Datenschutz-Risiko Arztpraxis

Am 1. Januar 2006 soll die Gesundheitskarte die bisherige Krankenversicherungskarte ablösen. Mit der Karte für etwa 80 Millionen Versicherte soll für 1,7 Milliarden Euro ein telematisches Verbundsystem geschaffen werden, auf dem nachfolgend verschiedene Anwendungen aufsatteln, welche die ärztliche Versorgung grundlegend verändern. Als erstes soll das e-Rezept die bisher papiergebundene Rezeptabgabe des Arztes ablösen und zu drastischen Einsparungen im Gesundheitswesen beitragen; später sollen der elektronische Arztbrief, die elektronische Patientenakte und die digitale Arzneimitteldokumentation folgen. Zur CeBIT hatten die am Projekt Gesundheitskarte Beteiligten die „Rahmenarchitektur“ des bIT4Health (better IT for Health) genannten Projektes vorgestellt. Diese allgemein gehaltene Rahmenarchitektur wird nach und nach durch die „Lösungsarchitektur“ konkretisiert. Einzelne Teile des großen Projektes - die so genannten Solution Outlines - können freilich vorher fertig werden und damit verbindliche Fakten schaffen. Der Schutz von Patientendaten und der sichere Umgang mit diesen Daten in der Arztpraxis, in der Apotheke und in den Krankenhaus-IT-Systemen sind Teilprojekte, die noch gelöst werden müssen.

Denn die Gesundheitskarte und ihre Pendants - der Arztausweis, die Apothekerkarte und die Institutskarte (für Praxen und Apotheken mit mehr als einem PC-Arbeitsplatz) - kommen in einer unsicheren Systemumgebung zum Einsatz, über die die Fachleute in Darmstadt richtige Horror-Geschichten zu berichten wussten. Die Ärztin, die Patientendaten auf ihrem Laptop mit in den Urlaub nach Spanien schleppt und den Rechner dann beim Spielen noch mit Viren verseucht, oder die Praxis, die Daten jahrelang per Streamer sichert, ohne jemals das Band ausgetauscht zu haben, mögen vielleicht extreme Einzelfälle sein.

Doch was insgesamt in bundesdeutschen Praxen an Systemen installiert ist, spottet laut Matthias Herbst jeder Beschreibung. Herbst, ein Dermatologe, der sich mit dem Qualitätsmanagement von Arztpraxen befasst, äußerte die Hoffnung, dass die Einzelpraxen aussterben und von Gemeinschaftspraxen ersetzt werden, in denen rigide DV-Standards eingehalten werden, wie sie am ehesten noch in Krankenhäusern verwirklicht sind. Mit der durch ein Foto personalisierten Gesundheitskarte verband Herbst die Hoffnung, dass wenigstens das massive Problem der Identitätsfeststellung gelöst wird. So werde viel zu selten geprüft, ob der Patient mit dem Überweisungsschein auch wirklich derjenige sei, für den er sich ausgibt. Auch bei Privatpatienten sei die Situation problematisch, da diese schnell ungehalten reagierten, wenn das Praxispersonal sie nach einer Legitimation frage.

IT-Projekt der Superlative

Wie der Arzt sich ausweist und zukünftig seine e-Rezepte auf die Gesundheitskarten seiner Patienten bringt, erläuterte Gisela Meister vom Kartenhersteller Giesecke & Devrient. Sie stellte das erst Anfang Juni verabschiedete Konzept des Secure Messaging vor, bei dem neben dem Arztausweis (HPC, Health Professional Card) eine so genannte Institutskarte (SMC, Secure Messaging Card) zum Einsatz kommt. Nach einer ersten durchgeführten asymmetrischen Authentisierung verfügen beide Karten mit den Session-Schlüsseln über gemeinsam nutzbare symmetrische Schlüssel, mit denen jeder Schreibvorgang eines e-Rezeptes auf die Gesundheitskarte authentifiziert wird. Die ursprünglich geplante Lösung mit der Eingabe einer PIN an nicht sterilen Kartenterminals im Behandlungszimmer durch den Heilberufler entfällt, die Karten können tagsüber in der Praxis in den jeweiligen Kartenlesegeräten gesteckt bleiben.

Mit rund 12 Milliarden Transaktionen pro Jahr und einem Datenaufkommen von mindestens 23,6 Terabyte pro Jahr (ohne Bilddaten) gehört die Digitalisierung der medizinischen Versorgung in Deutschland zu den anspruchsvollsten IT-Projekten der Welt. Zum Jahreswechsel 2006 müssen, so sieht es das Sozialgesetz vor, alle Versicherten in Deutschland ihre Karte erhalten, auf denen zunächst nur die Grunddaten stehen, später aber bei mindestens 12 Millionen Versicherten auch möglicherweise lebensrettende Notfalldaten aufgebracht werden sollen. Allein mit den rund 890 Millionen e-Rezepten pro Jahr soll sich das Kartenprojekt in wenigen Jahren amortisieren. Etwa ab 2012 sollen nach Angaben des bIT4Health-Konsortiums jährlich 350 Millionen e-Arztbriefe und 1,24 Milliarden e-Patientenakten über die Gesundheitskarte abgewickelt werden. Auf diese Patientenakten soll der mündige Patient Zugriff haben, entweder nach dem 4-Augen-Prinzip beim Arzt oder über eine Datenbankabfrage, für die er zusätzlich eine qualifizierte digitale Signatur besitzen muss. Auch hier wird von den Experten der Aufklärungsbedarf der Bevölkerung als „hoch“ eingeschätzt.

Kontrolle des Versicherten

Außerdem soll die Gesundheitskarte mehrere „Patientenfächer“ enthalten, die der Versicherte selbst verwalten kann. So soll es möglich sein, einzelne freiwillig angelegte Fächer (etwa kardiologische Daten) nur gegenüber bestimmten Ärzten oder generell zu sperren. Nach einer ersten Schätzung des bIT4Health-Konsortiums könnten rund 325 Millionen solcher Patientenfächer angelegt werden. Wie der IBM-Consultant Peter Biltzinger von der bIT4Health-Projektgruppe in Darmstadt bekannte, ist noch nicht geklärt, wie der Patient Daten technisch sperren kann, die ein Arzt nicht sehen darf, die aber womöglich zur Abrechnung gebraucht würden. „Wir haben da ein großes Problem. Was wir dazu an Prozessvorschlägen hören, ist einfach unglaublich“, so Biltzinger. Die bayerische Datenschützerin Corina Scheiter protestierte umgehend: „Die Fächer müssen voll der Kontrolle des Versicherten unterliegen, sonst macht es keinen Sinn.“ (pmz) (ha)