Datensicherheit bei der eGK – ein Versprechen bleibt auf der Strecke?

596px-Elektronische_Gesundheitskarte_Mustermann_VS.svg

Aus gegebenem Anlass im ZDF bringt Sectank diesen Artikel, den wir schon vor zwei Jahren veröffentlicht haben noch einmal. Dr. André Zilch und ich, wir haben damals auch den Spiegel informiert. Den hat es aber nicht interessiert. Das macht nichts. Für den Spiegel interessieren sich ja auch immer weniger Menschen. Nichts für ungut. Auf das ZDF kann man sich wenigstens noch verlassen.

Zum Thema empfehle ich Ihnen mein Buch Identity Management – Rollen und Berechtigungskonzepte. Ein großer Teil der Probleme der eGK könnte mit Identitätsmanagement gelöst werden.

41DS2mf0ruL._SY344_BO1,204,203,200_

 

 

 

 

 

 

 

Die missbräuchliche Nutzung der Krankenversicherungskarte (KVK) kostet das Gesundheitswesen nach Expertenschätzungen jährlich Milliarden. Im Jahr 2003 wurde deshalb vom Gesetzgeber geregelt, dass die aktuelle Krankenversichertenkarte (KVK) mit einem Lichtbild des Versicherten auszustatten ist. Zeitgleich sollte bis zum 31.12.05 die KVK auch zur elektronischen Gesundheitskarte (eGK) erweitert werden. Obwohl die Reduzierung von Missbräuchen dringend notwendig ist, hat sich die Einführung der eGK immer wieder verzögert. Ein wichtiger Grund für die Verzögerungen ist die Komplexität des Projekts KVK/eGK, die von den Beteiligten mutmaßlich unterschätzt wurde. Insgesamt betrachtet sind bei der Planung und Durchführung des Projekts KVK/eGK so erhebliche Defizite zu konstatieren, dass mit einer schnellen Umsetzung der gesetzlichen Vorgaben nicht gerechnet werden kann.

Jedenfalls in einem zentralen Punkt, der von allen Seiten immer wieder betont wird, herrscht Einigkeit: Die Einhaltung des Datenschutzes genießt höchste Priorität bei der Einführung der eGK. So bilden die europäische Datenschutzrichtlinie, die Ableitungen der Datenschutzgruppe 29, das Bundesdatenschutzgesetz und das von dem Projektträger gematik (Gesellschaft für Technikanwendungen der Gesundheitskarte mbH) erstellte Sicherheitskonzept den Rahmen zur Umsetzung und Einführung der eGK.

Wesentliche Elemente zur Einhaltung dieser Vorgaben sind an der Schnittstelle zum Versicherten das Lichtbild auf der eGK, die eGK selbst (als Besitz) und ein PIN (als Wissen). Um Leistungen in Anspruch nehmen zu können, muss sich der Versicherte authentisieren, das heißt, er muss nachweisen, dass er der ist, für den er sich ausgibt. Dazu sind nun zwei Verfahren vorgesehen. Im Fall der Nutzung der eGK in der ambulanten Versorgung (Patient geht zum niedergelassenen Arzt) erfolgt die sichere Authentisierung des Versicherten durch das Lichtbild. Es wurde bewusst darauf verzichtet, hierbei einen PIN einzusetzen, um die Abläufe im Praxisalltag nicht unnötig zu komplizieren. Das Lichtbild übernimmt als biometrisches Merkmal die Funktion des PIN, anstelle von Besitz und Wissen tritt hier also Besitz und biometrisches Merkmal (Bild). Für die gesetzlich vorgesehenen medizinischen Einsatzgebiete (z.B. eRezept) oder die Nutzung der eGK als elektronischer Identitätsnachweis in der Kommunikation mit der Krankenkasse muss der Versicherte weiterhin einen PIN einsetzen.

Die Unterscheidung in eine Nutzung mit und ohne PIN bedingt, dass auf der eGK zwei Zertifikate (Aut und Autn) aufgebracht werden.

Nach §35 SGB I (Sozialdatenschutz) muss eine auskunftserteilende Stelle vor Auskunftserteilung sicherstellen, dass nur dem Berechtigten Auskunft erteilt wird. Dazu muss die Identität des Auskunftsersuchenden sicher festgestellt werden. Das BMG vertrat bisher die Meinung, dass die eGK rechtlich gerade nicht die Identität des Versicherten sicherstellt (s. NJW 2012 Heft 34, 2475 – 2479). Dabei ist eine Unterscheidung in „optisch“ und „elektronisch“ unzulässig. Einerseits führt bereits der Gesetzgeber aus (Antwort zur Petition 5298), dass “Nur durch ein Lichtbild ist für den behandelnden Arzt überprüfbar, ob die Identität des vorstellig werdenden Patienten mit der versicherten Person tatsächlich übereinstimmt“ und andererseits kann für das Merkmal „Identitätsbestätigung“ nicht zwischen optischer und elektronischer Nutzung unterschieden werden. Darüber hinaus ist gerade in der ambulanten Versorgung eine Verknüpfung zwischen „optisch“ (Lichtbild) und „elektronisch“ (Aut-Zertifikat) zwingend vorgeschrieben und notwendig. Sollte nun die eGK rechtlich den Status „bestätigt rechtlich nicht“ haben, so führt eine Prüfung einer Person gegen das Lichtbild auf der eGK durch einen Arzt immer zum Status „bestätigt nicht“ und somit darf kein Zugang zu Sozialdaten gestattet werden. Damit wäre eine Nutzung der eGK für einen online-Zugriff auf die Versichertenstammdaten (VSD) unzulässig.

Auch stünde die eGK nicht als Mittel zur Dokumentation von Organspende, Notfalldaten oder Patientenpässe zur Verfügung, da eine zweifelsfreie Zuordnung von Gesundheitskarte zur Person niemals stattgefunden hat. Kein Versicherter kann sich sicher sein, nicht gegen seinen Willen zum Organspender zu werden. Kein Arzt kann sich darauf verlassen, zu welchem Patienten die Notfalldaten oder Patientenpässe auf der Gesundheitskarte gehören.

Die den Versicherten von den Krankenkassen ausgegebenen PINs können ebenfalls nicht als Authentisierungsinstrument genutzt werden, da durch die Krankenkassen zu keinem Zeitpunkt eine den Sicherheitsanforderungen „hoch“ entsprechende Identifizierung durch eine vom Benutzer unabhängige Instanz durchgeführt wird. Die vom BMG genannte Datenübermittlungsverordnung (DEÜV) als Identifikationsprozess scheidet schon deshalb als adäquates Mittel aus, da die die DEÜV durchführenden Arbeitgeber in keinem Fall den Sicherheitsanforderungen an eine identitätsbestätigende Stelle genügt.

Hinzu kommt, dass, wenn die eGK den Status „bestätigt rechtlich die Identität nicht“ hat, eine PIN Eingabe grundsätzlich den Status nicht ändern kann – immer wäre das Ergebnis der Nutzung von eGK und PIN „bestätigt rechtlich nicht“. Dies würde wiederum bedeuten, dass eine Nutzung von eGK und PIN weder für einen Zugriff auf medizinische Daten bei Ärzten oder einen online-Zugriff von zu Hause auf Web-Angebote der Krankenkassen zulässig wären.

Damit ist die eGK auch für alle Anwendungen, die mittels eGK und PIN genutzt werden sollen, unbrauchbar. Dies bedeutet, dass alle Krankenkassen die elektronischen Gesundheitskarten nachträglich zweifelsfrei durch eine vom Benutzer unabhängige Instanz zuordnen lassen müssen.

Die Festlegungen, dass die Beantragungs- und Ausgabeprozesse der elektronischen Gesundheitskarten auf ein höheres Sicherheitsniveau angepasst werden müssen als bei der Ausgabe der bisherigen Krankenversichertenkarte, stammen bereits aus dem Jahr 2004 (bit4health Sicherheitsarchitektur) und finden sich in allen Versionen des verbindlichen Sicherheitskonzepts der gematik. Die Antwort der EU-Kommission, dass die Krankenkassen prüfen müssen, dass alle auf der eGK aufgebrachten Daten „sachlich richtig und auf dem neusten Stand“ sind, ist vom 27.5.2011. Die Antwort des Gesetzgebers zur Petition 5298 stammt vom 28.6.2012.

Der Gesamtschaden beträgt rund 700 Mio. €.

Vergleicht man die rechtlichen Vorgaben des § 291 SGB V, das gematik-Sicherheitskonzept, die nationalen und europäischen Datenschutzvorschriften mit den geplanten Prozessen zur Lichtbildbeschaffung, Beantragung und Ausgabe von eGK und PIN sowie den Authentisierungsprozessen in der Arztpraxis, so stellt man fest, dass die darin definierten wesentlichen Anforderungen nicht eingehalten werden.

Die Lichtbildbeschaffung soll nach den bisher geplanten Prozessvorgaben der Krankenkassen ohne zweifelsfreie Zuordnung von Bild und Versichertem stattfinden. Auch sollen eGK und PIN ohne zweifelsfreie Zuordnung einfach per Post versandt werden. Für die Authentisierung zur Vermeidung des Missbrauchs soll eine Onlineüberprüfung der eGK beim erstmaligen Besuch in der Arztpraxis stattfinden. Diese Onlineüberprüfung der eGK beim erstmaligen Besuch in einer Arztpraxis im Quartal kann die persönliche Authentifizierung nicht ersetzen. Es kann nämlich ausschließlich die Gültigkeit einer eGK selbst überprüft werden, nicht aber die Identität der Person. Hinzu kommt, dass bei einem normalen Arztbesuch, d. h. bei einer Behandlung ohne medizinische Dokumentation auf der eGK, keinerlei PIN-Abfrage erforderlich ist. Der Faktor „Wissen“ fällt mithin als Authentifizierungsmerkmal weg.

Im derzeit geplanten Verfahren sollen die Versicherten auf ein Papierformular ein Foto aufkleben und als Nachweis der Identität unterschreiben. Diese Selbstbestätigung der Identität ist nicht verlässlich und macht die eGK als Zuordnungsschlüssel auf sensible medizinische Daten fragwürdig. Das Versichertenfoto ist als Instrument zur Missbrauchsverhinderung untauglich, wenn es nicht durch eine neutrale Instanz eindeutig dem Versicherten zugeordnet wurde, sondern beliebig implementierbar ist. Wie fragwürdig das derzeit geplante Verfahren zur Ausgabe von KVKs/eGKs ist, zeigt auch die Tatsache, dass bei der Beantragung einer METRO-Kundenkarte oder der LKW-Fahrerkarte ein höherer Sicherheitsstandard vorgesehen ist als bei der KVK/eGK als einem Speicher- und Zugriffsmedium für hochsensible medizinische Daten. Die Ursachen für diese massive Fehlentwicklung liegen in einer unhinterfragten Übertragung der bisherigen Ausgabeprozesse für die KVK auf die eGK, ohne dabei die Anforderungen des Datenschutzes, der europäischen Vorgaben, der gesetzlichen Regelungen sowie des gematik-Sicherheitskonzeptes zu berücksichtigen. Ferner wird vernachlässigt, dass es sich bei der Speicherung administrativer Daten und anderer Identifikationsmerkmale in Datenbanken lediglich um „virtuelle Abbildungen“ realer Personen handelt. Hier hat der Wunsch nach Identifizierung seine eigentlichen Wurzeln: Nur wenn jede Person eindeutig identifiziert ist (z. B. durch biometrische Angaben), diese ebenfalls in den Datenbanken gespeichert werden UND gewährleistet ist, dass die Zuordnung eines bestimmten Datensatzes sich eineindeutig auf eine bestimmte Person bezieht, wäre das o. g. Problem gelöst.[1]

Die eingangs erwähnte Proklamation der eGK-Projektverantwortlichen, dass der Datenschutz oberste Priorität genieße, erweist sich bei näherer Betrachtung der geplanten Umsetzung von Schutzstandards zumindest teilweise als leere Floskel. Die mangelnde Datensicherheit der eGK wurde bereits mehrfach auf Ärztetagen thematisiert. Sie führte zu einer Entschließung, die die Krankenkassen auffordert, eine zweifelsfreie Zuordnung von Bild und Versichertem sicherzustellen.[2] Ohne eine zuverlässige Identifizierung auf der Basis sicherer, oben näher beschriebener Kriterien werden nicht nur die erklärten Ziele der eGK ad absurdum geführt, sondern es entstehen auch gravierende Defizite in datenschutzrechtlicher Hinsicht. Es ist zu erwarten, dass der BfDI auf die Umsetzung der entsprechenden nationalen und europäischen Vorschriften sowie des Sicherheitskonzepts der gematik drängen wird, gerade weil es sich hier um sehr sensitive personenbezogene Daten handelt.

Fazit: Alle Verschlüsselungsverfahren und sonstige Schutzmaßnahmen können ihren Zweck nicht erfüllen, wenn die Daten eines Versicherten nicht zweifelsfrei dem Versicherten zugeordnet werden können.

[1] Annette Brückner: Innenausschuss A-Drs. 16(4)570 E

[2] Beschluss Nr. 8 zur Telematik/Elektronische Gesundheitskarte (eGK) des 112. Deutschen Ärztetages 2009 „Die Krankenkassen werden aufgefordert sicherzustellen, dass die Fotos, die die Versichertenkarten schmücken sollen, tatsächlich den Versicherten darstellen.“

Anbei der Link auf die ZDF Mediathek zu dem Thema. http://www.heute.de/massive-datenschutzluecke-bei-elektronischer-gesundheitskarte-38542206.html