Aus Winfwiki

Inhaltsverzeichnis 1 Einleitung 2 Die Telematikplattform für das Gesundheitswesen 2.1 Architektur 2.2 Datenhaltung 2.3 Einflussnahme durch den Versicherten 2.4 Zugangsberechtigung / Zugangsmechanismen 3 Anwendungen 3.1 Verpflichtende Anwendungen 3.1.1 Versichertendaten 3.1.2 Europäischer Gesundheitsausweis 3.1.3 eRezept 3.2 Freiwillige Anwendungen 3.2.1 Notfalldaten 3.2.2 ePatientenakte 3.2.3 eArztbrief 3.2.4 eFallakte 4 Missbrauch/ potentielle Angriffspunkte 4.1 Gezielte Netzwerkangriffe 4.2 Datenspeicherung beim „Dienstleister“ 4.3 Anwenderfehler 4.4 Diebstahl 4.5 Ausspionieren von Daten 4.6 Manipulation von Karten und Geräten 5 Mögliche Auswirkungen des Datenmissbrauchs 5.1 Data Mining 5.2 Weitere Missbrauchsszenarien 6 Fazit/ Schlussbetrachtung 7 Literatur-/ Quellenangaben

1 Einleitung

Das deutsche Gesundheitswesen leidet seit Jahren unter wachsendem Kostendruck bei gleichzeitiger Ineffizienz und Intransparenz im Verwaltungswesen der Arztpraxen und Kassenärztlichen Vereinigungen sowie der medizinischen Versorgung. Hier werden hohe Rationalisierungseffekte erwartet, die laut einer Studie der Boston Consulting Group mit einem jährlichen Einsparpotential von mindestens 7 Milliarden Euro (das entspricht 3% der deutschen Gesamtausgaben) für den Staat prognostiziert werden^[1].

Im November 2003 verabschiedete die Bundesregierung das „Gesetz zur Modernisierung der gesetzlichen Krankenversicherung“, welches vorsieht, dass eine elektronische Gesundheitskarte die bisherige Krankenversichertenkarte ablöst ^[2].

Diese Karte repräsentiert das zentrale Element einer innovativen Telematikinfrastruktur im Gesundheitswesen, die sämtliche relevante Institutionen miteinander verbindet. Betroffen davon sind rund 200.000 niedergelassene Ärzte, 22.000 Apotheken, mehr als 2.000 Krankenhäuser und fast 300 Krankenkassen außerdem etwa 80 Millionen Versicherte^[3].

Neben der notwendigen Kostensenkung, erwarteten und erhöhter ist erklärtes Ziel, die der medizinischen Versorgung zu verbessern und die zu stärken.

Das Projekt gilt als eines der größten Vorhaben der weltweit^[4].

2 Die Telematikplattform für das Gesundheitswesen

In diesem Kapitel wird ein Überblick über die geplante Telematikinfrastruktur mit dem zugeordneten Datenhaltungskonzept gegeben. Ferner werden Steuerungsmöglichkeiten des Versicherten dargestellt, auf eigene Daten zuzugreifen bzw. Heilberufler zum Zugriff zu berechtigen oder davon auszuschließen.

2.1 Architektur

Die nachfolgende Abbildung stellt die vom bIT4health -Konsortium (bestehend aus IBM, Fraunhofer, SAP, ICW und ORGA) entwickelte, hoch skalierbare und anpassbare serviceorientierte Lösungsarchitektur dar.

Abbildung 1: "Übersicht über die Lösungsarchitektur“^[5]

An den verschiedenen Access Points (Zugangspunkten) fungiert ein Konnektor (von bIT4health) als Schnittstelle zum individuellen Apothekenverwaltungssystem (AVS), Krankenhausinformationssystem (KIS) oder Patientenverwaltungssystem (PVS), den eKiosken und Internet-Anwendungen sowie zu den angebundenen Kartenterminals. Hierüber erfolgt der Zugriff auf die elektronische Gesundheitskarte des Versicherten, den Heilberufsausweis (HBA) und ggf. zusätzlich genutzte SmartCards (SMCs). Nicht-medizinische Anwendungssysteme, wie der Privat-PC oder ein eKiosk nutzen statt des HBAs eine spezielle kryptografische Identität, mit der sie sich innerhalb der Telematikinfrastruktur authentifizieren ^[6].

Eine an den Konnektor angebundene VPN-Box baut einen sicheren Zugang zur Kommunikationsinfrastruktur auf. Dort gewährleistet ein Access Gateway den Schutz vor dem Zugriff von nicht autorisierten (registrierten) Stellen ^[7].

Durch Auswerten der Zertifikatsinformationen steuern anschließend die Service Gateways die Zuweisung dedizierter VPNs, über die wiederum nur spezielle Anwendungsdienste aufgerufen werden können. Diese nutzen eine Zugangs- und Integrationsschicht (ZIS), die sowohl die Zugriffsrechteverwaltung für die Anwendungsdaten realisiert als auch den konkreten Zugang zu den Daten, die sich auf verteilten Systemen befinden ^[8].

Datenverteilung und Anwendungen sind damit aus Sicherheitsgründen aber auch aus Gründen der Erweiterbarkeit voneinander gekapselt ^[9]

Einen Sonderzugriff ohne Telematikinfrastruktur auf den Versichertenstammdatendienst besitzen die Krankenversicherungen, da sie die Datenhoheit haben ^[10].

2.2 Datenhaltung

Die Bereitstellung medizinischer Datenobjekte (für die Anwendungen eRezepte, Arzneimitteldokumentation, Eintrag aus der Patientenakte, etc.) stellt die Kernaufgabe der Telematikinfrastruktur rund um die elektronische Gesundheitskarte dar. Abhängig von Datenhoheit und Sicherheitsaspekten erfolgt die Verwaltung dieser Datenobjekte innerhalb oder außerhalb der Telematikinfrastruktur. Insbesondere Anwendungsdaten, die der Hoheit des Versicherten unterliegen, befinden sich innerhalb der Telematikinfrastruktur. Zugriff auf angeforderte Daten erfolgt grundsätzlich über den entsprechenden Anwendungsdienst, der einem dedizierten Rechtemanagement unterliegt^[11].

Der eKiosk als quasi-öffentliches Zugriffsmedium mit PIN-Authentifizierung des Versicherten unterliegt besonderen sicherheitskritischen Anforderungen – anders als die Primärsysteme der Leistungserbringer oder der Privat-PC des Versicherten –, weshalb er ebenfalls innerhalb der Telematikinfrastruktur angesiedelt ist^[12].

Veränderungen an den Notfalldaten oder Zugriffsberechtigungen sowie der Aufruf von Anwendungen wie ePatientenakte oder eArztbrief kann nur durch Eingabe der PIN und Verwendung eines HBAs – also im Beisein eines Arztes – erfolgen.

2.3 Einflussnahme durch den Versicherten

Konzeptionell soll die Hoheit über die gespeicherten medizinischen Daten beim Patienten liegen^[13]. Der Patient entscheidet sowohl darüber, welche Daten auf dem zentralen Server gespeichert werden als auch welche (medizinische) Dienstleister auf diese zugreifen dürfen. Veränderungen an den Notfalldaten oder Zugriffsberechtigungen sowie der Aufruf von Anwendungen wie ePatientenakte oder eArztbrief kann jedoch nur durch Eingabe der PIN und zusätzlicher Verwendung eines HBAs – also im Beisein eines Arztes – erfolgen. Eine Ausnahme bilden die Notfalldaten insofern, als dass diese direkt auf der Karte abgelegt sind und nur unter Verwendung eines HBAs ausgelesen werden dürfen, d.h. die PIN des Patienten wird z.B. im Falle einer Verunfallung nicht benötigt. Der Zugang zu diesen Daten erfolgt mittels Zweischlüsselprinzip.

2.4 Zugangsberechtigung / Zugangsmechanismen

Abbildung 2: "Der Zugang zu Ihren Daten"^[14]

Der Zugriff auf administrative und medizinische Datenobjekte über die elektronische Gesundheitskarte erfolgt teilweise unter Einforderung der PIN. Beim Lesen von Versichertendaten, die in der Datenhoheit der Krankenversicherungen liegen und dort verwaltet werden, genügt die Versichertenkarte. Beim lesenden Zugriff auf die Notfalldaten wird lediglich zusätzlich ein HBA benötigt. Für einen lesenden Zugriff des Versicherten auf seine Rezepte benötigt er die PIN. Der Apotheker kann jedoch auf ein eRezept unter zusätzlicher Verwendung seines HBAs ohne die PIN des Versicherten zugreifen. Zum Löschen von eRezepten benötigt der Versicherte ebenfalls den HBA eines Apothekers oder Arztes.

3 Anwendungen

Die Anwendungen der elektronischen Gesundheitskarte werden im Paragraph 291a Absatz 1-3 SGB V in verpflichtende und freiwillige unterschieden, wobei letztere bei der geplanten Einführung der Gesundheitskarte zum Teil noch nicht implementiert sind, und in einem mehrphasigen System nacheinander eingeführt werden. Zuerst werden die verpflichtenden Anwendungen umgesetzt. Bei der geplanten Einführung am 01.01.2006 sollte zunächst Phase 1a beginnen. In dieser Phase ersetzt die elektronische Gesundheitskarte die bisherige Karte der Krankenkassen. Es wird eine Versicherungsnummer und Krankenkassendaten (z.B. ob der Patient für bestimmte Leistungen zuzahlen muss) vermerkt sein. Zusätzlich wird auf der Karte ein europaweit gültiger Versicherungsnachweis nach E111 integriert sein. Da für diesen noch keine Spezifikation zur elektronischen Umsetzung existiert, wird dieser zunächst maschinenlesbar auf der Rückseite aufgedruckt. Weiterhin kommen als zusätzliche Elemente noch die Angabe des Geschlechts und ein Lichtbild hinzu. Das Lichtbild erübrigt die Verifikation durch Vorlage des Personalausweises und ermöglicht z.B. bei Unfällen auch die Identifizierung des Besitzers bei Bewusstlosigkeit oder Tod.

In der zweiten Phase wird das elektronische Rezept (eRezept), eingeführt.

Mit einem geplanten Termin von Beginn des Jahres 2008 sollten in einer dritten Phase die Anwendungen Arzneimitteldokumentation und der Notfalldatensatz auf der elektronischen Gesundheitskarte integriert werden.

Erst im Jahre 2012 werden in der letzten der vier Phasen die Funktionen wie Patientenquittung (eine elektronische Voraus-Rechnung), der elektronische Arztbrief, die elektronische Patientenakte, das Patientenfach sowie eine Signaturfunktion mit qualifizierter Signatur verfügbar sein.

3.1 Verpflichtende Anwendungen

3.1.1 Versichertendaten

Schon bei der Einführung der elektronischen Gesundheitskarte werden die Versichertendaten, wie bereits auf den von den Krankenkassen an Ihre Mitglieder ausgegebenen Karten, digital gespeichert sein. Diese sind:

1. Name des Patienten
2. Versichertenstatus (Mitglied, Familienversicherter o.ä.)
3. Krankenkasse
4. Geburtsdatum
5. Zuzahlungsstatus
6. Geschlecht
7. Anschrift

Ab dem 15. Lebensjahr wird zusätzlich zur Vermeidung eventueller Missbrauchsmöglichkeiten, z.B. bei Verlust, ein Lichtbild des Versicherten auf der Vorderseite der Karte angebracht sein.

3.1.2 Europäischer Gesundheitsausweis

Der europäische Gesundheitsausweis (European Health Insurance Card, kurz: EHIC) ist bereits jetzt verfügbar und soll sicherstellen, dass jeder Inhaber einer solchen Karte in der Europäischen Union den Nachweis über eine Krankenversicherung mit sich führt und damit die bürokratischen Hürden einer Behandlung im EU-Ausland reduziert werden. Der Ausweis ersetzt den früher notwendigen Auslandskrankenschein, wird auf der Rückseite der elektronischen Gesundheitskarte aufgedruckt und enthält folgende Daten^[15]:

1. Familienname und die Vornamen des Karteninhabers,
2. Geburtsdatum,
3. Persönliche Kennnummer (die ersten zehn Stellen der Krankenversichertennummer),
4. Kennnummer der Krankenkasse,
5. Kennnummer der Karte und
6. die Gültigkeitsdauer der Karte (Ablaufdatum).

Abbildung 3: "Aussehen des europäischen Gesundheitsausweises"^[16]

3.1.3 eRezept

Bei jährlich mehr als 700 Millionen Verordnungen bzw. Rezepten in Deutschland soll das eRezept deutliche Einsparungen bewirken. Innerhalb eines zu definierenden Zeitraums können beispielsweise gleiche Verordnungen durch zwei unterschiedliche Ärzte vermieden werden und zudem eine Effizienzsteigerung erreicht werden, wenn eine unwirksame Rezeptur, die durch die Einnahme eines durch einen anderen Arzt verschrieben Antagonisten entsteht, ausgeschlossen werden kann. Das zugrunde liegende Datenmodell soll hier aus didaktischen Gründen nur grafisch dargestellt und exemplarisch auch für die anderen genannten Anwendungen aufgeführt werden:

Abbildung 4: "Datenmodell eRezept"^[17]

3.2 Freiwillige Anwendungen

Die freiwilligen Anwendungen werden erst in einer späteren Phase implementiert.

3.2.1 Notfalldaten

Soweit das Einverständnis des Patienten vorliegt, soll auf der elektronischen Gesundheitskarte ein so genannter Notfalldatensatz gespeichert werden wie im Europäischen Notfallausweis definiert. Dieser ist enthält folgende Information:

1. Diagnosen,
2. Arzneimittelunverträglichkeiten,
3. Angaben zu bereits durchgeführten operativen Eingriffen oder sonstigen therapeutischen Maßnahmen,
4. sonstige Befunde und Laborwerte,
5. notfallrelevante Medikation und
6. sonstige medizinische Informationen.

Im Falle einer lebensbedrohlichen Situation kann ein Notarzt dann z.B. aufgrund solcher Angaben eine bessere Diagnose stellen und entsprechende Maßnahmen einleiten. So lässt sich bei einem nicht ansprechbaren Patienten aufgrund der aufgeführten Diagnose „Diabetes mellitus“ und der Medikamentenempfehlung in solchen Fällen, z.B. Insulin Typ A, eventuell eine schnellere Diagnose stellen und damit zeitnah eine geeignete Therapie durchführen. Zum Lesen dieser, im Gegensatz zu den anderen freiwilligen Anwendungen auf der Karte selbst abgelegten, Daten ist lediglich ein HBA erforderlich. Das Zweischlüsselprinzip ist hier aus nachvollziehbaren Praktikabilitätsgründen (was passiert wenn der Patient bei einem Unfall seine Karte zum Auslesen benötigte?) außer Kraft gesetzt.

3.2.2 ePatientenakte

Die elektronische Patientenakte (EPA) stellt die letzte Ausbaustufe der Gesundheitskarte dar und wird die individuelle Krankengeschichte enthalten, auf wichtige Laborbefunde, Operationsberichte, Röntgenbilder und digitale Daten andere Untersuchungen verweisen. Ihre genaue Ausgestaltung, auch in Abgrenzung zu der nur durch einen HBA lesbaren elektronischen Notfallakte, ist noch nicht beschlossen.

3.2.3 eArztbrief

Der elektronische Arztbrief ist Teil der elektronischen Patientenakte und dient der Speicherung von Befunden bzw. Dokumentation des Krankheitsverlaufes zur Information der Behandelnden untereinander.

3.2.4 eFallakte

Die elektronische Fallakte ist eine elektronische Patientenakte, die nur Informationen zum gegenwärtig untersuchten bzw. behandelten Krankheitsbild enthält. Diese dient der gemeinsamen Dokumentation unterschiedlicher Leistungserbringer.

4 Missbrauch/ potentielle Angriffspunkte

„Während die Fachwelt über Bits und Bytes, Serverstrukturen und Speicherplätze diskutiert, stellen wir uns einfach vor:
Jede und jeder von uns verfügt mit der Gesundheitskarte über einen persönlichen Tresor,
in dem sich streng gesichert wichtige Gesundheitsdaten befinden“,
meint Bundesgesundheitsministerin Ulla Schmidt^[18]. In diesem Kapitel wollen wir die Qualität dieser Aussage überprüfen.

4.1 Gezielte Netzwerkangriffe

Die wichtigsten Datenströme der beschriebenen Anwendungen wurden bereits schematisch dargestellt. Anhand der folgenden

Abbildung 5 soll am Beispiel eines elektronischen Rezeptes der Datenfluss skizziert werden, der durch die mit 1. bis 9. beschrifteten wesentlichen Ereignisse gekennzeichnet ist^[19]:

Abbildung 5: "Datenfluss beim eRezept"

1. Der Apotheker liest das Ticket des eRezepts aus.
2. Der Konnektor überprüft die Gültigkeit des Tickets und
3. leitet es über eine verschlüsselte Verbindung weiter an das Access Gateway.
4. Das Access Gateway überprüft, ob der Apotheker auf die Telematikplattform zugreifen darf,
5. über eine VPN-Verbindung wird das Ticket an das entsprechende Service- Gateway geleitet (Information im Ticket),
6. dort wird der zuständige VODD-Dienst mit dem Ticket angesprochen, entschlüsselt und geprüft.
7. Die Daten des entsprechenden Rezepts werden geholt
8. und über den VODD zurück zum Apotheker geschickt.
9. Das Ticket wird von der Karte gelöscht.

Die gematik GmbH nennt beispielhaft fünf mögliche Risiken für die Sicherheit des Netzwerks und somit der dargestellten Datenflüsse^[20]:

1. Syn-Flood-Attacke gegen einen VPN-Konzentrator eines Telematik- Zugangsproviders,
2. Einspielen von Schadsoftware (Viren/Trojaner/Würmer o. ä.) auf einen Server des Zeitdienstes, der zu einem Ausfall des Dienstes führt,
3. Generierung eines Buffer-Overflows in einem mit administrativen Rechten laufenden Webserver-Prozess, der es ermöglicht, die volle Kontrolle über das System zu erlangen und Zugang zu medizinischen Daten zu erhalten,
4. Angriffe auf eine Firewall mittels UDP-Punching und
5. Angriffe auf den Konnektor eines großen Krankenhauses mittels einer DDoS-Attacke.

Die Erlangung einer vollständigen Kontrolle über ein solches System impliziert die Möglichkeit, dass Daten Nicht-Zugriffberechtigten in die Hände fallen und unrechtmäßig weitergeleitet werden (z.B. Krankheitsdaten an einen Arbeitgeber).

Diesen Gefahren soll mit folgenden Instrumenten begegnet werden:

1. Aufteilung des Netzes in sieben Zonen (auf Layer 3 des ISO/OSI-Schichtenmodells) entsprechend eines logischen Sicherheitsmodells,
2. Einsatz von Firewalls,
3. Einsatz von Intrusion-Detection-Systemen (ISD),
4. Verschärfte Sicherheitsanforderungen an das Systems zur Administration des Netzwerkes, z.B.

• 1. vom eigentlichen Produktionsnetzwerk separiertes Administrationsnetzwerk,
  2. höhere Ansprüche hinsichtlich der Vertrauenswürdigkeit des mit der Administration betrauten Personals,
  3. Zugangskontrollen zu den Administrationssystemen,
  4. 24-Stunden-Verfügbarkeit des Personals, welches das Netzwerk inkl. seiner Sicherheitsmechanismen betreut,
  5. Sicherstellung vertrauenswürdiger Pfade vom Administrationsnetz zu den Firewalls.

4.2 Datenspeicherung beim „Dienstleister“

Nach Einführung der [[Gesundheitskarte#ePatientenakte|ePatientenakte] können medizinische Daten nach Zustimmung des Patienten von den zentralen Servern in die Primärsysteme übertragen werden, wo sie nach heutigem Kenntnisstand verbleiben.

Die Primärsysteme der medizinischen Dienstleister stellen einen großen Risikofaktor dar. Meist ist das PVS der Ärzte mit einem Internetanschluss versehen, da vermehrt netzgebundene Produkte eingesetzt werden. Im Gegensatz zur Telematikinfrastruktur ist die Sicherung der Primärsysteme jedoch Privatsache des Dienstleisters. Auch kann nicht gewährleistet werden, dass in einer kleineren Praxis ein Laptop verwendet wird, den der Arzt nach Praxisschluss zu Privatzwecken weiterverwendet oder sogar mit in Urlaub nimmt^[21].

Ein unberechtigtes systematisches Auslesen oder Verändern der medizinischen Patientendaten ist daher nicht auszuschließen.

In vielen Krankenhäusern ist heute schon der physische Zugang zu Patientenakten besonders während der Nachtschichten problemlos möglich. Da Krankenhäuser wie auch größere Praxen mit Instituts-HBAs ausgestattet werden, die zentral anstelle der Ärzte-HBAs gesteckt werden, ist zu befürchten, dass zukünftig auch hier ein unberechtigter Zugriff auf Patientendaten ermöglicht wird und mit Hilfe moderner Netzsoftware medizinische Daten in den KIS systematisch ausgespäht werden können.

4.3 Anwenderfehler

Der Versicherte hat zwar offiziell die Hoheit über seine Daten, ist zunächst jedoch nicht autark befugt, diese zu verwalten. Fehlerhaftes Verhalten des Versicherten ist daher im Zusammenhang mit der verlustfreien Aufbewahrung der elektronische Gesundheitskarte und der Geheimhaltung der PIN insbesondere bei Verwendung an öffentlichen Geräten zu befürchten.

Noch gravierender sind jedoch Fehler durch Dienstleister bei der Eingabe und Zuordnung von Krankendaten, insbesondere wenn es sich um kritische, hoch ansteckende oder psychische Krankheiten betreffende oder sehr persönliche (peinliche) Daten handelt. Fatal wäre auch eine falsche Zuordnung oder das Löschen von Allergie auslösenden oder unverträglichen Medikamenten.

4.4 Diebstahl

Ein Entwenden der Karte geht wahrscheinlich mit dem zeitgleichen Ausspähen der PIN einher. Erfolgt beim Dienstleister keine Lichtbildkontrolle, können widerrechtlich Leistungen bezogen werden. Bei Personen unter 15 Jahren entfällt die optische Kontrolle, da deren Ausweise noch nicht mit einem Lichtbild versehen werden. Hier besteht wahrscheinlich die größte Unsicherheit in der unberechtigten Wahrnehmung von Dienstleistungen. Sollte zu einem späteren Zeitpunkt ein autarker Zugriff durch den Versicherten auf seine Daten erfolgen können, besteht ein dediziertes Manipulations- oder Ausspähungsrisiko.

4.5 Ausspionieren von Daten

In einem Urteil des BGH bezogen auf eine vermeintlich ausgespähte PIN (einer EC-Karte) stellt das Gericht folgende Möglichkeiten zur Disposition^[22]:

1. technische Entschlüsselung,
2. optisches oder technisches Ausspähen der PIN
3. sowie Sicherheitslücken im Bereich des Kreditinstituts.

Die Problematik der von den Richtern im Bezug auf die EC-Karte in Betracht gezogenen Möglichkeiten, Daten auszuspionieren, existiert insbesondere für die Gesundheitskarte. Gerade die Verwendung der PIN bei jedem Arztbesuch erhöht statistisch die Wahrscheinlichkeit, dass die Zahlenkombination ausgespäht wird. Personengruppen, die im Umgang mit solchen Karten ungeübt sind, wie z.B. alte Patienten, sind potentielle Opfer an diesen Angaben Interessierter. Zudem sind Arztpraxen voraussichtlich hinsichtlich der Positionierung der Kartenlesegeräte nicht so eingerichtet, dass die PIN-Eingabe unbeobachtbar gestalten werden kann, zumal die Geräte selber keinen Sichtschutz besitzen (siehe Abbildung 6).

Abbildung 6:" Kartenlesegerät mit ungeschützter Tastatur"^[23]

Noch um einiges größer ist die Gefahr, dass Personen, die im Umgang mit PINs ungeübt oder unerfahren sind, die erhaltene PIN physisch (z.B. als Notiz auf der Karte selbst) mit sich führen und damit einfacher Dritten zugänglich machen.

4.6 Manipulation von Karten und Geräten

Eine Manipulation von Karten und Geräten schon bei der Herstellung hätte fatale Folgen auf die Sicherheit des Gesamtsystems. Die Fraunhofer Institute verweisen in ihrem Konzept auf bestehende Sicherheitsentwürfe anderer Kartenprojekte, wie den digitalen Tachographen, Bankkarten oder Signaturkarten. Ausdrücklich wird darauf hingewiesen, dass solche Systeme bis dato „für die bisherige KVK in diesem Umfang nicht erforderlich waren und somit in der geforderten Form noch nicht im deutschen Gesundheitswesen existieren.“ ^[24]. Ein eigener Sicherheitsentwurf für die Herstellung der Karten bzw. Lesegeräte fehlt.

5 Mögliche Auswirkungen des Datenmissbrauchs

Hier soll betrachtet werden, wer Interesse an Datenmissbrauch haben könnte. Neben kriminellen Energien könnte sich ein regelrechter Handel mit medizinischen Daten entwickeln. Um dem vorzubeugen, hat der Gesetzgeber den illegalen Zugriff Unbefugter unter Strafe gestellt. Es wird daher darauf ankommen, den konkreten Missbrauch nachzuweisen.

5.1 Data Mining

Eine der größten Interessensgruppen für ein gezieltes Sammeln und Auswerten von Daten (Data Mining) könnten Kranken- oder Lebensversicherungen sein, die sich über den Gesundheitszustand ihrer Versicherten informieren und im Schadensfall die Leistung ablehnen.

Die Ärzteorganisation IPPNW äußert ihre Sorge darüber, dass es auf Basis des elektronischen Rezeptes möglich ist, die Patienten in Risikoklassen einzuteilen. Sie befürchtet lebenslange Nachteile für die Patienten und ihre Nachkommen. ^[25]

Da in der Gesundheitswirtschaft in den nächsten Jahren mit zweistelligen Zuwachsraten gerechnet wird, entsteht dort ein Zustrom bisher in der Gesundheitsindustrie noch nicht tätiger Unternehmen, die anhand solcher Datenauswertungen eine neue Vertriebsstrategie entwickeln könnten, z.B. mit gezielten Angeboten für Kranke oder Behinderte. ^[26]

Kriminelle Organisationen könnten bei Kenntnis der durch das System der eGK gespeicherten Daten gezielt Todkranke oder Demenzkranke kontaktieren, um z.B. an deren Vermögen zu gelangen.

Die Pharmaindustrie könnte nach speziellen Symptomen und Anamnesen zum Test ihrer Produkte suchen.

Schließlich ist zu befürchten, dass die Kombinationen und Auswertung von bestehenden Datenerhebungen/ -sammlungen wie Maut-Daten, Telekommunikations-Daten, Bank-Daten, Internet-Daten (Google und andere) mit den neuen Patientendaten ein unglaubliches Potential für Politik, Wirtschaft sowie kriminelle Organisationen bietet. Nicht zuletzt deswegen beklagen Kritiker der elektronischen Gesundheitskarte die Schaffung des „gläsernen Patienten“^[27].

5.2 Weitere Missbrauchsszenarien

Die Liste denkbarer Möglichkeiten des Missbrauchs ist aufgrund der zu erwartenden Phantasie von Interessenten (mit vorangig wirtschaftlichen oder politischen Interessen) an der im beschriebenen elektronischen Telematiksystem zu vermutenden Informationsmenge recht lang. Die folgende Auflistung ist daher nicht vollständig:

1. Ein Arbeitgeber nimmt Langzeitarbeitslose nur nach Vorabsichtung der Krankenakten.
2. Blut- und Stoffwechsel-Informationen werden für Organspende- oder Blutspende-Zwecken gezielt heraus gesucht. Eingetragene Blut- oder Plasmaspender erhalten Spendeaufforderungen von konkurrierenden Institutionen.
3. Durch gerichtete Manipulation von Krankheitsdaten und deren Veröffentlichung werden Personen, die, wie z.B. Politiker oder Wirtschaftbosse, in der Öffentlichkeit stehen, gezielt diskreditiert.

6 Fazit/ Schlussbetrachtung

Das Postulat der Befürworter einer Einführung der elektronischen Gesundheitskarte, dass der Patient Herr seiner Daten^[28]bleibt, ist offensichtlich nicht umgesetzt. Ohne den Besitzer eines elektronischen Heilberufsausweises ist er nicht in der Lage, seine Daten zu verändern, zu sperren oder für andere freizugeben. Auch ist die Aussage Ulla Schmidts insofern widerlegt, als dass nur wenig Daten auf der Karte selbst gespeichert sind. Der Vergleich mit einem Tresor, in dem die Werte (Daten) liegen, ist folglich falsch. Es handelt sich im Wesentlichen um einen Schlüssel zu den in der Telematikinfrastruktur gespeicherten Informationen.

Aufgrund des Umstandes, dass sich Anwendungen wie die Notfallakte oder die elektronische Patientenakte noch in der Entwicklung befinden, ist nicht definiert, welcher Datenumfang sowohl in der Patientenakte (nur im Zweischlüsselprinzip abrufbar) als auch in der Notfallakte (Daten auf der Karte und über HBA auslesbar) abgelegt ist, d.h. eine Abgrenzung zwischen sehr geschützten und weniger geschützten Daten ist nicht gegeben.

Wie oben beschrieben besteht ein hohes Risiko darin, dass eine PIN ausgespäht oder Dritten bekannt wird. Daher sollte die Einrichtung differenzierter Nutzerprofile – beispielsweise für ältere und behinderte Menschen auf der einen und IT-Erfahrenen auf der anderen Seite erwogen werden.

Das eingangs genannte jährliche Einsparpotential von knapp 7 Milliarden Euro, das mit der Einführung des Systems erreicht werden soll, erscheint aufgrund der Freiwilligkeit bestimmter Anwendungen und der damit zu bezweifelnden Gesamteffizienz nicht realistisch, da die Kostenreduzierung nur dann eintreten wird, wenn auch die freiwilligen Anwendungen von den Patienten angenommen werden. Die berechtigten Zweifel an der informationellen Selbstbestimmung lassen die Verfasser jedoch eher prophezeien, dass die Zahl der Patienten, die der Nutzung der freiwilligen Anwendungen zustimmen werden, eher geringer wird.

Abschließend bleibt festzuhalten, dass auch die Bundesregierung – das Bundesgesundheitsministerium – und die Krankenversicherungen Partikular- bzw. Lobbyinteressen verfolgen, die mit Hilfe der elektronischen Gesundheitskarte zu neuen Gesetzesvorlagen führen könnten. Erfahrungen mit der Einführung der LKW-Maut, das kurz nach seiner Einführung bereits um Fähigkeiten zur Bekämpfung der Kriminalität erweitert werden sollte, zeigen die Begehrlichkeiten der Politik.

Bezogen auf die elektronische Gesundheitskarte könnten das bedeuten: Zum einen ist denkbar, dass die Barriere, wann Daten der Gesundheitstelematik Beteiligten der Gesundheitsindustrie oder Dritten zugänglich gemacht werden, herunter gesetzt wird, um bisher branchenfremden Unternehmen Vorteile aus diesem neuen System zukommen zu lassen. Zum anderen könnte zur Steigerung der Effizienz der Gesundheitsversorgung jeder Versicherte regelmäßig und nachhaltig zu Gesundheitschecks, Impfungen oder Vorsorgeuntersuchungen aufgefordert werden.

7 Literatur-/ Quellenangaben

1. ↑ Vgl. Bundesgesundheitsministerium (2006): Pressemitteilung Nr. 33 vom 11. März 2006
2. ↑ Vgl. Heinz Nixdorf Museumsforum (2006): Computer.Medizin, Seite 121-143
3. ↑ Vgl. Heinz Nixdorf Museumsforum (2006): Computer.Medizin, Seite 121-143
4. ↑ Vgl. Heinz Nixdorf Museumsforum (2006): Computer.Medizin, Seite 121-143
5. ↑ Entnommen aus: Fraunhofer Institute (2005): Lösungsarchitektur, Seite 29 ff
6. ↑ Vgl. Fraunhofer Institute (2005): Lösungsarchitektur Seite 29 ff.
7. ↑ Vgl. Fraunhofer Institute (2005): Lösungsarchitektur Seite 29 ff.
8. ↑ Vgl. Fraunhofer Institute (2005): Lösungsarchitektur Seite 29 ff.
9. ↑ Vgl. Fraunhofer Institute (2005): Lösungsarchitektur Seite 29 ff.
10. ↑ Vgl. Fraunhofer Institute (2005): Lösungsarchitektur Seite 29 ff.
11. ↑ Vgl. Fraunhofer Institute (2005): Lösungsarchitektur Seite 29 ff.
12. ↑ Vgl. Fraunhofer Institute (2005): Lösungsarchitektur Seite 29 ff.
13. ↑ Vgl. Bundesministerium für Gesundheit, Referat Öffentlichkeitsarbeit (2006): Die elektronische Gesundheitskarte (2006), Seite 10
14. ↑ Entnommen aus: Bundesministerium für Gesundheit, Referat Öffentlichkeitsarbeit (2006): Der Zugang zu Ihren Daten
15. ↑ Vgl. Bundesministerium für Gesundheit, Referat Öffentlichkeitsarbeit (2006): Die elektronische Gesundheitskarte (2006), Seite 18ff.
16. ↑ Entnommen aus: http://www.die-gesundheitskarte.de/download/dokumente/druck/infografik_gesundheitskarte_rueckseite.jpg vom 15. Juni 2007
17. ↑ Entnommen aus: Dr. Herbert Bunz und Jochen Mersmann (2004): Erarbeitung einer Strategie zur Einführung der Gesundheitskarte (2004), Seite 54
18. ↑ Vgl. Bundesministerium für Gesundheit, Referat Öffentlichkeitsarbeit (2006): „Die elektronische Gesundheitskarte“ (2006), Seite 12
19. ↑ Vgl. Fraunhofer Institute (2005): Spezifikation der Lösungsarchitektur zur Umsetzung der Anwendungen der elektronischen Gesundheitskarte, Erste Fassung der Spezifikation, Version 1.0 vom 14. März 2005, Seite 33ff.
20. ↑ Vgl. gematik GmbH (2007): Einführung der Gesundheitskarte, Spezifikation Netzwerksicherheit, Version 1.0.0 vom 23.02.2007, Seite 27ff.
21. ↑ Vgl. Detlef Borchers: Gesundheitskarte, in c't, Nr. 14/2004, S. 57
22. ↑ Vgl. Arbeitsgemeinschaft für Sicherheit der Wirtschaft e.V. (2004): Anmerkungen zur Sicherheitslage der deutschen Wirtschaft 2004/2005, Seite 38.
23. ↑ Entnommen aus:. http://www.die-gesundheitskarte.de/download/dokumente/druck/ gesundheitskarte7.jpg am 13.6.2007
24. ↑ Vgl. Fraunhofer Institute (2005): Spezifikation der Lösungsarchitektur zur Umsetzung der Anwendungen der elektronischen Gesundheitskarte, Erste Fassung der Spezifikation, Version 1.0 vom 14. März 2005, Seite 235f.
25. ↑ Vgl. http://www.diekrankheitskarte.de/index.php?/archives/274-IPPNW-lehnt-Gesundheitskarte-ab.html vom 17.06.2007
26. ↑ Vgl. http://www.ftd.de/unternehmen/gesundheitswirtschaft/:Gesundheitswirtschaft%20Nicht%20Patienten/173712.html vom 16.6.2007
27. ↑ Als „geflügeltes Wort“ aus der Presse
28. ↑ Vgl. Jörg Caumanns: Der Patient bleibt Herr seiner Daten, aus: Informatik-Spektrum vom 29.5.2006, Seite 326.