten nach Abs. 3 nur nach vorheriger Einwilligung gegenĂŒber den Zugriffsberechtigten zulĂ€ssig ist (§ 291a Abs. 3 Satz 3 und 4; Abs. 5 SGB V), dĂŒrfen die Daten nach Abs. 2 auch ohne vorherige Einwilligung des Versicherten gespeichert werden. Auch nach Abs. 2 gespeicherte Ă€rztliche Verordnungen mĂŒssen jedoch nach § 291a Abs. 6 SGB V gelöscht werden.
Bei vielen IdentitĂ€tsausweisen fĂŒr Patienten wird auf eine zentrale Verwaltung der Daten gesetzt. Das ist fĂŒr die IdentitĂ€tsfeststellung (Name, Geburtsdatum, Geburtsort, Wohnsitz usw.) notwendig, um Verwechslungen von datengleichen Personen zu verhindern und bedeutet noch nicht, dass all diese Daten auch physisch in einem einzigen Rechenzentrum gefĂŒhrt wĂŒrden. Eine zentrale Gesundheitsdatenspeicherung ist damit ebenfalls nicht zwingend verbunden und ist auch aus Verantwortungs- und SicherheitsgrĂŒnden umstritten (Verantwortung einer Stelle fĂŒr alle Daten aller Betroffenen).
Dennoch mĂŒssen Patientendaten bei einer Ăberweisung in ein anderes Krankenhaus zuverlĂ€ssig und sicher transferiert werden können. Ein Sicherheitsmodell, das dies realisieren kann, ist das BMA-Modell (British Medical Association), welches Regeln im Umgang mit Patientendaten definiert. Bei dem BMA-Modell handelt es sich um ein Sicherheitsmodell (eng. Policy) fĂŒr klinische Informationssysteme. Das Modell wurde 1996 von Ross Anderson [13] im Auftrag der British Medical Association ausgearbeitet.
Das Modell beschreibt sicherheitskritische Regeln, wie ein klinisches Informationssystem umgesetzt werden kann. Prinzipiell basiert es auf einer dezentralen Verwaltung der Zugriffsberechtigung (Authentisierung und Autorisierung) und fĂŒhrt MaĂnahmen gegen IdentitĂ€tsdiebstahl, Missbrauch durch interne Mitarbeiter ein. Weiterhin werden auch Regeln in Bezug auf die VerschlĂŒsselung sowie Regeln fĂŒr die Zugriffsberechtigung bei Transfer von Patientendaten (Ăberweisung) vorgegeben.
Der Zugriff auf Patientendaten wird durch den Patienten selbst und durch das medizinische Fachpersonal freigegeben, dies bedeutet, dass kein Zugriff fĂŒr technische Administratoren (IT-Mitarbeiter) vorgesehen ist. FĂŒr NotfĂ€lle (Bewusstlosigkeit) und SonderfĂ€lle (defekte Karte) gibt es spezielle Kategorien von Daten (life@risk), welche fĂŒr das medizinische Personal immer einsehbar sind. Um IdentitĂ€tsdiebstahl zu verhindern, ist eine Benachrichtigung des Patienten vorgesehen falls medizinisches Personal die Patientendaten ĂŒber ihren Kompetenzbereich freigeben (Abteilung, Praxis, Spital). Somit kann der Patient im Falle eines Diebstahls reagieren.
Das Modell vereint Eigenschaften des Clark-Wilson-Modells, welches primĂ€r im Finanzsektor eingesetzt wird, mit dem Bell-LaPadula Sicherheitsmodell, welches primĂ€r im militĂ€rischen Bereich eingesetzt wird. Das BMA-Modell ist generell anwendbar auf Daten, die dem Datenschutz unterstehen. Das Modell wurde von der UEMO European Medical Organisation ĂŒbernommen.
In Ăsterreich war nach 2007 eine dezentrale Lösung in Diskussion: âFaktum ist, dass ELGA keine zentrale Speicherung personenbezogener Gesundheitsdaten vorsieht, sondern die Dokumenten Registry lediglich Verweise auf die lokal bei den GDAs [Gesundheitsdiensteanbietern] gespeicherten Daten enthĂ€lt. ELGA nimmt daher auch keine organisatorischen Eingriffe in die Dokumentation vor.â[14]
Es liegt bisher keine veröffentlichte NachweisfĂŒhrung vor, dass die eGK die Anforderungen zum Stand der Technik nach den international gĂŒltigen (und vom BSI mit verfassten) Normen (ISO/IEC 15408) erfĂŒllt. Am 25. November 2011 erfolgte eine PrĂ€sentation des erfolgreichen österreichischen Konzepts in der Ăsterreichischen Botschaft in Kooperation mit dem Bundesamt fĂŒr Sicherheit in der Informationstechnik in Berlin. Eine europĂ€ische Normung einer tauglichen Lösung oder eine Ăbernahme einer tauglichen Lösung in Deutschland steht aus. Deutschland ist als eines der letzten LĂ€nder fĂŒr eine durchgehende Lösung als Vorreiter fĂŒr eine Normung nicht vorbereitet.
Zum Datenschutz im Zusammenhang mit der eGK gelten vielfĂ€ltige und komplizierte Regelungen. Es sind jedoch keinerlei Sanktionen bestimmt, die im Falle des VerstoĂes gegen die Anforderungen greifen sollen. ZunĂ€chst wird fĂŒr alle Daten auf die Regelungen des Bundesdatenschutzgesetzes zu mobilen personenbezogenen Speicher- und Verarbeitungsmedien (§ 6c BDSG) verwiesen. Daraus ergeben sich
jeweils gegenĂŒber öffentlichen und nicht-öffentlichen Stellen.
DarĂŒber hinaus schrĂ€nkt § 291a Abs. 4 SGB V den Zugriff auf die Daten auf Zugriffsberechtigte ein. Auf die Daten nach Abs. 2 - insbesondere also Ă€rztliche Verordnungen (eRezept) - dĂŒrfen auĂer dem Versicherten, der auch ein Zugriffsrecht hat, nur Ărzte, ZahnĂ€rzte, Apotheker, aber auch deren Gehilfen und sonstige Erbringer Ă€rztlich verordneter Leistungen zugreifen; auf die Daten nach Abs. 3 auĂerdem Psychotherapeuten und auf die Notfalldaten nach Abs. 3 Satz 1 Nr. 1 in NotfĂ€llen auch Angehörige eines anderen Heilberufs.
Die BeschrÀnkung des Zugriffs auf Zugriffsberechtigte muss durch technische Vorkehrungen abgesichert werden.[15]
Weiter sind mindestens die letzten 50 Zugriffe fĂŒr Zwecke der Datenschutzkontrolle zu protokollieren. Eine Verwendung der Protokolldaten fĂŒr andere Zwecke ist unzulĂ€ssig. Die Protokolldaten sind durch geeignete Vorkehrungen gegen zweckfremde Verwendung und sonstigen Missbrauch zu schĂŒtzen (§ 291a Abs. 6 SGB V). Ziel dieser Protokollierung ist es, dass âes dem Versicherten und nur ihm erlaubt [wird], Zugriffe zu seinen Daten zu verfolgen und retrospektiv Verletzungen von Datenschutz und Datensicherheitsvorschriften feststellen zu können.â[16]
SchlieĂlich sind die Daten auf der eGK nach § 97 Abs. 2 Satz 2 StPO beschlagnahmefrei.
Das hĂ€rteste Argument gegen die bekannten Lösungen ist der ausstehende Nachweis der Tauglichkeit nach ISO/IEC 15408 zur Datensicherheit und zum Datenschutz bei der Ăbertragung gegenĂŒber dem BSI als Bundesoberbehörde.
Alle weiteren Kritiken ĂŒber die Notwendigkeit einer tauglichen Lösung sind weder tatsĂ€chlich noch technisch begrĂŒndet. Der Verzicht auf eine taugliche Lösung bedeutet unnötige Betrugsgefahr durch Verwendung herkömmlicher Versichertenkarten ohne Foto und eine GefĂ€hrdung des Patienten durch Verwechslung seiner IdentitĂ€t. In der klinischen Routine löst die Elektronische Gesundheitskarte keinerlei Verwechslungsproblem zwischen der Aufnahme und der Entlassung, da LesegerĂ€te fĂŒr die Elektronische Gesundheitskarte innerhalb der Stationen nicht vorgesehen sind.
Der genannten Kritik am Datenschutz wird von Datenschutzbehörden entgegen gehalten, dass die informationelle Selbstbestimmung der Patienten sowohl durch das geltende Recht als auch durch technische MaĂnahmen wirksam geschĂŒtzt werde. Die elektronische Gesundheitskarte sei geradezu als âModellvorhabenâ anzusehen, das die Anforderungen des informationellen Selbstbestimmungsrechts vorbildlich umsetze.[17]
Auch der Datenschutzbeauftragte des Landes Schleswig-Holstein Thilo Weichert entgegnete im Gesundheitsausschuss auf einen vom damaligen StaatssekretĂ€r im Gesundheitsministerium, Daniel Bahr (FDP), gestellten Antrag zum Moratorium fĂŒr die elektronische Gesundheitskarte: âTatsĂ€chlich kann dieses Sicherheitsinstrumentarium als ausreichend zur Wahrung des Datenschutzes angesehen werden, ja sogar als vorbildlich. Besonders bestechend ist bei der Konzeption, dass die sensiblen Medizindaten verschlĂŒsselt abgelegt werden und das Lesen dieser Daten technisch nur mit Hilfe eines auf der eGK befindlichen privaten SchlĂŒssels möglich ist. [âŠ] Diese Konstruktion bedeutet, dass â technisch â die VerfĂŒgungshoheit ĂŒber die Medizindaten tatsĂ€chlich beim Patienten liegt. Dieses Konzept ist durch die gesetzliche Regelung vorgegeben: Abgesehen von der Nutzung der eGK als Identifizierungskarte und zur Ăbermittlung von elektronischen Rezepten sollen sĂ€mtlichen Anwendungen bzw. FunktionalitĂ€ten fĂŒr den Patienten freiwillig sein. D.h. der Patient soll â durch Bereitstellung der Karte und Eingabe der PIN â selbst entscheiden, wer seine Daten auf die Karte schreiben und wer sie lesen darf. [âŠ] Dies hat zur Folge, dass es zur Wahrung der Vertraulichkeit der Daten ĂŒberhaupt nicht darauf ankommen darf und kann, ob diese auf einem zentralen oder auf vielen dezentralen Servern oder gar nur auf der Karte gespeichert werden. [âŠ] In jedem Fall ist die individuelle Autorisierung des Zugriffs durch den Betroffenen technisch zwingend. Also auch bei einer zentralen Datenablage wĂ€re einer dritten Stelle jeweils nur die EntschlĂŒsselung eines einzelnen Datensatzes, dessen SchlĂŒssel verfĂŒgbar ist, möglich. Eine Kenntnisnahme aller Patientendaten ist nicht nur rechtlich verboten, sondern soll technisch auch unmöglich sein. Der Zugriff auf Anwendungen setzt regelmĂ€Ăig die Autorisierung des Patienten unter Einsatz der eGK und des (Zahn-) Arztes ĂŒber eine HPC voraus.â[18]
Der Bundesbeauftragte fĂŒr den Datenschutz, Peter Schaar, erkennt bei der elektronischen Gesundheitskarte keine grundsĂ€tzlichen datenschutzrechtliche Probleme. Er verweist darauf, dass grundsĂ€tzlich alle medizinischen Daten nur mit ausdrĂŒcklicher Einwilligung des Patienten gespeichert werden dĂŒrfen. Ohne Einwilligung dĂŒrfen lediglich die Daten gespeichert und weitergeben werden, die fĂŒr das elektronische Rezept erforderlich sind. Das Zugriffskonzept sei technisch und rechtlich so ausgestaltet, dass das Patientengeheimnis auch gegenĂŒber und zwischen Angehörigen der Heilberufe gewahrt bleibe. Zudem wĂŒrden auch die GrundsĂ€tze der Datensparsamkeit und Datenvermeidung eingehalten.[19]
Der Jahresbericht (2008) des Berliner Datenschutzbeauftragten Alexander Dix argumentiert ebenfalls fĂŒr die umfassende EinfĂŒhrung der Telematik-Infrastruktur und betont vor dem Hintergrund heutiger unsicherer Patientenakten: âDie Sicherheitskonzepte fĂŒr die elektronische Gesundheitskarte und insbesondere die elektronische Patientenakte als deren Anwendung sollten als MaĂstab fĂŒr alle patientengefĂŒhrten Gesundheitsakten im Internet herangezogen werden.â [20]
Die eGK ist bisher nicht bundesweit eingefĂŒhrt. Es gibt keine gĂŒltige Planung fĂŒr die EinfĂŒhrung. Die technischen Anforderungen zur eGK wurden seit Zertifizierung des Vorschlags der gematik GmbH in 2008 bisher nicht ĂŒberarbeitet, sind mithin gegenĂŒber dem aktuellen Stand der Technik veraltet. Dies gilt allemal, da die international gĂŒltige Norm ISO/IEC 15408 zur NachweisfĂŒhrung ein Jahr jĂŒnger ist als die veröffentlichten Zertifikate.
Als Auslöser fĂŒr die Planung einer elektronischen Krankenakte gilt der Skandal um Lipobay im Jahr 2001. Die Untersuchung der schĂ€dlichen Nebenwirkungen des PrĂ€parates wurde erschwert, da es kaum Aufzeichnungen gab, welche anderen Medikamente die betroffenen Patienten einnahmen, so dass Wechselwirkungen nur schwer erkannt werden konnten. Eine Studie der Unternehmensberatung Roland Berger schlug eine Chipkarte vor, auf der alle Verschreibungen von Medikamenten gespeichert werden sollten, und die beim Eintrag eines neuen PrĂ€parates automatisch potentielle Wechselwirkungen analysieren und gegebenenfalls eine Warnung ausgeben sollte.[25] Diesem Vorschlag wurde nach Anhörung von Ărzten, Krankenkassen, DatenschĂŒtzern und anderen Beteiligten weitere Funktionen hinzugefĂŒgt.
Im Jahr 2003 wurde vom damaligen Bundesministerium fĂŒr Gesundheit und Soziale Sicherung nach einer europaweiten Ausschreibung das Projektkonsortium âbIT4healthâ (=better IT for better health), bestehend aus den Unternehmen IBM Deutschland, dem Fraunhofer-Institut fĂŒr Arbeitswirtschaft und Organisation (IAO), der SAP Deutschland, der InterComponentWare und der ORGA Kartensysteme (jetzt: Sagem Orga) beauftragt, herstellerneutral die optimalen Rahmenbedingungen und Voraussetzungen fĂŒr die bundesweite EinfĂŒhrung der elektronischen Gesundheitskarte vorzubereiten. Im Mittelpunkt der Arbeiten des Projekts âbIT4healthâ stand die Definition einer Telematik-Rahmenarchitektur und Sicherheitsinfrastruktur. Das Projektkonsortium begleitet die EinfĂŒhrung der elektronischen Gesundheitskarte ĂŒber die Definitionsphase der Rahmenarchitektur hinaus wĂ€hrend der Testphase bis hin zur EinfĂŒhrung und dem ersten Betriebsjahr.
Durch das Gesetz zur Modernisierung der gesetzlichen Krankenversicherung vom 14. November 2003 wurde die EinfĂŒhrung der eGK zum 1. Januar 2006 in § 291a SGB V gesetzlich festgeschrieben. FĂŒr die EinfĂŒhrung und kĂŒnftige Weiterentwicklung der eGK haben die SpitzenverbĂ€nde der Selbstverwaltung im Januar 2005 die Betriebsorganisation gematik (Gesellschaft fĂŒr Telematikanwendungen der Gesundheitskarte mbH) gegrĂŒndet.
Die Umsetzung zum 1. Januar 2006 scheiterte jedoch. Am 27. September 2005 hat das Bundesministerium fĂŒr Gesundheit (BMG) deshalb eine Ersatzvornahme angekĂŒndigt. Danach werden die Rahmenbedingungen zur Umsetzung des Projektes vom BMG neu geordnet und unter seiner Leitung die weiteren Arbeiten gesteuert. Zuvor waren mehrfach Abstimmungen unter den Gesellschaftern der gematik gescheitert und die ZeitplĂ€ne von BMG und gematik schienen nicht vereinbar.
Im Zuge dieser Neuordnung wurde am 5. Oktober 2006 mit Wirkung zum 12. Oktober 2006 eine Neufassung der Verordnung ĂŒber TestmaĂnahmen fĂŒr die EinfĂŒhrung der elektronischen Gesundheitskarte (Elektronische Gesundheitskarten-Verordnung â GesKVO) erlassen. Die Verordnung sieht ein vierstufiges Testverfahren vor (§ 5 GesKVO), nach dem von Tests unter Laborbedingungen mit Testdaten ĂŒber den Test durch Zugriffsberechtigte mit Testdaten und Echtdaten zum Test in Testregionen ĂŒbergegangen werden sollte.
Die EinfĂŒhrung der eGK startete am 1. Oktober 2009, vorerst nur im KV-Bezirk Nordrhein in Nordrhein-Westfalen. Mit der Zeit sollen weitere Regionen folgen (âRolloutâ), beginnend mit angrenzenden. Zuletzt soll die eGK bundesweit eingesetzt werden.[26]
Der PKV-Verband legte fĂŒr die privaten Krankenversicherungen am 1. Juli 2009 seine Teilnahme am Basis-Rollout der eGK auf Eis. Er begrĂŒndete dies mit der fehlenden Investitionssicherheit.[27]
Im Koalitionsvertrag (Bund) von Union und FDP (24. Oktober 2009) heiĂt es zur eGK und dem weiteren zeitlichen Ablauf (Zeile 4143â4152): âDatensicherheit und informationelle Selbstbestimmung der Patienten sowie der Versicherten haben fĂŒr uns auch bei EinfĂŒhrung einer elektronischen Gesundheitskarte höchste PrioritĂ€t. Vor einer weitergehenden Umsetzung werden wir eine Bestandsaufnahme vornehmen, bei der GeschĂ€ftsmodell und Organisationsstrukturen der Gematik und ihr Zusammenwirken mit der Selbstverwaltung und dem Bundesministerium fĂŒr Gesundheit, sowie die bisherigen Erfahrungen in den Testregionen ĂŒberprĂŒft und bewertet werden. Danach werden wir entscheiden, ob eine Weiterarbeit auf Grundlage der Strukturen möglich und sinnvoll ist.â Nach dem folgenden Spitzentreffen infolge dieses Koalitionsvertrages stellen das Bundesministerium fĂŒr Gesundheit, der GKV-Spitzenverband und die KassenĂ€rztliche Bundesvereinigung in einer gemeinsamen Pressemitteilung vom 18. November 2009 zum weiteren Ablauf der EinfĂŒhrung der eGK unter anderem fest: âAngesichts der Ergebnisse der Testvorhaben gilt es, den weiteren Ausbau der Infrastruktur konsequent darauf auszurichten, dass die Praxistauglichkeit fĂŒr die behandelnden Ărztinnen und Ărzte, die Verbesserung der QualitĂ€t der Behandlung fĂŒr die Patientinnen und Patienten sowie die Sicherheit im Vordergrund stehen. Nur so ist es möglich, die notwendige Akzeptanz der Telematikinfrastruktur insbesondere bei den Versicherten und Ărzten zu gewinnen.â
Anfang 2010 berieten die beteiligten Gesellschafter der gematik (GKV-Spitzenverband, BundesĂ€rztekammer) in Abstimmung mit dem Bundesamt fĂŒr Sicherheit in der Informationstechnik und dem Bundesministerium fĂŒr Gesundheit ĂŒber das weitere Vorgehen im Hinblick auf die Zusammensetzung und Aufgaben der gematik, die weiteren Funktionen der Gesundheitskarte und insbesondere ob die Ărzte verpflichtet werden âonlineâ zu gehen.[28]
Auf der CeBIT 2010 sagte Gesundheitsminister Rösler: âWir gehen schrittweise vor und beginnen mit einer erweiterten und datenschutzrechtlich sicheren Krankenversichertenkarte. Dabei konzentrieren wir uns zunĂ€chst auf ein modernes Versichertenstammdatenmanagement und die Notfalldaten. Gleichzeitig werden wir den Wunsch der im Gesundheitswesen TĂ€tigen nach einer sicheren Kommunikationsinfrastruktur schnellstmöglich umsetzen. Sie ermöglicht beispielsweise den Austausch von Arztbriefen zwischen zwei Ărzten.â[29]
In der Pressemitteilung Gesundheitspolitik: Raus aus den ideologischen SchĂŒtzengrĂ€ben vom 8. MĂ€rz 2010 fordert der Bundesverband der Verbraucherzentralen: âZur Verbesserung von Wirtschaftlichkeit und QualitĂ€t fordert der vzbv: [âŠ] â die Beteiligung aller Leistungserbringer an der sogenannten Telematikinfrastruktur, das heiĂt Ărzte, Apotheker und KrankenhĂ€user mĂŒssen sich auf die Nutzung der elektronischen Gesundheitskarte einstellen.â[30]
Am 19. April 2010 hat die Gesellschafterversammlung der gematik die genannten, im Koalitionsvertrag festgelegten Festlegungen fĂŒr das weitere Vorgehen der nĂ€chsten Jahre getroffen.
âIm Sinne von mehr Effizienz, Schnelligkeit und Reduzierung der KomplexitĂ€t gibt es kĂŒnftig eine klare Verteilung der Aufgaben und Verantwortlichkeiten: Die Leistungserbringer werden die alleinige Verantwortung fĂŒr die medizinischen Anwendungen ĂŒbernehmen und die KostentrĂ€ger die alleinige Verantwortung fĂŒr die administrativen Anwendungen. Man verstĂ€ndigte sich darauf, zunĂ€chst drei Anwendungen einzufĂŒhren, mit denen direkt beim Start ein Nutzen fĂŒr alle Beteiligten erreicht werden kann. Der GKV-Spitzenverband verantwortet ab sofort die EinfĂŒhrung eines online gestĂŒtzten Versichertenstammdatenmanagements, die BundesĂ€rztekammer die EinfĂŒhrung eines Notfalldatensatzes auf der eGK und die KassenĂ€rztliche Bundesvereinigung die adressierte Kommunikation der Leistungserbringer. FĂŒr die ĂŒbergreifende Aufgabe der Basis-Telematikinfrastruktur wird der GKV-Spitzenverband gemeinsam mit der KassenĂ€rztlichen Bundesvereinigung zustĂ€ndig sein.â
Weiter sei laut gematik und Spitzenverband Bund der Krankenkassen ein Beschluss ĂŒber die verpflichtende Online-Anbindung, insbesondere der Arztpraxen, entgegen frĂŒheren anderslautenden Meldungen bis heute nicht gefasst worden, da die Vertreter der Leistungserbringer dagegengestimmt hĂ€tten.[31][32]
Die Vorgehensweise bei der EinfĂŒhrung wurde inzwischen dahingehend verĂ€ndert, dass in Absprache mit der Projektgesellschaft Gematik die Kartenausgabe der Kassen erst dann erfolgen soll, wenn alle Ărzte die notwendigen LesegerĂ€te besitzen. Nach einem Plan des Bundesministeriums fĂŒr Gesundheit sollten die Krankenkassen verpflichtet werden, bis Ende 2011 mindestens 10 Prozent ihrer Mitglieder mit einer eGK auszustatten. Bei Unterschreiten soll eine Vertragsstrafe drohen.[33]
Laut frĂŒherem Bundesgesundheitsminister Philipp Rösler (FDP) waren die geplanten Funktionen der Karte als elektronisches Rezept und elektronische Patientenakte vorerst gestoppt worden, um die technische Sicherheit der gespeicherten Daten durch die Industrie nachweisen zu lassen. Ab Oktober 2011 ist es nun nach intensiven Vorbereitungen soweit, so das Bundesministerium fĂŒr Gesundheit. Die Ausgabe der elektronischen Gesundheitskarten durch Krankenkassen an die Versicherten beginnt. Vorerst enthĂ€lt die elektronische Gesundheitskarte neben einem Lichtbild die gleichen Verwaltungsdaten wie die Krankenversichertenkarte.
FĂŒr die mit der EinfĂŒhrung der elektronischen Gesundheitskarte verbundenen Kosten gibt es unterschiedliche EinschĂ€tzungen. Bei der Betrachtung der Kosten ist zu berĂŒcksichtigen, dass neben den Ausgaben fĂŒr Karten und LesegerĂ€te weitere Investitionen erforderlich sind. So sind auch die Kosten fĂŒr die technische Infrastruktur sowie fĂŒr Anpassungen an Hard- und Software in Praxen und KrankenhĂ€usern zu berĂŒcksichtigen. Weitere geplante Funktionen der elektronischen Gesundheitskarte können zusĂ€tzliche Kosten verursachen (beispielsweise Heilberufsausweis, Signaturdienste).
Bei der Vorstellung der Rahmenarchitektur auf der CeBIT 2004 ging die damalige Bundesgesundheitsministerin Ulla Schmidt noch von EinfĂŒhrungskosten in der Höhe von 700 Mio. Euro bis eine Milliarde Euro aus.[34] Ărztevertreter und Krankenkassen einigten sich wenige Monate spĂ€ter auf Eckpunkte der Finanzierung. FĂŒr die EinfĂŒhrung der Gesundheitskarte wurden nunmehr 1,6 Mrd. Euro veranschlagt. Die Kassen sollten den gröĂten Teil ĂŒbernehmen. FĂŒr Ărzte, Kliniken und Apotheker war eine Beteiligung in Höhe von 600 Mio. Euro vorgesehen.[35]
Am 24. November 2006 veröffentlichte der Chaos Computer Club eine Kosten-Nutzen-Analyse von Booz Allen Hamilton (jetzt Booz & Company). Diese im Auftrag der gematik erstellte Analyse ergab, dass nicht nur die EinfĂŒhrung, sondern auch die weitere Nutzung der elektronischen Gesundheitskarte enorme Kosten verursachen wird. Die Analyse bezog sich auf einen Zeitraum von zehn Jahren. Der CCC schrieb dazu auf seiner Homepage: âIn bester Tradition staatlicher Software-GroĂprojekte wird hier sehenden Auges ein weiteres extrem kostentrĂ€chtiges Prestigeprojekt angegangen, dessen Nutzen in keinem sinnvollen VerhĂ€ltnis zu den Risiken und absehbaren Problemen steht. Eine erste Sichtung der Daten deutet auf eine massive Kostenexplosion bei der EinfĂŒhrung der Gesundheitskarte und ein weiteres Technologie-Desaster hin.â[36]
In einer Studie aus dem Jahr 2009 veranschlagte Booz Allen Hamilton die Kosten der EinfĂŒhrung auf 2,8 bis 5,4 Milliarden Euro fĂŒr einen Zeitraum von fĂŒnf Jahren.[37]
Nach Recherchen des ARD-Magazins âMonitorâ im Juli 2009 geht die Entwicklungsfirma der elektronischen Gesundheitskarte bereits von einer Verdoppelung der ursprĂŒnglich geplanten Kosten aus. Im am ungĂŒnstigsten anzunehmenden Fall gehe man von einer vollstĂ€ndigen FunktionsfĂ€higkeit erst in acht bis zehn Jahren aus, so der Pressesprecher der Firma gematik, Daniel Poeschkens, gegenĂŒber Monitor. Die Gesamtkosten könnten dabei nach den internen Szenarien sogar auf 14,1 Milliarden Euro anwachsen.[38]
Die EinfĂŒhrung der eGK durch die gesetzlichen Krankenkassen ist bis zum Jahresende 2011 in einer Pilotmenge gesetzlich vorgeschrieben. Die technische Qualifikation zur Verwendung der eGK ist bisher nicht abgeschlossen. In der Kritik sind die Begriffe Datensicherheit und Datenschutz zu trennen. Beide Merkmale mĂŒssen gesetzeskonform mit den Anforderungen des SGB V und SGB X und nach dem Stand der Technik (ISO/IEC 15408) erfĂŒllt werden.
Im Unterschied zur bisherigen Krankenversicherungskarte, die ânurâ eine Speicher-Chipkarte war, ist die eGK eine Prozessor-Chipkarte, die erweiterte Möglichkeiten zum Beispiel durch Vorzeigen der digitalen IdentitĂ€t innerhalb der Telematikinfrastruktur eröffnet. Sie kann auch durch private Krankenversicherungen ausgegeben werden[39]. Die eGK enthĂ€lt teilweise die Daten, die bereits in der KVK enthalten waren.
Die Möglichkeit zur Speicherung weiterer Daten (Arzneimitteldokumentation) ist gegeben. Der Nachweis der Datensicherheit fĂŒr diese weiteren Daten im Zusammenhang mit entsprechenden Anwendungen und weiteren Speicherungen ist nicht erbracht. Die Gematik als beauftragtes Unternehmen nennt auf ihrer Website lediglich Ergebnisse einer Studie aus 2008 ohne jede Verbindlichkeit.[40]
Es gibt keine öffentliche Diskussion zur Datensicherheit der technischen Lösungen mit der eGK. Die Qualifikation der eGK nach ISO/IEC 15408 steht aus. Die Anwendung der eGK fĂŒr andere Zwecke als der IdentitĂ€tsfeststellung ist bis zur Beibringung einer hinreichenden Zertifizierung durch die gematik GmbH als Auftragnehmer der Bundesregierung ungesetzlich.
Ob die Verwendung der elektronischen Gesundheitskarte fĂŒr andere Zwecke als den IdentitĂ€tsnachweis den Datenschutz der Patienten bedroht, wird emotional diskutiert und ist technisch umstritten.
Der 110. Deutsche Ărztetag im Mai 2007 in MĂŒnster hat mit einer Mehrheit von 111 zu 94 Stimmen beschlossen, die eGK in der heute vorliegenden Form abzulehnen und neue Wege zu gehen, die eine gröĂere Datensicherheit und eindeutige Aussagen ĂŒber die Finanzierbarkeit aufweisen. Die Aufgabe, diese neuen Wege aufzuzeigen, wurde an den 111. Ărztetag weitergegeben, der im Mai 2008 in Ulm stattfand und seine Kritik an der elektronischen Gesundheitskarte in der jetzigen Form erneuerte.[41] Der 111. Ărztetag verlangte einen Stopp der Tests. Bei der Mehrheit der Delegierten ĂŒberwogen die datenschutzrechtlichen Bedenken gegen die zentrale Speicherung der Patienteninformationen. Die eGK wird nach jetziger Planung lediglich ein SchlĂŒssel zu diesem Datenreservoir sein. Im Oktober 2008 hatte die eGK-Gesellschaft gematik auf Betreiben der BundesĂ€rztekammer (BĂK) den Test eines alternativen Konzepts beschlossen, bei dem die Daten in der Hand des Patienten verbleiben sollen â etwa auf einem USB-Stick.[42] Eine Untersuchung zur Eignung dezentraler Speicherung wurde vom Fraunhofer-Institut fĂŒr Offene Kommunikationssysteme (FOKUS) durchgefĂŒhrt. Diese kommt zu dem Ergebnis, dass ein USB-Stick als dezentraler Speicher nicht geeignet ist. Als optionale ErgĂ€nzung zur EGK wird eine EGK-Version (EGK-M, EGK-M+) vorgeschlagen, die ĂŒber einen gröĂeren Speicher verfĂŒgt und laut FOKUS fĂŒr die absehbaren Anwendungen ausreichend sein soll.[43] Der 113. Deutsche Ărztetag beschloss am 14. Mai 2010 mit 105 zu 86 Stimmen, das Projekt Gesundheitskarte âin der weiterverfolgten Zielsetzung endgĂŒltig aufzugebenâ. Als BegrĂŒndung wurde wie seit Jahren vor allem die befĂŒrchtete zentrale Datenspeicherung, die Möglichkeit eines unbefugten Zugriffs auf sensible Patientendaten und die hohen Kosten des Projekts genannt. Trotz der âsachlichen Argumentation [und des Appells des Telematikbeauftragten der BundesĂ€rztekammer, Franz-Joseph Bartmann,] aktiv und konstruktiv an der Entwicklung der Telematik und Telemedizin mitzuarbeitenâ, kĂŒndigte beispielsweise der Vertreter Niedersachsens, Dr. med. Axel Brunngraber, weitere kostenverursachende Blockaden an: âWir haben in den vergangenen Jahren wichtige Bollwerke geschaffen und das Projekt auf Jahre hin gestoppt, und das werden wir auch weiter durchhaltenâ. Dass jedoch der elektronische Heilberufeausweis und die Telemedizin im Allgemeinen nĂŒtzlich fĂŒr die Patientenversorgung sein können, wurde auf dem Ărztetag mehrheitlich betont.[44]
.jpg)
Commons: Elektronische Gesundheitskarte â Sammlung von Bildern, Videos und Audiodateien
