Elektronische Gesundheitskarte

Aus Winfwiki

Wechseln zu: Navigation, Suche

Inhaltsverzeichnis

1 Einleitung

Dieses Projekt unterscheidet sich von anderen gesundheitstelematischen Projekten neben einer geplanten bundesweiten Einführung auch dadurch, dass die Daten unter die Hoheit der Patienten gestellt werden sollen. Im Rahmen dieses Projekts waren zunächst ergebnisoffene Tests unterschiedlicher Modelle sowie Transparenz bei Entscheidungsfindung und Umsetzung vorgesehen. Von den ergebnisoffenen Tests wurde allerdings nach kurzer Zeit zugunsten einer schnellstmöglichen Umsetzung wieder abgesehen. Auch von der ursprünglich angedachten Transparenz ist nicht viel übrig geblieben. Eine vollständige Spezifikation aller Komponenten der vorgesehenen Lösung ist bisher nicht veröffentlicht.


Durch rasante technische Entwicklung und damit einhergehende immer weiterreichendere Möglichkeiten der Datensammlung- und Analyse kommt dem Datenschutz immer größere Bedeutung zu. Hierbei wird das Ziel verfolgt, die informationelle Selbstbestimmung der Bürger zu unterstützen. Dazu ist es einerseits erforderlich, den Bürger für einen bewußten und sorgfältigen Umgang mit seinen personenbezogenen Daten zu sensibilisieren und ihm die dazu notwendigen Kompetenzen zu vermitteln. Andererseits kommt dem technischen Datenschutz, also der Datensicherheit, eine immer größere Bedeutung zu, der über die, teils mit Zielkonflikten behafteten, Schutzziele Integrität, Vertraulichkeit, Verfügbarkeit und Verbindlichkeit verfolgt wird und einen Schutz der Daten vor unberechtigtem Zugriff, Veränderung oder Diebstahl bewahren soll. Bei der Umsetzung konkreter Schutzmaßnahmen ist stets den technischen Entwicklungen Rechnung zu tragen.


Hinsichtlich solch folgenschwerer Großprojekte wie der elektronischen Gesundheitskarte ist es wichtig, sorgfältige Erwägungen zum Datenschutz vorzunehmen. Diese sind in einem verbindlichen und sicheren rechtlichen Rahmen zu verankern. Anschließend ist für eine geeignete Umsetzung wirksamer technischer und organisatorischer Maßnahmen Sorge zu tragen, um den Schutz der sensiblen personenbezogenen medizinischen Daten zu gewährleisten. Hierbei sollten alle potenziellen Gefährdungsstellen bedacht und berücksichtigt werden.


An anderer Stelle soll die Aussage der GEMATIK GmbH, die datenschutzrechtliche Position der Versicherten werde sich durch die Einführung der Telematikinfrastruktur nicht verschlechtern, näher betrachtet werden. An diesem Punkt stellt sich die Frage, in wieweit datenschutzrechtliche Belange der Versicherten in der heutigen Praxis Berücksichtigung finden und in welcher Hinsicht sich diese Situation durch die Einführung der elektronischen Gesundheitskarte voraussichtlich ändern wird.


Weiterhin von Bedeutung sind die Interessen verschiedener an diesem Projekt beteiligter Gruppierungen. Wichtige Punkte sind deren Interesse an den im Rahmen der elektronischen Gesundheitskarte verwalteten Daten sowie deren Möglichkeiten zur Einflussnahme sowie zum Datenzugriff. Auch die Bereitschaft zum Missbrauch oder zum unberechtigten Zugriff wären von Bedeutung. Allerdings sind diese Bereiche kaum belegbar, sie können allenfalls anhand einiger Anhaltspunkte erwägt werden.

2 Rahmenbedingungen

Im Laufe der letzten Jahre wurden rechtliche Vorgaben geschaffen, die eine stufenweise Umsetzung der eGK und Ablösung der bisherigen Krankenversicherungskarte regeln. Die tatsächliche Situation gestaltet sich, in Deutschland wie im gesamten europäischen Raum, unklar. Einer Erhebung zufolge, bei der keine Regierungsorgane sondern die an Konzeption und Umsetzung beteiligten Experten angesprochen wurden, befindet man sich vorwiegend in Einführungssituationen oder Übergängen von Pilotprojekten zur vollständigen Gesundheitskarte. Hierbei existieren zum Teil mehrere nationale, regionale und sektorale Lösungen parallel, die bei der endgültigen Umsetzung zu berücksichtigen sind. Die befragten Experten stimmen überwiegend darin überein, dass

  • zwischenstaatlicher Interoperabilität und europäischen Standards keine allzu große Bedeutung beizumessen sind,
  • bezüglich der Architektur ein dezentrales Design mit zentralem Patientenindex als zweckmäßig anzusehen ist,
  • die Identifikation für Zugriffsberechtigungen mittels Chipkarte zur Patientenidentifikation in Verbindung mit einem Heilberufeausweis geregelt werden sollte,
  • eine verschlüsselte Übertragung über das Internet für weniger geeignet gehalten wird als eine Nutzung abgeschlossener Intranets.

Da in diesem Stadium auch die Spezifikationen noch nicht vollständig ausgearbeitet sind, sind konkrete Anwendungsgebiete und deren Ausgestaltung noch offen. Jedoch besteht bezüglich einiger Fachgebiete Einigkeit darüber, dass diese aufgenommen werden sollten:

  • Notfalldatenmanagement
  • Behandlungsverläufe und Patientengeschichte
  • Medikation
  • Allergikerinformationen
  • Arztbriefschreibung
  • Dokumentation radiologischer Befunde
  • Dokumentation von Laborergebnissen

Über die Fragen, in wie weit die Nutzung der unterschiedlichen Anwendungen den Versicherten freigestellt wird und zu Fragen der Datenhoheit wird an dieser Stelle keine Aussage gemacht, aber es kristallisieren sich in den verschiedenen Projekten einzelner Länder unterschiedliche Präferenzen heraus.


So ist beispielsweise in den Niederlanden eine dezentrale Gestaltung ohne Einsatz einer Chipkarte vorgesehen. Zugriff auf die Daten soll ein grundsätzlich zugriffsberechtigter Leistungserbringer nach Autorisation durch den Patienten erhalten. Auch für die Patienten ist langfristig ein Zugang zur Wahrung ihrer Informationsrechte geplant, aber bislang nicht umgesetzt.


Auch Dänemark arbeitet ohne Chipkarten. Hier werden alle Gesundheitsdaten zentral vorgehalten und die Patienten haben die Möglichkeit, ihr Auskunftsrecht per Internetzugang wahrzunehmen. Zugriffsbeschränkungen gibt es ausschließlich für nicht medizinische Stellen. Sämtlichen medizinischen Leistungserbringern wird stets ein Vollzugriff gewährt. Bedenken bezüglich eines möglichen Mißbrauchs werden von verantwortlicher Stelle unter Verweis auf die Datenschutzgesetzgebung abgetan.


Ein Beispiel mit ähnlicher Zugriffsregelung wie in Deutschland ist Frankreich. Allerdings werden die Daten dort zentral vorgehalten und eine Einsichtnahme der Versicherten in ihre Gesundheitsdaten ist erst für einen späteren Zeitpunkt geplant. Die Patienten haben aber die Möglichkeit, Leistungserbringern den Zugriff zu verweigern, müssen allerdings in dem Fall mit finanziellen Sanktionen von Seiten der Kostenträger rechnen. Da der Betroffene hier mit Nachteilen zu rechnen hat, kann von echter Freiwilligkeit der Anwendung also nicht die Rede sein.


2.1 Rechtliche Grundlagen

Die rechtliche Grundlage für die elektronische Gesundheitskarte wird im Kern im deutschen Recht, hauptsächlich im SGB V gelegt und durch die deutsche Datenschutzgesetzgebung, die in weiten Teilen europäische Richtlinien zum Schutz personenbezogener Daten widerspiegelt, flankiert. Es ist allerdings davon auszugehen, daß es im Anschluss an die Einführung der Gesundlheitskarte neben technischen Korrekturen, auch im rechtlichen Rahmen noch Anpassungsbedarf geben wird, da zum jetzigen Zeitpunkt noch nicht alle Konsequenzen, die sich durch den praktischen Betrieb der elektronischen Gesundheitskarte ergeben, abgesehen werden können.


Die Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten, die ``Artikel 29 Datenschutzgruppe`` der EU hat sich in ihrem Arbeitspapier über die Verarbeitung von Patientendaten in elektronischen Patiententakten vom Februar 2007 mit den rechtlichen Grundlagen und den Anforderungen aus Sicht der Datenschutzbeauftragten auseinandergesetzt. Diese Überlegungen können in den deutschen Rechtsraum übertragen werden, da die entsprechenden Vorgaben weitgehend in nationales Recht umgesetzt wurden:

  • Bereits in Artikel 8 EMRK wird das Recht auf den Schutz personenbezogener Daten vereinbart und die Notwendigkeit zur Einwilligung der betroffenen Person in die Datenverarbeitung sowie deren Recht auf Information festgelegt. Die Anwendung dieses Rechts wurde im Entwurf zur Verfassung der EU in den Artikel 6 Abs. 2 aufgenommen.
  • In der Richtlinie 95/46/EG, der Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr wurden detaillierte Regelungen zu Rechten und Pflichten im Umgang mit sensiblen medizinischen Daten getroffen:
    • Artikel 2a definiert personenbezogene Daten als Informationen zu einer bestimmten oder bestimmbaren natürlichen Person. Für die Bestimmbarkeit genügt hier die Pseudonymisierung beispielsweise durch eine Kennummer oder die Zuordnung identifizierender Elemente.
    • Artikel 6 legt die erforderliche Qualität der Daten fest. Die Erhebung muss einem rechtmäßigen Zweck dienen, über den hinaus die Daten nicht weiter verarbeitet werden dürfen. Außerdem sind sie sparsam zu erfassen.
    • Artikel 7 regelt, dass die Verarbeitung nur mit Einwilligung des Betroffenen, aus lebenswichtigen Gründen oder zur Wahrung eines öffentlichen Interesses, solange die Grundrechte des Betroffenen nicht überwiegen, zulässig ist.
    • Artikel 8 stellt zunächst in Abs. 1 die Sonderstellung medizinischer Daten heraus und verbietet deren Verarbeitung, mit Ausnahmen, zunächst generell. Zu den Ausnahmen können beispielsweise die ohne Zwang erteilte Einwilligung des Betroffenen oder ein lebenswichtiges Interessen des einwilligungsunfähigen Betroffenen gehören.
    • Artikel 10, 11 und 12 regeln das Auskunftsrecht des Betroffenen, insbesondere für den Fall, dass die Daten nicht direkt bei ihm erhoben wurden.
    • Artikel 17 schließlich beschäftigt sich mit technischen und organisatorischen Maßnahmen zum Schutz der Daten sowie deren Dokumentation. Es wird auch die Möglichkeit der Auftragsdatenverarbeitung durch Dritte geregelt.
  • In der SEV 108 werden diese Regelungen noch einmal explizit im Hinblick auf die automatisierte Datenverarbeitung und einen möglichen grenzüberschreitenden Datenverkehr ausgeführt.
  • Die Empfehlung R97/5 würdigt noch einmal die besondere Sensibilität medizinischer und genetischer Daten und regelt detailliert die Art der Daten und verschiedene Situationen, in denen es zu deren Verarbeitung kommen kann.


Die ``Artikel 29 Datenschutzgruppe`` erkennt die untenstehenden Vorteile im Zusammenhang mit der Einführung elektronischer Patientenakten an:

  • Die elektronische Patientenakte kann geeignet sein, durch ein besseres Bild vom Patienten die Behandlungsqualität zu verbessern.
  • Die erhobenen Daten bieten ein geeignetes Instrument zur Qualitätskontrolle und zu Planungszwecken im öffentlichen Gesundheitswesen.
  • Durch allgemeine Verfügbarkeit der Daten kann die Wirtschaftlichkeit der Behandlungen verbessert werden.
  • Eine bessere Qualität der medizinischen Vorsorge kann beispielsweise durch Benachrichtigungssysteme erreicht werden.



Demgegenüber gibt die Arbeitsgruppe in Zusammenhang mit elektronischen Patientenakten allerdings auch Einiges zu bedenken:

  • Es werden in größerem Umfang als bisher üblich, personenbezogene Daten gesammelt, die schnell einem großen Empfängerkreis zugänglich gemacht werden können.
  • Die gesammelten Daten sind nicht nur für medizinisches Personal interessant, sondern wären auch für eine zweckfremde Verwendung, beispielsweise in der Strafverfolgung oder der Versicherungsbranche von großem Interesse.
  • Durch viele Zugriffspunkte wird die Gefahr des unberechtigten Abfangens von Patientendaten größer.
  • Die bisherige, vornehmlich an Akten in Papierform ausgerichtete Gesetzgebung kann sich in Bezug auf elektronische Patientenankten als unzureichend herausstellen.
  • Es ist nicht leicht sicherzustellen, dass nur berechtigtes Personal, ausschließlich zum festgelegten Zweck, Zugang zu den Patientendaten erhält.
  • Ein zentrales Speichersystem bietet die höchste Verfügbarkeit, aber auch das höchste Missbrauchsrisiko.


Aufgrund dieser erhöhten Gefahrenpotenziale und aufgrund oben genannter rechtlicher Rahmenbedingungen stellt die Arbeitsgruppe folgende Anforderungen an eine Umsetzung elektronischer Patientenakten:

  • Es ist auf Verhältnismäßigkeit und Datensparsamkeit der Datenerfassung zu achten.
  • Für Systeme elektronischer Patientenakten sollte auf der Ebene nationalen Rechts ein gesonderter umfassender Rechtsrahmen geschaffen werden.
  • Die Ausübung des Selbstbestimmungsrechts sollte in Abstufungen, abhängig von den Konsequenzen einerseits der Datenverarbeitung für den Patienten, andererseits dem Aufwand der Zustimmungseinholung durch den Verarbeiter, geregelt sein.
  • Dem Patienten muss eine Zugriffsverweigerung und auch ein kompletter Ausstieg aus dem System ohne Nachteile möglich sein. Es muss eine organisatorische Regelung getroffen werden, die keinen unzumutbaren Durck auf den Patienten zwecks Erteilung des Zugriffsrechts zulässt.
  • Es ist aus Blickwinkeln von Behandlungssicherheit und Datenschutz abzuwägen, in welchen Anwendungsbereichen der Arzt bei einer Zugriffsverweigerung durch den Patienten auf bestimmte Daten über das Vorhandensein weitererführender Informationen in Kenntniss gesetzt werden sollte.
  • Ein zweckfremder Zugriff auf die medizinischen Daten von anderen Stellen wei beispielsweise Versicherungsunternehmen, Gerichten oder Arbeitgebern ist wirksam zu unterbinden.
  • Der Patient sollte in die Lage versetzt werden, umfassende Informationen über jeden Datenzugriff zu erlangen. Hier wäre eine lückenlose Protokollierung sämtlicher Verarbeitungsschritte empfehlenswert.
  • Es ist auf eine eindeutige Identifizierung und Authentifizierung des Zugreifenden zu achten. Eine Authentifizierung mittels elektronischer Signatur ist derjenigen mittels Kennwort vorzuziehen.
  • Die in der elektronischen Patientenakte vorgehaltenen Daten sind vor unberechtigten Zugriffen unbedingt in jeder Situation zu schützen.
  • Die Einrichtung einer zentralen Meldestelle für Datenschutzprobleme ist zu überdenken.
  • Es sollten regelmäßige Datenschutz-Audits durchgeführt werden.


Als Kernpunkte beim Betrieb der elektronischen Gesundheitskarte sind folgende Punkte anzusehen, die häufig im Kern bereits im Grundrecht verankert sind und detaillierte Ausprägung in einzelrechtlichen Bestimmungen finden:

  • Die Grundlage wird durch das Recht auf informationelle Selbstbestimmung gebildet. Auf verfassungsrechtlicher Ebene ist es in Artikel 8 Abs. 1 der Europäischen Menschenrechtskonvention verankert. In das deutsche Grundgesetz hat es bislang keinen Einzug gefunden. Jedoch begründet sich das deutsche Datenschutzgesetz auf das informationelle Selbstbestimmungsrecht, in dem die §§ 4a, 6, 20, 33,34 und 35 maßgeblich sind. Hier sind die Notwendigkeit der Einwilligung, das Recht auf Auskunft und Löschung verankert.

Im Zusammenhang mit der elektronischen Gesundheitskarte wird es durch das Prinzip der Freiwilligkeit getragen. In § 291a Abs. 3 SGB V wird die Notwendigkeit der Einwilligung zur Nutzung freiwilliger Anwendungen vorausgesetzt. Nach Absatz 6 besteht Anspruch auf Löschung der freiwillig vorgehaltenen Daten. Eine Löschung abrechnungsrelevanter Daten wird jedoch an gleicher Stelle ausgeschlossen. Betrachtet man nun die §§ 292 und 295, stellt man fest dass im Zweifelsfall nur sehr wenige Daten nicht zu Abrechnungszwecken verpflichtend erhalten bleiben:

  • Bei Verwendung der eGK und werden die Patientendaten grundsätzlich unter Einsatz von Datenverarbeitungsanlagen verarbeitet. Aus diesem Grund findet gemäß § 2 BDSG auch bei nicht öffentlichen Stellen das Bundesdatenschutzgesetz Anwendung. Die Bestimmungen anderer Rechtsvorschriften, also auch des SGB V haben allerdings gemäß § 1 Abs. 3 BDSG Vorrang vor der Datenschutzgesetzgebung.
  • Die Daten sind gemäß § 3a BDSG sparsam und in einem dem Verarbeitungszweck angemessenen Verhältnis zu erheben. Anonymisierung und Pseudonymisierung werden in diesem Zusammenhang als geeignetes Mittel zur Datenvermeidung angesehen.
  • Regelmäßige Datenschutzaudits sind als sinnvoll anzusehen. Eine gesetzliche Regelung bezüglich Datenschutzaudits wurde bisher auf Bundesebene noch nicht getroffen. Auch im SGB V gibt es hierzu keine Regelungen.


Das Prinzip der Freiwilligkeit in Bezug auf die erweiterten Anwendungsmöglichkeiten wird von allen Beteiligten immer wieder betont. Da aber hier das Potenzial zu den höchsten Einsparungen liegt, könnte es nach einiger Zeit darauf hinauslaufen, dass ein Versicherter, der auf eine papierbasierte Abwicklung seines Falles besteht, Nachteile hinnehmen muss, die auf jeden Fall in einer verzögerten Bearbeitung, möglicherweise aber auch einer Übernahme erhöhter Bearbeitungskosten und im Einzelfall vielleicht sogar der Ablehnung einer Behandlung, auch wenn dies nicht mit geltendem Recht konform ginge, hinnehmen müsste. In diesem Fall wäre echte Freiwilligkeit nicht mehr gewährleistet. Es ist auf dem Hintergrund auch davon auszugehen, dass gerade die Anwendungen mit hohem Einsparpotenzial nach einer Einführungsphase auch per Gesetz zu Pflichtanwendungen gemacht werden.


2.2 Datenschutz im Entwurf der eGK

Die Einführung der eGK ist in mehreren Stufen vorgesehen, an deren Ende die Inbetriebnahme einer vollständigen elektronischen Patientenakte unter Hoheit des Versicherten stehen soll. Bei einem derart umfangreichen und langfristig angelegten Projekt sind Flexibilität, Erweiterheit und Zukunftssicherheit, insbesondere auch in Bezug auf das Sicherheitskonzept, vonnöten.


Das von der GEMATIK GmbH herausgegebene Sicherheitskonzept bezieht sich im Wesentlichen auf die Teile der Telematikinfrastruktur, die unter der Hoheit der GEMATIK GmbH stehen. Diese liegen hauptsächlich in der im Gesamtkonzept beschriebenen Telematik Tier, deren Hauptaufgabe in der Authentifizierung der Anfragen sowie der Vermittlung und Verschlüsselung der Daten besteht. Besonders die tatsächliche Speicherung und Nutzung der Daten in Fachdiensten und Primärsystemen gelten nicht als Bestandteil der Telematikinfrastruktur und unterliegen nicht der Kontrolle und Spezifikation der GEMATIK GmbH. Entsprechend werden in den Dokumenten zu Fachkonzepten und Facharchitekturen wenig konkrete Angaben zu Datensicherheit und Datenschutz gemacht. Lediglich eine Protokollierung wird noch einmal explizit gefordert.


Das Sicherheitskonzept der Telematikinfrastruktur wurde auf der Grundlage des Gesamtkonzepts erstellt, und fordert von den Beteiligten die Einhaltung folgender Forderungen:

  • Vertraulichkeit und zuverlässige Überprüfung der Zugriffsberechtigungen auf alle Daten des Versicherten muss stets gewährleistet sein.
  • Gespeicherte Datensätze dürfen auch für technisches Personal keine Rückschlüsse auf den zugehörigen Versicherten zulassen.
  • Medizinische Daten sind hybrid zu verschlüsseln.
  • Dem Versicherten ist die Datenhoheit über die im Rahmen der freiwilligen Anwendungen gespeicherten Daten einzuräumen.
  • Mit Verlust oder Austausch der Karte darf kein Verlust der online gespeicherten Daten einhergehen. Es muss eine Umschlüsselung auf eine neue Karte möglich sein.

Ein detailliertes Datenschutzkonzept, in welchem insbesondere auf Schutzbedarf sowie Anonymisierung und Pseudonymisierung genauer eingegangen wird, ist angekündigt, wurde allerdings bisher nicht veröffentlicht.


Nach Bestätigung der oben genannten Datenschutz- und Sicherheitsziele geht das Sicherheitskonzept zunächst auf deren mögliche Bedrohungen ein und identifieziert hierbei

  • Fehlbedienungen, Import schädlicher Software oder Zwang, Informationen preiszugeben aufgrund des Fehlens barrierefreier Technologien für Behinderte oder aufgrund von Druck durch Leistungserbringer oder Dritte als mögliche Ursache einer Bedrohung durch den Anwender,
  • Personalfluktuation, Manipulation von Auditeinträgen, unsachgemäßer Konstruktion von Komponenten, Reaktion auf Sicherheitsvorfälle oder Aufbewahrung der Daten sowie mangelndes Problembewusstsein als mögliche Ursache von Bedrohungen durch administratives Personal,
  • Das Ausnutzen von Schwächen in Hard- oder Software sowie das unbefugte Nutzen von Gesundheitskarte, PIN oder Passwörtern Betroffener als mögliche Ursache von Bedrohungen durch externe Angreifer und
  • Ausfall, Störung oder unerlaubte Nebenfunktionen von Komponenten, ungeeignete Notfallplanung und Innovationen im Bereich der Kryptoanalyse als Bedrohungen in Folge Versagens von Hardware oder Software.

Im Hinblick auf diese Bedrohungen wird der Schutzbedarf unterschiedlicher Datenklassen bestimmt und im Sicherheitskonzept, unterteilt in die Schutzbereiche Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Nichtabstreitbarkeit, festgehalten. Ein sehr hoher Schutzbedarf wird hier lediglich den personenbezogenen medizinischen Daten sowie den persönlichen Authentikationsmitteln, also PIN und PUK zugesprochen. Die Nichtabstreitbarkeit und dadurch Revisionssicherheit wird als bereits heute durch Umsetzung bestehender Richtlinien in den Primärsystemen gegeben angesehen. Im Rahmen der Telematikinfrastruktur wird diesbezüglich kein Handlungsbedarf mehr gesehen. Die Eintrittswahrscheinlichkeit von Schäden soll durch Verschlüsselung und Zugriffsbeschränkung minimiert werden, weitere Maßnahmen wie Datensparsamkeit und die Aufteilung der Telematikinfrastruktur in gestufte Sicherheitszonen sollen die mögliche Schadenshöhe begrenzen.

==Konsequenzen ==


Die Verantwortlichen versprechen lediglich, dass sich die datenschutzrechtliche Situation der Betroffenen nicht verschlechtern wird. Sieht man sich die aktuell vorliegenden vielfältigen Probleme an, und bedenkt man, dass die Verantwortung der GEMATIK GmbH und des Bundesministeriums für Gesundheit und Soziale Sicherung sich nicht auf die Fachdienste erstreckt, ist dieses Versprechen noch relativ leicht zu glauben.


Um diesem Versprechen in Bezug auf das Gesamtvorhaben Glauben zu schenken, muss man allerdings zusätzlich davon ausgehen, dass kein Befugter der Versuchung einer mißbräuchlichen Nutzung erliegt und dass die rechtlichen Rahmenbedingungen nicht im Nachhinein an neue staatliche Anforderungen angepasst werden.


2.3 Die aktuelle Situation

Auf Seiten der Leistungserbringer sind bereits zum jetzigen Zeitpunkt datenschutzrechtlich bedenkliche Situationen nicht selten. So wird bereits bei der Erhebung der Daten vielerorts weniger auf die Notwendigkeit geachtet als vielmehr darauf, alle Felder im jeweiligen KIS oder AIS zu füllen. Auf die Freiwilligkeit bestimmter Angaben werden die Patienten selten aufmerksam gemacht. Eher wird bei Rückfragen die Notwendigkeit der Erfassung bestätigt, auch wenn die Erhebung entsprechender Daten unzulässig ist. Diese Erhebung auf Vorrat widerspricht klar den Grundsätzen der Datensparsamkeit und Datenvermeidung.


Differenzierte Zugriffsregelungen sind ebenfalls oftmals nicht anzutreffen. Die Anforderung, Verwaltungspersonal dürfe nicht auf medizinische sondern ausschließlich auf abrechnungsrelevante Daten zugreifen, wird selten erfüllt. Das rührt zum einen daher, dass gerade in kleineren Einrichtungen eine flexible Vertretung ermöglicht werden soll, zum anderen werden mehr und mehr medizinische Daten abrechnungsrelevant.


Auch bieten die meißten Systeme vielfältige Möglichkeiten zum Druck verschiedener Listen und Auswertungen, von denen auch reger Gebrauch gemacht wird. Ein sehr großer Anteil enthält neben personenbezogenen auch medizinische Daten. Diese Listen werden häufig sorglos weitergegeben an Subunternehmer, die sicher einige Informationen zur Erfüllung ihrer Aufgaben benötigen, aber deutlich weniger umfangreiche, als weitergegeben werden. Eine Genehmigung zur Weitergabe dieser Informationen seitens der Patienten wird in der Regel nicht eingeholt. Üblicherweise findet an dieser Stelle auch keine datenschutzgerechte Entsorgung statt.


Ein weiteres Problem kann die Diskretion bei der Datenerhebung und Verarbeitung sein. Durch Erhebung von Daten und Erteilung von Auskünften an der Rezeption oder in Behandlungsräumen, die durch mehrere Patienten genutzt werden oder durch Wartebereiche vor dem Sprechzimmer wird unbefugten Personen oftmals die Kenntnissnahme personenbezogener oder medizinischer Daten ermöglicht. Weiterhin kommt es vor daß für Patienten Wartezeiten anfallen, manchmal auch in einem Behandlungsraum. Wird die dort befindliche Arbeitsstation nicht durch das Personal gesperrt, kann der wartende Patient unter Umständen problemlos auch auf sämtliche Daten anderer Patienten zugreifen.


Hierbei handelt es sich um Situationen, in denen durch Gedankenlosigkeit in der Regel ein relativ geringer Teil der Daten von Einzelpersonen zufällig von unbefugten Personen zur Kenntniss genommen wird. Von einem geplanten Mißbrauch ist an dieser Stelle selten auszugehen. Auch eine tatsächliche Schädigung eines Betroffenen ist hier selten. Aber auch eine gezielte Zweckentfremdung personenbezogener Daten zu anderen als Behandlungs- und Abrechnungszwecken ist medizinischen Leistungserbringern nicht unbedingt fremd. Es kommt vor, dass Patienten, Angehörige oder Zuweiser gezielt von den Einrichtungen oder deren Partnern angesprochen werden, sei es zu Werbezwecken oder zur Anbahnung wirtschaftlicher Kooperationen.


Die Tendenz zu sorglosem Umgang Patientendaten ist auch in Zusammenhang mit der Auftragsdatenverarbeitung durch externe Dienstleister zu beobachten. Bemerkenswert ist hier ein Vorfall aus dem Jahr 2005, wo Dokumentationsbögen aus Kostengründen unverschlüsselt über eine offene Datenleitung zur Verarbeitung nach Vietnam transferiert wurden. Aber auch wenn ein solcher spektakulärer Vorfall nicht die Regel darstellt oder zumindest selten publik wird, ist ein sorgloser Umgang mit diesen sensiblen Daten in kleinerem Rahmen doch nicht ungewöhnlich. Beispielsweise sind es oft Heimarbeiterinnen, die im Auftrag von Krankenhäusern Arztbriefe schreiben oder die Abrechnung erledigen. Auf Verschlüsselung oder Absicherung des Zugriffs in irgend einer Form wird, gerade in kleineren Häusern wegen Mangel an Fachpersonal, in den meisten Fällen verzichtet. Es kommt sogar vor, dass diesen Erfassern ein unbeschränkter Zugriff auf Daten der Patientenverwaltung und einige Subsysteme gewährt wird um eine zügige Bearbeitung zu gewährleisten.


So wird bereits jetzt der Schutz der Patientendaten untergraben. Da durch die Einführung der eGK diese Situationen nicht geändert werden, ist damit zu rechnen, dass auch die Verstöße weiter Bestand haben. Allerdings wird am Rande der Diskussionen um die Gesundheitskarte auch der Datenschutz thematisiert, was bei den Mitarbeitern im Gesundheitswesen zumindest zu einem erhöhten Problembewusstsein führen könnte. Im Gegenzug ist allerdings langfristig geplant, bestimmte Daten zumindest teilweise zentriert im Verantwortungsbereich von Spitzenorganisationen der Leistungserbringer vorzuhalten, was die Dimensionen eines möglichen Mißbrauchs bei unberechtigtem Zugriff auf diese Systeme drastisch erhöht.


Dass sich die Situation der Betroffenen in Bezug auf Erhebung und Nutzung ihrer Daten durch die Kostenträger verschlechtert ist ebenfalls unwahrscheinlich, da diese bereits jetzt äußerst umfangreiche Daten über ihre Versicherten vorhalten, deren Erhebung für sie nur teilweise zulässig ist. So besteht die Möglichkeit, zur Überprüfung von Einzelfällen den MDK unterstützend hinzuzuziehen, aber auch diesem steht eine Berichterstattung vom Umfang der vollständigen ärztlichen Dokumentation nicht zu. In der Praxis aber kann man den Eindruck gewinnen, dass es für die Kostenträger kein Problem darstellt, zugriff auf alle gewünschten Daten zu gewährt zu bekommen, teilweise wird sogar eine Übermittlung umfassender Angaben ohne gesonderte Aufforderung von erwirkt.


Eine Verbesserung der Situation ist lediglich in Bezug auf die Datenhoheit des Betroffenen im Hinblick auf sein Recht auf Auskunft mit Sicherheit zu erwarten. Durch Übertragung aller Daten in die geplante elektronische Patientenakte auf Wunsch des Versicherten erhält dieser erstmals ohne Umschweife und vor allen Dingen Erklärungsnot vollen Einblick in die ihn betreffende medizinische Dokumentation. Eine weitere mögliche Verbesserung könnte die Zugriffssteuerung durch den Patienten bei freiwilligen Anwendungen darstellen. Hier bleibt allerdings die konkrete Ausgestaltung, gerade im Rahmen der elektronischen Patientenakte, abzuwarten.


2.4 Risiken und Schutzmaßnahmen

Ein Problem bei der Konzeption von eGK und Telematikinfrastruktur besteht darin, dass von sicheren Primärsystemen ausgegangen wird, was zur Zeit aber nicht gegeben ist. Aber auch die eGK und Telematikinfrastruktur selbst werden als gefährdet angesehen. Es wird von vielen Seiten angemerkt, dass eine so umfangreiche Zusammenfassung hochbrisanter und wertvoller Daten ein derart lohnendes Angriffsziel abgibt, dass ein effektiver Schutz sich letztendlich als unmöglich herausstellen könnte. Beim direkt auf der eGK gespeicherten Notfalldatensatz, der zwar ein weniger lohnendes Ziel abgibt als die zentral gespeicherten gesammelten Gesundheitsdaten, aber dennoch nicht gänzlich unattraktiv ist, wurde bewusst auf Zugriffsbeschränkung und Verschlüsselung verzichtet.


Es wird auch befürchtet, dass die im Rahmen der eGK neu gewonnenen Informationen letztendlich zur Ausgrenzung von risikobehafteten Patienten und zur teilweisen Verweigerung von Leistungen ihnen gegenüber führen. Hier sind allein die rechtlichen Rahmenbedingungen sowie die mögliche Kundenfreundlichkeit des Versicherers entscheidend.


Eine andere Art Risiko stellt eine möglicherweise nicht ausreichende Kompetenz der Anwender im Umgang mit dem System und eine daraus resultierende falsche Verarbeitung und Deutung der Informationen dar. Hier wird im Rahmen der Einführung neuer Anwendungen eine umfangreiche Information und Schulung der Nutzer erforderlich sein.


Auch werden behinderte und pflegebedürftige Menschen zukünftig in einem weiteren Bereich von der Unterstützung anderer abhängig sein. Durch die Kenntniss der PIN und den Besitz der Karte werden die Helfer viel weitreichendere Möglichkeiten als bisher haben, über den hilfsbedürftigen Menschen ohne sein Wissen zu verfügen. Hier geht es nicht nur um unrechtmäßige Einsichtnahme und Weitergabe von Behandlungsunterlagen sondern auch um Patientenverfügungen oder Erklärungen zur Organspendebereitschaft. Solchen Problemen könnte beispielsweise durch separate Karten mit abgestuften Berechtigungen für Angehörige, Pflegepersonal oder Betreuer entgegengewirkt werden.


Gelangen beispielsweise Versicherer, Auskunfteien oder Arbeitgeber an medizinische Daten, kann das Auswirkungen auf deren Vertragsgestaltung mit Betroffenen und, bei einigen Erkrankungen auch deren Nachkommenschaft, haben. Gegen die massenhafte unberechtigte Beschaffung solcher Daten muss die Telematikinfrastruktur technisch abgesichert werden. In Einzelfällen könnte aber auch ein Betroffener unter Druck gesetzt werden, seine Daten zugänglich zu machen. Ein Vollzugriff von beliebigen Internet-Arbeitsplätzen aus, von dem bisher abgesehen wurde, würde es dem Betroffenen erschweren, solchem Druck standzuhalten. Im Falle von Versicherungsunternehmen, die ja gewisse Auskunftsrechte haben, könnte die von der ``Artikel 29 Datenschutzgruppe`` vorgeschlagene Versendung standardisierter Gesundheitsberichte hilfreich sein.


2.5 Erfahrungen mit der Gesundheitskarte

Die bisher bekannten Erfahrungen mit der deutschen eGK sind beim bisherigen Projektstand noch kaum aussagekräftig. Aus diesem Grund ist es sinnvoll, zusätzlich andere gesundheitstelematische Projekte aus dem In- und Ausland zu betrachten.


Von Labortests ist sehr wenig, wenn dann aber Positives zu lesen. Ähnlich verhält es sich mit Nachrichten aus den Testregionen, wo nach üblichen Startschwierigkeiten die Probleme schnell behoben wurden und im Anschluss die Karte wie vorgesehen nutzbar war. Ein Ersatz der alten Krankenversichertenkarte durch die offline-Version der eGK ist also möglich, es wurde allerdings durchweg ein erhöhter Zeitaufwand bei der Ausstellung und Bearbeitung von Verordnungen beklagt.Es ist allerdings bedauerlich, dass im Vorfeld der Ausgabe nur ein im Vergleich zum vollständigen Funktionsumfang der eGK geringer Ausschnitt getestet wurde. So können zu den wichtigen Fragen wie Verfügbarkeit der Telematikinfrastruktur, Vertraulichkeit der Daten oder dem tatsächlichen Nutzen der erweiterten Anwendungsmöglichkeiten keine Aussagen gemacht werden.


In einigen Nachbarländern wurden bereits elektronische Gesundheitskarten eingeführt. In Österreich befindet sich ein dem deutschen sehr ähnliches Projekt in einer weiter fortgeschrittenen Phase. Über die dort gemachten Erfahrungen soll hier kurz berichtet werden:

  • In Österreich ist die Entwicklung zu erkennen, dass Patienten ihre behandelndenden Ärzte über wichtige Sachverhalte nicht informieren, aus Befürchtungen hinsichtlich eines unzureichenden Datenschutzes.
  • Im Zuge der e-Card-Einführung wurden auch Daten zu Morbiditäts- und Risikofaktoren generiert, auf die auch Arbeitgeber und Versicherungsunternehmen Zugriff erlangen können.
  • Die Online-Abfrage von Versichertenstammdaten wird in einem Test-Krankenhaus erfolgreich betrieben. Hierbei gestalten sich die Antwortzeiten vom e-card Server für den Anwender als kaum wahrnehmbar und die Frage der Kostenübernahme kann zügiger geklärt werden.
  • Der Arbeitsmarktservice hat Zugriff auf gespeicherte Patientendaten und das Recht, diese weiterzugeben, ohne für den konkreten Einzelfall die Zustimmung des Betroffenen einholen zu müssen.
  • Einer Untersuchung zufolge wird durch die Karte Zeit eingespart. Die Quartalsabrechnung lässt sich schneller bewerkstelligen, bei der täglichen Arbeit mit den Patienten hat sich der administrative Aufwand durch die Karte erhöht.

Diese Beispiele zeigen, dass eine gewisse Skepsis gegenüber der eGK berechtigt ist.

==Diskussionen um die Gesundheitskarte ==


Vertreter der Ärzteschaft äußern sich eher skeptisch bezüglich der eGK. Ihre Skepsis bezieht sich in erster Linie auf medizinischen Nutzen und auf die Wirtschaftlichkeit, allerdings wird auch der Datenschutz häufig thematisiert. So wird beispielsweise dafür plädiert, von einer zentralen Speicherung der Patientendaten abzusehen und diese in möglichst kleinen Einheiten zu speichern. Bevorzugt wird dabei eine USB-Lösung, die vollständig in den Händen des Patienten verbleibt.


In der eGK wird allgemein kein Bestreben nach Verbesserung der Versorgung oder Förderung der Patientenautonomie sondern der Wunsch nach einer gläsernen Arzt-Patienten-Beziehung und dem Wunsch nach Steuerung des Behandlungsgeschehens gesehen. Außerdem wird gefordert, dass die Schaffung von Standards, der durch den Einsatz von IT und Telematikinfrastruktur gefördert wird, keinesfalls zu Lasten einer individuellen Behandung jedes einzelnen Patienten vorangetrieben werden darf. Auch soll die Entscheidung zur Teilnahme an der eGK den einzelnen Ärzten überlassen werden. Die Inhalte der eGK sollen nach dem Wunsch der Ärzteschaft ebenfalls überarbeitet werden. So sollte der Notfalldatensatz um Angaben zur Dauermedikation und zu Dauerdiagnosen erweitert werden. Eine Angabe, ob die Nutzung in dem Fall dem Patienten freigestellt werden sollte, erfolgt nicht. Und schließlich ist ein sicherer rechtlicher und technischer Rahmen zu schaffen. Insbesondere die konkrete technische Umsetzung muss dafür Sorge tragen, dass keinesfalls, auch nicht im Falle nachträglicher Änderung der rechtlichen Rahmenbedingungen, ein Zugriff von Seiten des Staates, der Kostenträger oder dritter interessierter Parteien auf die medizinischen Daten möglich ist.


Von Seiten der Ärzteschaft häufig kritisiert wird auch die Freiwilligkeit bei der Nutzung der medizinischen Anwendungen sowie die Datenhoheit des Patienten. Zum Einen wird den Patienten der Sachverstand abgesprochen, über die Bedeutung verschiedener Daten zu urteilen, zum Anderen müsse sichergestellt werden, dass der Patient nicht mit neuen Informationen, wie beispielsweise Laborberichten die dieser möglicherweise nicht deuten kann, allein gelassen wird. Als mögliche Lösung hierzu wird vorgeschlagen, neue Daten erst im Anschluss an eine Konsultation des Arztes zu veröffentlichen.


Zusammenfassend kann man in Bezug auf die Datenhoheit des Patienten sagen, dass diese in den Augen der Ärzteschaft als unangebracht und problematisch angesehen wird. Es ist im Gegenteil eher ein Bestreben zu erkennen, die Datenhoheit bei der Ärzteschaft anzusiedeln.


Im Implementierungsleitfaden des Deutschen Apothekerverbandes werden die Apothekensoftwarehäuser verpflichtet, die elektronische Gesundheitskarte entsprechend den GEMATIK-Vorgaben unter Berücksichtigung der in diesem Leitfaden dargestellten Anforderungen des AVS zu unterstützen. Einige Forderungen könnten in der Praxis allerdings Auswirkungen haben, die in Bezug auf den Datenschutz als kritisch anzusehen sind:

  • Es wird gefordert, jeden Zugriff auf die elektronische Gesundheitskarte im AVS detailliert zu protokollieren. Dem Anwender soll die Möglichkeit gegeben werden, dieses Zugriffsprotokoll nach den Kriterien, wer wann was getan hat, zu filtern und zu durchsuchen, was gute Möglichkeiten zur Mitarbeiterüberwachung bieten würde.
  • Es wird die Anzeige einer Liste aller auf einer elektronischen Gesundheitskarte gespeicherten Rezepte gefordert. Hierdurch wird dem Versicherten die Möglichkeit genommen, der Apotheke nur ausgewählte Verordnungen zur Kenntnis zu geben.
  • Enthält ein Rezept ein Löschkennzeichen, soll dem Anwender angezeigt werden, wo der Versicherte bereits erfolglos versucht hat, das Rezept einzulösen. Die Information, wo und wann er noch einkauft, geht deutlich über das hinaus, was Apotheken bisher über ihre Kunden bekannt war.
  • Die Apotheke soll in die Lage versetzt werden, Verordnungen von der elektronischen Gesundheitskarte zu löschen. Dies entspricht in etwa dem aktuellen Vorgang der Vernichtung eines Papierrezeptes, was bisher allein in der Hoheit des Versicherten lag. Sinnvoll wäre die Anforderung, dass dies automatisch nach dem erfolgreichen Einlösen einer Verordnung geschieht.
  • Dem Kunden sollen im Laufe der Einlösung Detailinformationen zu seiner Verordnung auf einem ihm zugewandten Display angezeigt werden. Durch mangelnde Diskretion könnten hier andere Kunden sehr leicht Kenntniss vom Inhalt der Verordnung erhalten.


Die gesetzlichen Krankenvericherer stellen die Vorteile der eGK heraus und geben sich Mühe, Bedenken hinsichtlich Datenschutz und Sicherheit zu zerstreuen oder treten gar versuchsweise mit einer eigenen Version einer Gesundheitskarte auf. Belange des Datenschutzes und der Sicherheit werden als vorbildlich gelöst angepriesen. Auf der Schulungsseite einer Krankenkasse zur eGK wird sogar ein geäußertes Unwohlsein hinsichtlich der Datensammlung seitens des Anwenders als Fehler angezeigt..


Bei den Patienten handelt es sich im Hinblick auf ihre Ansichten bezüglich der elektronischen Gesundheitskarte um die am wenigsten homogene Gruppe, was daran liegen mag, dass gesunde und kranke, ältere und jüngere und mehr oder weniger im Umgang mit Informationstechnologie versierte Personen unterschiedliche Voraussetzungen mitbringen und unterschiedliche Interessen vertreten.


So äußert sich der Sozialverband VdK, der allerdings auch als Beirat am Projekt der GEMATIK GmbH beteiligt ist, durchweg positiv. Die Befürchtungen, zum gläsernen Patienten zu werden, werden rigoros zurückgewiesen. Es wird ganz im Gegenteil von einer Verbesserung und einer Erhöhung von Transparenz und Sicherheit in Bezug auf die bisherige Situation gesprochen. Gleichzeitig wird aber auch die Nutzbarkeit der eGK für alle Versicherten, unabhängig von etwaigen Beeinträchtigungen wie beispielsweise einer Behinderung, angemahnt.


Es hat allerdings den Anschein, dass die Informationspolitik des VdK nicht im Interesse all seiner Mitglieder ist. So erhebt ein vermeintliches Mitglied in einem offenen Brief an den Vorstand des VdK einige Vorwürfe hinsichtlich Entscheidungsfindung und der Haltbarkeit verbreiteter Informationen:

  • Es wird bemängelt, dass die Mitglieder nicht in die Entscheidung, für die Akzeptanz der elektronischen Gesundheitskarte zu werben, einbezogen wurden.
  • Die Wirksamkeit der Zugrifsregelung durch den Patienten und dessen Information über erfolgte Zugriffe wird angezweifelt. Es wird grundsätzlich bezweifelt, dass die vollständige Akte dem Patienten zugänglich gemacht wird und er tatsächlich über sämtliche Zugriffe informiert wird, da sich die Wahrheit dieser Angaben seiner Kontrolle entzieht.
  • Es wird gemutmaßt, dass bei der Auswahl der Testteilnehmer dem Projekt freundlich gesonnene Patienten und Organisationen bevorzugt wurden.
  • Es wird unterstellt, dass bei der Einführung der elektronischen Gesundheitskarte wirtschaftliche Interessen und ein Interesse an der Steuerung der Gesundheitsleistungen Vorrang haben vor dem Gemeinwohl.
  • Zuletzt wird die Versprechung, die Gesundheitskarte sei für Versicherte kostenfrei, die Kosten übernehme die Krankenkasse belächelt, da sich diese ja in erster Linie aus den Beiträgen ihrer Versicherten finanziert.

Dieser Beitrag trifft den Kern der Sorgen vieler Bürger, denen diese neue, sehr umfangreiche Datensammlung Angst macht. An anderer Stelle wird sogar die Absicht unterstellt, die Funktionsweise nach erfolgter Einführung der elektronischen Gesundheitskarte dahingehend zu ändern, dass nach Prüfung von Kosten und Morbiditätsfaktor bei bestimmten Patientengruppen Einsparungen erzwungen werden.


An anderer Stelle wird die Einführung der elektronischen Gesundheitskarte grundsätzlich positiv gesehen. So sind einer Erhebung von Forsa im Auftrag von BITKOM zufolge die meisten Versicherten noch immer willens, ihre medizinischen Daten auf der Karte speichern zu lassen. Hierbei sind hauptsächlich die Notfalldaten sowie die Arzneimittelsicherheit gemeint. Unsicherheit besteht hiernach kaum. Die Schutzmechanismen, die Protokollierung und die Speicherung der Daten wird als deutliche Verbesserung gegenüber dem aktuellen Zustand herausgestellt und unter Verweis auf eine Studie von BITKOM als nicht verbesserungsfähig dargestellt. Vor allen Dingen die Tatsache, dass die Krankenkassen keinen Zugriff auf die Daten haben, findet wohlwollende Erwähnung. Eine andere Umfrage, eine Online-Befragung von Privatsphäre.Org, die aber sicher auch ein anderes Publikum erreicht hat, kam zu einem genau gegenteiligen Ergebnis. Hier hatten fast alle Teilnehmer große Bedenken bezüglich der Sicherheit der Daten und kaum jemand war zur Nutzung der freiwilligen Anwendungen bereit.


Auch der vorübergehenden Zusammenführung von Sozialversicherungsnummer und Krankenversicherungsnummer, die vorbereitend zur Einführung der eGK mit dem Ziel einer eindeutigen, lebenslangen Patientenidentifikation durchgeführt werden soll, wird kein umfassendes Vertrauen entgegengebracht. Obwohl das vorgesehene Verfahren den Segen der Datenschutzbeauftragten gefunden hat, wird befürchtet, dass durch Zusammenführung von Gesundheits- und Sozialdaten vollständige Profile der Bürger erstellt werden können.


Dass der Patient umfassende Einsicht in seine medizinischen Daten erhalten sollte, wird grundsätzlich bejaht. über die Art der Einsichtnahme herrscht allerdings keine Einigkeit.

  • Die Möglichkeit der Einsichtnahme unter Aufsicht und mit Unterstützung des Arztes hat den Vorteil, dass mögliche Fragen zu den Dokumenten umgehend geklärt werden können und der Patient nicht mit der Interpretation der Daten allein gelassen ist.

Es besteht allerdings der Nachteil, dass für die Einsichtnahme ein Arzttermin erforderlich ist. Hier konnte aber wohl fast jeder Patient die Erfahrung machen, dass die wenigsten Ärzte daran interessiert sind, den Patienten umfangreiche Erklärungen abzugeben. Außerdem wird bei dieser Regelung das Einholen einer Zweitmeinung erschwert, da der Patient immer wieder in die Lage kommen kann, sich rechtfertigen zu müssen.

  • Die Einsichtnahme der Daten am heimischen PC wird von versierten Nutzern als sehr angenehm empfunden, zumal der Leser hier die Möglichkeit hat, die Daten in Ruhe zu lesen und leicht zusätzliches Informationsmaterial, sei es über Fachbücher oder über das Internet, zu beschaffen. Auch besteht hier die Möglichkeit, die Befunde mit nahestehenden Personen gemeinsam zu betrachten und zu besprechen.

Dies kann aber gleichzeitig zu einem Nachteil bei dieser Lösung werden, wenn es dem Patienten schwer fällt sich gegenüber diesen Personen abzugrenzen und diese von der Lektüre der Daten auszuschließen. Auch eine möglicherweise unsichere heimische IT-Landschaft kann zu zusätzlichen Risiken führen. Insbesondere dieser Punkt führt zu Unstimmigkeiten zwischen Datenschützern und Verbraucherschützern. Weiterhin ist es bei dieser Lösung am einfachsten, Druck auf den Patienten auszuüben, seine Daten preiszugeben, beispielsweise von Seiten der Arbeitgeber oder durch Versicherungsunternehmen.

  • Der Zugriff über öffentlich aufgestellt Terminals mit sicherem Datenzugang und in anonymer Umgebung, wird als gängiger Kompromiss angesehen. Befinden sich diese Terminals bei Leistungserbringern oder anderen fachkompetenten Stellen, wäre auch im Bedarfsfall eine zusätzliche Beratung möglich.

Ein Nachteil wäre allerdings, dass unter diesen Umständen ein Zugang für weniger mobile Menschen erschwert würde. Und auch die IT-Landschaft könnte bei dieser Lösung, abhängig vom Betreiber eines solchen Terminals, im Vergleich zur heimischen Umgebung, nicht minder risikobehaftet sein.


Außerdem wird auch von Seiten des Verbraucherschutzes das Risiko gesehen, dass eine Datenhoheit der Patienten zwar einerseits ermöglicht wird, aber andererseits mit der Zeit durch finanzielle Druckmittel wie höhere Beitragssätze erschwert werden könnte, wenn nicht alle Daten allgemein zur Verfügung gestellt werden.


Der Datenschutzbeauftragte des Landes Schleswig-Holstein beschäftigte sich bereits 2005 mit dem Thema und stellte Anforderungen, die denen im Katalog der ``Artikel 29 Datenschutzgruppe`` der EU sehr ähneln, wobei er insbesondere die informationellen Rechte der Informationsfreiheit und des Vertraulichkeitsschutzes herausstellte. Dieser Vertraulichkeitsschutz ist seiner Ansicht nach ein zentraler Aspekt bei modernen IT-Projekten. Er sieht die Vertraulichkeit zwischen Arzt und Patienten als Grundbedingung für den Heilerfolg, da ein Patient, der die Weitergabe seiner Daten befürchten muss, möglicherweise zögern könnte, für Diagnose oder Behandlung relevante Informationen preiszugeben. Aus diesem Grunde muss die Freiwilligkeit der medizinischen Anwendungen unter allen Umständen gewahrt bleiben.


Um dies zu bewerkstelligen, muss es gelingen, das Vertrauen in den Arzt um Vertrauen in die Technik zu erweitern. In diesem Zusammenhang stellt er die Rolle der Informatiker heraus, von denen er erwartet, nicht in erster Linie einen leicht erzielten Gewinn anzustreben, sondern aktiv ein System zu erarbeiten, das dieses Vertrauen rechtfertigt. Hierzu regt er die Beachtung folgender Grundsätze an:

  • Ein hohes Maß an Transparenz, falls erforderlich bis hinein in die Quellcode-Ebene.
  • Der Entwurf soll dem Grundsatz der Datensparsamkeit und Datenvermeidung gerecht werden.
  • Daten sollen vor unberechtigtem Zugriff durch Verschlüsselung und Pseudonymisierung geschützt werden.
  • Die Ablage soll derart organisiert sein, dass von Seiten der Systemadministration keine Informationen über Patienten gewonnen werden können.
  • Datenerhebung und Nutzung soll vollständig protokolliert werden. Der Patient ist hierüber umfassend zu informieren.
  • Die Wahlrechte des Patienten sollen verwirklicht werden.
  • Berechtigungen für Lese- und Schreibzugriffe sollen einerseits die Vorgaben des Patienten, andererseits die Erfordernisse der Behandlung berücksichtigen.
  • Die Anwendung soll für Patienten und Behandler gut handhabbar sein. Hierbei sollen insbesondere die speziellen Bedürfnisse älterer oder behinderter Menschen berücksichtigt werden.


Die Konzeption der elektronischen Gesundheitskarte sieht er, auch hinsichtlich des Datenschutzes, als wohl durchdacht an, bemängelt jedoch, dass eine unabhängige Auditierung hinsichtlich technischer und organisatorischer Vorgaben und Umsetzungsschritte nicht vorgesehen ist. Gleichzeitig stellen sich für ihn aber das Misstrauen und die Befürchtungen eines Verlustes der Vertraulichkeit von Seiten der Ärzte und Patienten als berechtigt dar, da die Möglichkeiten der Auswertung und Kontrolle durch das Projekt in großem Umfang wachsen würden. Hier führt er frühere Bestrebungen von Seiten der Gesetzgebung, das Behandlungsverhalten der Leistungserbringer transparenter und kontrollierbarer zu machen sowie die Klassifikation von Versicherten anhand von Morbiditätsfaktoren, an. Mit diesem Vortrag sind die Stellungnahmen der Datenschutzbeauftragten, auch aktuellere, recht zutreffend zusammengefaßt.


3 Wirtschaftliche Interessenslage

Bei der Einführung der elektronischen Gesundheitskarte liegen die wirtschaftlichen Interessen von Krankenversicherungen und medizinischen Leistungserbringern, Vereinfachung von Arbeitsabläufen, erhöhte Behandlungssicherheit, Überwachung und Steuerung der Behandlungsabläufe sowie der Datenschutz auf Seiten von Versorgern und Patienten miteinander im Wettstreit. Außerdem berührt das Projekt natürlich das wirtschaftliche Interesse vieler Dienstleister.


Aus den zusammengefassten Veröffentlichungen der Ärzteschaft lässt sich erkennen, dass niedergelassene Ärzte massive finanzielle Nachteile befürchten. Diese reichen von Kostensteigerungen durch zeitaufwändigere Arbeitsschritte bis hin zu Kürzungen bei den Leistungsbezügen und Verlust ihrer Behandlungsautonomie in Folge von Überwachung ihrer Behandlungsabläufe durch Staat und Krankenversicherung. Auch wird befürchtet, dass Patienten ihre Leistungen zögerlicher in Anspruch nehmen, sobald deren Behandlungsdaten in einem aus ihrer Sichtweise nicht vertrauenswürdigen System gespeichert werden.


Auf Seiten der Kostenträger sieht die Lage anders ans. Diese können mit deutlichen Einsparungen rechnen. Auf Seiten der Kostenträger und der IT-Dienstleister ist der größte finanzielle Nutzen zu erwarten. Dessen ist sich auch die Ärzteschaft bewusst. Im Anschluss an die erste Testphase wird in einem Positionspapier der Bundesärztekammer gefordert, dass Ärzte umfassend durch die Nutznießer der elektronischen Gesundheitskarte zu vergüten sind, wenn ihnen kein ökonomischer Nutzen durch die jeweiligen Anwendungen nachgewiesen werden kann.


Da die Kosten des Projekts bereits bei ersten optimistischen Schätzungen des BMGS mit mindestens 1,4 Milliarden Euro beziffert wurden und an anderer Stelle mit Kosten von bis zu 3,8 Milliarden Euro gerechnet wird, wobei der tatsächliche Betrag aber noch höher liegen könnte, stellt dieses Projekt auch für die IT-Unternehmen eine interessante Einnahmequelle dar. Und tatsächlich ist auch die überwiegende Mehrzahl der namhaften Hersteller von Arzt- und Krankenhaussoftware, von denen durch Primärsysteme und Konnektoren oder Beratungs- und Schulungsdienstleistungen etwa die Hälfte des Umsatzes generiert werden kann, so wie viele andere bekannte Unternehmen als Partner in diesem Projekt vertreten.


So kündigen IT-Unternehmen und Krankenkassen eigene Projekte bezüglich der Speicherung von Patientendaten und deren Abruf über das Internet an, wobei verschiedene Modelle erprobt werden, von elektronischen Patientenakten unter Hoheit der Patienten bis zu Fallakten, die hoheitlich von der Ärzteschaft verwaltet werden. In wieweit der Datenschutz im Rahmen dieser Projekte eine Rolle spielt, bleibt häufig offen.


Aber auch Unternehmen, die nicht in erster Linie für ihr Engagement im Gesundheitswesen bekannt sind, möchten an den Erlösen, die dieses Projekt ermöglicht, partizipieren. So sieht die Deutsche Post für sich beispielsweise Verdienstmöglichkeiten im Antragsmanagement, also der Gestaltung, dem Druck und dem Versand der Patientenanschreiben sowie der Bearbeitung der darauffolgenden Reaktionen, im Versand der elektronischen Gesundheitskarte sowie Generierung und Versand der PIN und in Dienstleistungen ihres Trustcenters im Rahmen der Ausgabe der Heilberufeausweise.


Weiterhin bieten sich die Apotheken an, Terminals für den eKiosk-Zugang der Patienten in ihren Geschäftsräumen aufzustellen und in diesem Zusammenhang für mögliche Beratungsgespräche zur Verfügung zu stehen. Auch Ärzte betonen immer wieder, dass Patienten ihre Betreuung bei der Einsichtnahme in die medizinischen Daten und die Verfügung darüber benötigen. Für diese Leistungen bieten sich außerdem Verbraucherschützer und Patientenvertretungen an. Diese Dienstleistung stellt für alle möglichen Erbringer ein neues Geschäftsfeld dar, und soll mit Sicherheit nicht ohne Vergütung erbracht werden.


Diese Aussichten sind es Wert, für die Akzeptanz der Bürger und Leistungserbringer zu werben. Neben den Lobeshymnen, die BMGS, GEMATIK GmbH und die Krankenversicherer regelmäßig auf die Verbesserungen für Patienten und Leistungserbringer singen, lobt der Branchenverband BITKOM in seinen Expertisen das vorbildliche Engagement der IT-Industrie und betont den geringen Aufwand, den die Umstellung auf die elektronische Gesundheitskarte, unter optimalen Gegebenheiten, für einen Leistungserbringer bedeuten kann. Aber auch einzelne Software-Anbieter sparen nicht mit positiven Äußerungen. So lobt beispielsweise die LAURER-FISCHER GmbH, ein Hersteller von Apothekensoftware, die datenschutzkonforme Umsetzung der elektronischen Gesundheitskarte ebenso wie deren Berücksichtigung in eigener Software. Ausserdem spricht sie ihre Anerkennung für Bemühungen der Apotheken um Datenschutzbelange in der Vorbereitung auf die Einführung der elektronischen Gesundheitskarte aus, wie die Bestellung externer Datenschutzbeauftragter. So würde dem Apothekenpersonal der Datenschutz nähergebracht und als fester Bestandteil in die Arbeitsabläufe sichtbar für den Kunden integriert, wodurch die Angst vor dem gläsernen Patienten abgebaut würde. Profitiert auf der einen Seite die IT-Industrie wirtschaftlich von diesem Projekt, ist es auf der anderen Seite erforderlich, Einigkeit über die Verteilung der Kosten zu erzielen. So sind auf Seiten der Leistungserbringer Aufwendungen für Investitionen erforderlich, die bezuschusst werden sollen. Die endgültige Höhe der Zuschüsse muss allerdings noch verhandelt werden. Es ist geplant, dass der Großteil der gesamten Kosten von den Krankenkassen und damit letztendlich von den Versicherten übernommen werden soll. Hier fordert der Sozialverband VdK jedoch den Bund auf, einen Teil der finanziellen Last zu übernehmen.


Aber auch an der Zweckentfremdung der Daten besteht ein wirtschaftliches Interesse. So werden von Seiten einiger Ärzte Zahlungen von der Pharmaindustrie von bis zu 150 Euro für einen DMP-Datensatz für realistisch gehalten. Ein vollständiger Auszug aus der elektronischen Gesundheitskarte, der viel umfangreicher sein kann, dürfte also mindestens ebensoviel Wert sein. Als Hauptabnehmer kämen die Pharmaindustrie, Versicherungsunternehmen, Adress-Broker oder Wirtschaftsauskunfteien in Frage. Unter diesen Umständen ist die Versuchung, diese Daten unbefugt weiterzugeben, nicht zu unterschätzen.


4 Sonstige Interessen

Von Seiten der Patienten wird grundsätzlich ihre Datenhoheit begrüßt. Außerdem soll die Bedienung des Systems auch für nicht sonderlich versierte oder gar behinderte Personen einfach und übersichtlich sein. Die Daten sollen im Bedarfsfall schnell und ohne viel Aufwand abrufbar, gleichzeitig aber besonders sicher und vor unbefugtem Zugriff gut geschützt sein. Schon dies kann einen Widerspruch in sich darstellen. Befürchtet wird auch, dass die gesammelten Daten nicht pseudonymisiert sondern personenbezogen ausgewertet und daraufhin teure Patienten vermehrt schlechter behandelt werden, was ja bereits jetzt in Einzelfällen vorkommt.


Von Seiten der Ärzteschaft wird hier besonders eine einfache Verarbeitung sowie schneller Zugriff favorisiert. Ein anderer wichtiger Punkt ist die Vollständigkeit der Dokumentation, was in Konflikt mit der Zugriffsregelung durch die Patienten steht. Zudem wird von der Ärzteschaft immer wieder eine stärkere Überwachung und Steuerung von Seiten der Krankenversicherer und des Staates befürchtet, was ihrem Wunsch nach Behandlungsautonomie entgegensteht.


Auswertungen der Daten sind zu Forschungszwecken und zur Steuerung des Gesundheitswesens interessant für Krankenversicherer, Staat, Hersteller von Medizintechnik und Pharmaindustrie. Zu diesem Zweck sind nach offiziellen Angaben anonyme Auswertungsmöglichkeiten vorgesehen.


Weitere Interessen wie beispielsweise Anliegen, den Notfalldatensatz zu erweitern, von der Freiwilligkeit bei der Nutzung der erweiterten Anwendungen abzurücken oder Angaben zur Organspendebereitschaft in den Pflichtteil aufzunehmen, werden von Zeit zu Zeit geäußert, von Gegnern und Befürwortern in der Regel medienwirksam diskutiert und innerhalb kurzer Zeit häufig wieder vergessen.

5 Schlussbetrachtung

Den Empfehlungen der ``Artikel 29 Datenschutzgruppe`` kann voll zugestimmt werden. Es ist auch zu erkennen, dass diese in weiten Teilen im Rahmen der Telematikinfrastruktur umgesetzt werden sollen. Allerdings sind einerseits die rechtlichen Rahmenbedingungen insbesondere im Datenschutzrecht sehr unübersichtlich, da nicht nur das hier dargestellte BDSG Anwendung findet, sondern, falls dort für spezifische Anwendungsfälle Regelungen getroffen wurden, vorrangig Länderrecht und gegebenenfalls Gesundheitsdatenschutzrecht oder die Berufsordnung für Ärzte. Andererseits besteht vielfach Unsicherheit, dass bestehendes Recht geändert werden und einer durch die Betroffenen nicht beabsichtigten und nach jetziger Rechtslage auch nicht voraussehbaren Nutzung Tür und Tor geöffnet wird.


Dieses Misstrauen dem Staat gegenüber erstaunt nicht, wenn man einige in der letzten Zeit von Seiten der Politik diskutierte Sachverhalte bedenkt. Nachdem beispielsweise die Mautdaten ursprünglich nur zu Abrechnungszwecken erhoben werden sollten, wurde kurz nach Einführung des Systems bereits über deren Verwendung im Rahmen der Strafverfolgung nachgedacht. Bedenkt man, dass zeitnah ein neuer digitaler Personalausweis, die JobCard, und die eGK mit neuer lebenslanger Versichertennummer, zu deren Vergabe ein Abgleich mit der Sozialversicherungsnummer erforderlich ist, eingeführt werden und dass die Zugriffsmöglichkeiten der Finanz- und Sozialbehörden auf Bankdaten massiv erweitert wurden, kann dies den Verdacht nahelegen, dass Möglichkeiten zu umfassender Profilbildung der Bürger geschaffen werden sollen. Auch wenn die Datenbestände getrennt sind und der Bürger jeweils gesondert identifiziert wird, ist eine Zusammenführung doch über Merkmalkombinationen wie Name, Geburtsdatum und -Ort machbar. Bestrebungen nach geheimen Online-Durchsuchungen und Äußerungen in diesem Zusammenhang, die den Bürger grundsätzlich unter Generalverdacht stellen, schüren zusätzliches Misstrauen.


Wenig vertrauenserweckend ist auch die Tatsache, dass der Datenfluss für den Bürger nicht kontrollierbar ist. Er wird darauf vertrauen müssen, dass die Informationen, die er bezüglich der Zugriffe auf seine Daten erhält, korrekt und vollständig sind. Dieses Vertrauen ist nicht sehr stark ausgeprägt und ob es regelmäßige unabhängige Datenschutzaudits für den Betrieb der gesamten Telematikinfrastruktur, die dieses Vertrauen stärken könnten, geben wird, ist zur Zeit ungewiss. Es ist trotz vielfachen Bedauerns von Seiten der Datenschutzbeauftragten seit mehreren Jahren und Ankündigung durch die GEMATIK GmbH, noch immer kein Datenschutzkonzept für die Telematikinfrastruktur der eGK erarbeitet worden.


Außerdem kann aufgrund unterschiedlicher Anforderungen von Leistungserbringern und Patienten eine parallele Dokumentation in den Primärsystemen der Einrichtungen, arztgeführter Fallakte und Patientenakte der eGK unter der Hoheit des Versicherten nicht ausgeschlossen werden. Dies trägt weder zu Datensparsamkeit und Transparenz noch zur Kostensenkung bei. Es ist im Gegenteil sogar möglich, dass sich der Dokumentationsaufwand hierdurch deutlich erhöht, da Dokumente abhängig vom Adressaten anders ausgearbeitet werden.


Wenn die elektronische Gesundheitskarte in den nächsten Jahren in Betrieb genommen und erfolgreich ausgebaut werden soll, muss eine solide Vertrauensbasis zwischen allen Beteiligten, besonders zwischen Patienten, Medizinern, Informatikern und Datenschutzbeauftragten, aufgebaut werden. Ein guter Schritt auf dem Weg dorthin bestünde in Offenheit durch Betreiber und IT-Dienstleister sowie in regelmäßigen unabhängigen Datenschutz-Audits. Gleichzeitig ist es an der Zeit, dass auch der Staat, insbesondere einzelne Regierungsorgane, eine Vertrauensbasis zu den Bürgern aufbauen und diese durch Äußerungen und Verhalten rechtfertigen. Um dies zu erreichen, sind Bemühungen um verstärkte, zum Teil ungerechtfertigte, Überwachungsmöglichkeiten und die zur Zeit vorhandene Bereitschaft, bestehendes Recht zu Ungunsten des Datenschutzes zu ändern, nicht hilfreich. Ein dauerhafter Schutz der medizinischen Daten im Sinne der Betroffenen muss im Vorfeld unbedingt zuverlässig sichergestellt werden.


Es darf aber bezüglich Verwendung und Qualität der medizinischen Daten auch nicht auf falsche Voraussetzungen aufgebaut werden. Die elektronische Gesundheitskarte sollte als Instrument zur Förderung der Autonomie der Patienten angesehen werden und kann, darf und wird die bisherige Dokumentation unter der Hoheit des Arztes sowie notwendige Untersuchungen nicht ersetzen.


6 Literatur

  • Christian Blake / Bernd Bobel / Peter Münch: Datenschutz und Datensicherheit im Gesundheits- und Sozialwesen, 2. Auflage, ISBN 3-8957-7293-3
Von „http://winfwiki.wi-fom.de/index.php/Elektronische_Gesundheitskarte
Persönliche Werkzeuge