Gesunder Datenschutz bei der Gesundheitskarte fraglich [Update]

Gesunde Karte, kranke Daten: Auf diese Kurzformel lässt sich das eintägige Expertentreffen von Datenschützern und Medizin-IT-Fachleuten zur Datensicherheit der kommenden Gesundheitskarte bringen, das vom Darmstädter CAST-Forum unter dem Kürzel MedCast veranstaltet wurde. Während die an der Realisierung der Gesundheitskarte beteiligte Firma InterComponentWare in Frankfurt die zum System gehörende elektronische Patientenakte vorstellte, beschäftigte man sich in Darmstadt mit der Umgebung, in der die Schlüssel zur Patientenakte ab 2006 arbeiten sollen. Die Gesundheitskarte und ihre Pendants, der Arztausweis, die Apothekerkarte und die Institutskarte (für Praxen und Apotheken mit mehr als einem PC-Arbeitsplatz) kommen in einer unsicheren Systemumgebung zum Einsatz, über die die Fachleute richtige Horror-Geschichten zu berichten wussten.

Die Ärztin, die die Patientendaten auf ihrem Laptop mit in den Urlaub nach Spanien schleppt und den Rechner dann beim Spielen noch mit Viren verseucht, oder die Praxis, die Daten jahrelang per Streamer sichert, ohne jemals das Band ausgetauscht zu haben, mögen vielleicht extreme Einzelfälle sein. Doch was insgesamt in bundesdeutschen Praxen an Systemen installiert ist, spottet laut Matthias Herbst jeder Beschreibung. Herbst, ein Dermatologe, der sich mit dem Qualitätsmanagement von Arztpraxen befasst, äußerte aber die Hoffnung, dass vor allem in Gemeinschaftsspraxen künftig rigide DV-Standards eingehalten werden, wie sie am ehesten noch in Krankenhäusern verwirklicht sind. Mit der durch ein Foto personalisierten Gesundheitskarte verband er die Hoffnung, dass wenigstens das massive Problem der Identitätsfeststellung gelöst wird. So wird selten geprüft, ob der Patient mit dem Überweisungsschein derjenige sei, als der er sich ausgebe. Auch bei Privatpatienten sei die Situation problematisch, da diese schneller ungehalten würden, wenn man sie nach einer Legitimation frage.

Wie der Arzt sich ausweist und zukünftig seine eRezepte auf die Gesundheitskarten seiner Patienten bringt, erläuterte Gisela Meister vom Kartenhersteller Giesecke & Devrient. Sie stellte das erst Anfang Juni verabschiedete Konzept des Secure Messaging vor, bei der neben dem Arztausweis (HPC = Health Professional Card) eine so genannte Institutskarte (SMC = Secure Messaging Card) zum Einsatz kommt. Nach einer ersten durchgeführten asymmetrischen Authentifizierung verfügen beide Karten mit den Session-Schlüsseln über gemeinsam nutzbare symmetrische Schlüssel, mit denen jeder Schreibvorgang eines eRezeptes auf die Gesundheitskarte authentifiziert wird. Die ursprünglich geplante Lösung mit der Eingabe eins PIN an nicht sterilen Kartenterminals im Behandlungszimmer durch den Heilberufler entfällt, die Karten können tagsüber in der Praxis in den jeweiligen Kartenlesegeräten gesteckt bleiben.

Mit 11, Milliarden Transaktionen pro Jahr und einem Datenaufkommen von mindestens 23,6 Terabyte pro Jahr (ohne Bilddaten) gehört die Digitalisierung der medizinischen Versorgung in Deutschland zu den anspruchsvollsten IT-Projekten der Welt. Am 1.1.2006 müssen, so sieht es das Sozialgesetz vor, 71 Millionen Versicherte ihre Karte erhalten, auf denen zunächst nur die Grunddaten stehen, auf die dann aber mindestens bei 12 Millionen Versicherten die möglicherweise lebensrettenden Notfalldaten aufgebracht werden sollen. Mit 890 Millionen eRezepten pro Jahr soll sich das 1,7 Milliarden Euro teure Kartenprojekt in wenigen Jahren durch die erzielten Einsparungen im Gesundheitswesen amortisieren. Etwa ab 2012 sollen nach Angaben des bIT4Health-Konsortiums jährlich 350 Millionen eArztbriefe und 1,24 Milliarden ePatientenakten über die Gesundheitskarte abgewickelt werden. Auf diese Patientenakten soll der mündige Patient Zugriff haben, entweder nach dem 4-Augen-Prinzip beim Arzt oder über eine Datenbankabfrage, für die er zusätzlich eine qualifizierte digitale Signatur besitzen muss. Auch hier wird von den Experten der Aufklärungsbedarf der Bevölkerung als "hoch" eingeschätzt.

Außerdem soll die Gesundheitskarte mehrere "Patientenfächer" enthalten, die der Versicherte selbst verwaltet. So soll es möglich sein, einzelne freiwillig angelegte Fächer (etwa kardiologische Daten) gegenüber bestimmten Ärzten oder ganz zu sperren. Nach einer ersten Schätzung des bIT4Health-Konsortiums werden 325,6 Millionen solcher Patientenfächer angelegt werden. Wie der IBM-Consultant Peter Biltzinger von der bIT4Health-Projektgruppe bekannte, ist noch nicht geklärt, wie der Patient Daten technisch sperren kann, die ein Arzt nicht sehen darf, die aber womöglich zur Abrechnung gebraucht werden. "Wir haben da ein großes Problem. Was wir dazu an Prozessvorschlägen hören, ist einfach unglaublich", meinte Biltzinger. Die bayerische Datenschützerin Corina Scheiter protestierte: "Die Fächer müssen voll der Kontrolle des Versicherten unterliegen, sonst macht es keinen Sinn."

Auf die anonymisierten Daten der Gesundheitskarte hatte unlängst Bernd Wegener vom Bundesverband der Pharmazeutischen Industrie den Zugriff für seine Branche gefordert, damit sie die Wirkungen von Arzneimitteln verfolgen könne. Thomas Wolf vom Bundesverband Managed Care hatte zuvor auf dem Deutschen Ärztekongress erklärt, dass ein Szenario denkbar wäre, bei dem eine Versicherung keine Policen ausstelle, wenn die Kunden ihre Akte nicht öffneten. Kartenkritische Patientenvertreter kamen entgegen der Programm-Ankündigung in Darmstadt übrigens nicht zu Wort. (Detlef Borchers) / (jk)