Elektronische Gesundheitskarte

Transkript

1 Elektronische Gesundheitskarte Heidi Anlauff, Eberhard Beck, Thomas Enzmann, Christoph F-J Goetz, Hans Georg Helmstädter, Rüdiger Hochscheidt, Martin Kaschel, Michael Naumann, Antje C. Prochnow, Andreas Schiefner, Gabriele Schmidt, Stefan Skonetzki-Cheng, Dietlind Tiemann, Dietmar Wikarski Hochschulkolleg E-Government 79

2 Seite 1 In Zusammenarbeit mit Dokumentation der Tagung egk 2008 (elektronische Gesundheitska dheitskarte), te), 10. April 2008, Fachhochschule Brandenburg Inhaltsverzeichnis Seite Vorwort 3 Prof. Dr. Gabriele Schmidt, Prof. Dr. Dietmar Wikarski Grußwort des Präsidenten der FH Brandenburg 6 Dr. Hans Georg Helmstädter Grußwort der Oberbürgermeisterin der Stadt Brandenburg an der Havel 7 Dr. Dietlind Tiemann Impressum Stiftungsreihe 79 Redaktion Dr. Dieter Klumpp (Leitung) Petra Bonnet M.A. Die strategische Herausforderung "ehealth" 8 Dr. med. Christoph F-J Goetz Was steckt in und hinter der egk? 11 Stefan Skonetzki-Cheng Die Sicherheitsfunktionen der elektronischen Gesundheitskarte - aufgezeigt am elektronischen Rezept 16 Prof. Dr. Heidi Anlauff Das BürgerServiceNetz künftig mit barrierefreien Kiosken und mit Angeboten rund um die elektronische Gesundheitskarte 27 Dipl.-Ing. Michael Naumann, Prof. Dr. Dietmar Wikarski Druck der Broschüre DCC Kästl GmbH & Co. KG Alle Rechte vorbehalten Alcatel-Lucent Stiftung 2008 Postadresse Alcatel-Lucent Stiftung Lorenzstraße Stuttgart Telefon (0711) Telefax (0711) stiftung@alcatel-lucent.de ISSN x Die elektronische Gesundheitskarte aus der Perspektive der BARMER 29 Martin Kaschel Die elektronische Gesundheitskarte alles ist sicher, wozu da noch Ängste? 33 Hon.-Prof. Dr. med. Eberhard Beck "So blöd läufst immer noch! - Die Notwendigkeit einer elektronischen Gesundheitskarte aus der Sicht des Klinikers. 36 Hon.-Prof. Dr. med. Thomas Enzmann Die Bedeutung von Technologie und Standardisierung beim Aufbau der neuen Gesundheitstelematik 41 Dr. med. Christoph F-J Goetz

3 Seite 2 Architektur und Funktionsweise des Konnektors für Krankenhausinformations-,, Arztpraxis- und Apothekensysteme 44 Rüdiger Hochscheidt Die elektronische Gesundheitskarte im Test Erfahrungen der Deutschen BKK in der Testregion Wolfsburg 49 Andreas Schiefner Nutzen und Risiken der elektronischen Gesundheitskarte aus Sicht einer Apothekerin 53 Antje C. Prochnow

4 Seite 3 Vorwort Langjährige Kenner der Fachhochschule Brandenburg werden an der Publikation dieses Tagungsbandes in der Hochschulkolleg-E-Government-Reihe der Alcatel-Lucent-Stiftung die Fortführung einer Tradition erkennen, die mit einem Workshop am begann und seit dem regelmäßig (fast) jährlich mit einem wissenschaftlichen E-Government-Ereignis verbunden ist. Nachdem dies einige Jahre vor allem mit dem hier entstandenen und weiterhin lebendigen Projekt BürgerServiceNetz (BSN) verbunden war, ergibt sich in diesem Jahr ein neuer, sich schon länger abzeichnender Fokus, der eine durchaus enge Verbindung zu E-Government aufweist: E- Health, mit der spezifischen Ausprägung der E- lektronischen Gesundheitskarte (egk). Schon im Tagungsband vom Oktober 2004 kann man deutliche Zeichen einer Orientierung auf eine Verbindung dieser beiden Themen erkennen: Dafür sprachen der Beitrag der Bundestagsabgeordneten Margrit Spielmann: Die egk der Weg zu mehr Qualität und Behandlungstransparenz und ein technischer Beitrag über die egk im Rahmen von medical24.net, in dem auch die enge Verbindung zwischen E-Health und E- Government thematisiert wurde. Öffentlichkeitswirksam plädierten die Teilnehmer dieser Tagung in einer Pressemeldung für die Integration einer digitalen Signatur in die egk, was in der Folgezeit letztlich realisiert wurde. Bemerkenswert am Projekt der egk sind nicht nur die Zahlen der künftig betroffenen Benutzer und der voraussichtlichen Kosten. Entsprechend diesen Dimensionen oft auch als weltgrößtes IT- Projekt bezeichnet bewegen sich die Zeiträume der Planung und Umsetzung dieses Projekts. Die ersten Überlegungen gehen auf das E-Health- Konzept der Bundesregierung zurück, mit dem seit 1997 die Vorbereitung zu einrichtungsübergreifenden Gesundheitsdatenbanken begannen Eine entsprechende Studie der Unternehmensberatung Roland Berger zur Telematik im Gesundheitswesen zeigte 1998 die Perspektiven der Telemedizin in Deutschland auf, die wesentlich mit der Einführung multifunktionalen medizinischen Patientenkarte verbunden sein würden und am trat das Gesetz zur Modernisierung der gesetzlichen Krankenversicherung in Kraft, das Grundlage der Einführung der elektronischen Gesundheitskarte ist. Zum Zeitpunkt der erwähnten Tagung an der FHB im Jahre 2004 ging man noch von einer flächendeckenden Einführung der egk im Jahre 2006 aus. Inzwischen schreiben wir das Jahr 2008 und es gibt eine nicht unbeträchtliche Skepsis, ob die neue Karte wohl noch vor 2010 in unser aller Hände sein wird. Aber hier liegt die Betonung auf aller. Denn seit 2006 ist die Karte in Testregionen Einsatz, wenn auch mit eingeschränkter Funktionalität und eingeschränkten Zugriffsmöglichkeiten für die Patienten. Wir glauben, dass 2008 ein lohnender Zeitpunkt ist, sich mit der egk auseinanderzusetzen. Es bewegt sich in letzter Zeit sehr viel auf diesem Gebiet nicht zuletzt weil die elektronische Gesundheitskarte nun in den sieben Testregionen (Bochum/ Essen, Flensburg, Heilbronn, Ingolstadt, Löbau-Zittau, Trier und Wolfsburg) im Einsatz ist. Dies setzt einerseits einen entsprechenden Reifegrad voraus und bringt andererseits wertvolle neue Erkenntnisse. Zu diesen Erkenntnissen zählt, dass der Patient zwar schon immer (in aller Munde und auf vielen Folien und Abbildungen) im Mittelpunkt stand, aber seine Bedürfnisse bei den bisherigen Szenarien und Umsetzungen häufig außen vor gelassen wurden. Diesem Punkt wollen wir u.a. unsere Tagung widmen. Da wir wohl alle irgendwann einmal in der Rolle des Patienten sein werden, unabhängig davon, ob wir einer der anderen Akteure im Kontext der egk sind oder nicht, geht uns dieses Thema alle gleichermaßen an.

5 Seite 4 Warum organisieren wir an der Fachhochschule Brandenburg in den Fachbereichen Wirtschaft sowie Informatik und Medien eine Tagung zur egk? Die unmittelbaren Bezugspunkte ergeben sich sowohl durch den Studiengang Medizininformatik im Fachbereich Informatik und Medien als auch durch das bereits erwähnte Projekt Bürger- ServiceNetz, das am Fachbereich Wirtschaft angesiedelt ist. Der Bachelor-Studiengang Medizininformatik wird seit dem Wintersemester 2007/08 neu angeboten. Er eröffnet den Studierenden ein interdisziplinäres und anwendungsorientiertes Studium. Die Medizininformatik behandelt alle Aspekte des Einsatzes moderner Informationstechnologie im Bereich des Gesundheitswesens. Hier dürfen selbstverständlich Themen wie die elektronische Gesundheitskarte, elektronische Gesundheitsund Patientenakten, integrierte Versorgung und Telemedizin nicht fehlen. Diese Themen werden uns noch über Jahre hinweg sowohl in der Forschung und Entwicklung als auch in der Anwendung beschäftigen. Unsere Absolventen werden in den vielfältigen Berufsfeldern, die ihnen offen stehen, immer wieder auf die eine oder andere Weise mit der egk und der damit verbundenen Infrastruktur konfrontiert werden. Daher geben wir den Studierenden einen frühen Einblick in diese Thematik. So haben sie bereits im ersten Semester eine entsprechende Einführung erhalten und eine Themenarbeit über integrierte Versorgung erstellt. Weiterhin können wir schon jetzt sehen, dass der Bedarf an kompetenten Informatik-Absolventen sehr hoch ist und beispielsweise auf dem Gebiet der Datensicherheit oder integrierten Versorgung etc. Abschlussarbeiten entstehen. Des Weiteren können Sie der oben genannten Aufzählung zu den teilnehmenden Testregionen entnehmen, dass im Land Brandenburg keine Tests durchgeführt werden und vielleicht dadurch ein Informationsmangel auftritt, dem wir mit unserer Tagung entgegenwirken wollen. Was sind die Ziele der Tagung egk 2008? Eine ausgewählte interessierte Öffentlichkeit soll über die Konzepte und den Umsetzungsstand bei der Einführung der elektronischen Gesundheitskarte informiert und wesentliche und aktuelle Fragestellungen im Zusammenhang mit der Einführung der egk diskutiert werden. Im Fokus soll dabei die Sicht der Patienten auf die egk stehen, deren Interessenvertretung bisher (objektiv) e- her im Schatten stand. Aus fachlicher Sicht sollen daher Fragen der Zugangsmöglichkeiten zu Patientendaten o durch die Patienten o durch Ärzte/ Notärzte o durch Krankenkassen o durch die Apotheken o an elektronischen Kiosken der Speicherung komplexer gesundheits- und behandlungsrelevanter Daten (elektronische Patienten- und Gesundheitsakten) des Datenschutzes und der Datensicherheit im egk-kontext sowie Querbezüge zu aktuellen Entwicklungen im E-Government näher beleuchtet werden. Antworten auf diese Fragen finden Sie in den folgenden Beiträgen. Die Aktualität und die Wichtigkeit dieses Themas in der Fachhochschule und in der Region wird durch die Grußworte des Präsidenten der Fachhochschule Brandenburg, Herrn Dr. Helmstädter, und der Oberbürgermeisterin der Stadt Brandenburg, Frau Dr. Tiemann, unterstrichen. Die Anordnung der weiteren Beiträge entspricht der Reihenfolge ihrer Präsentation auf der Tagung: Dabei werden im Plenum zunächst die Grundlagen vorgestellt: Herr Dr. Götz in seiner Eigenschaft als Vertreter des Bundesministeriums für Gesundheit betrachtet die strategische Herausforderung E- Health, wobei er eine interessante strategische Landkarte zum Ausbau von Gesundheits- Telematik- Diensten in Deutschland entwickelt. Der Beitrag von Herrn Dr. Skonetzki (Uni Erlangen) gibt einen ersten Einstieg in das Thema

6 Seite 5 elektronischen Gesundheitskarte sowie einen Gesamtüberblick über dieses Thema. Frau Prof. Dr. Anlauff (FH München) erläutert die Sicherheitsvorkehrungen, die beim Einsatz der elektronischen Gesundheitskarte vorgesehen sind und beantwortet somit wesentliche Fragen des Datenschutzes und der Datensicherheit. Dabei geht sie konkret auf erste Szenarien beim Einlösen eines elektronischen Rezeptes ein. In der Pause vor den Sektionen wird durch Herrn Dipl.-Ing Naumann vom Projekt BürgerServiceNetz (FH Brandenburg) ein neuer barrierefreier Kiosk vorgestellt, der insbesondere für den Einsatz in Gesundheitseinrichtungen geeignet und als multifunktionaler E-Kiosk auf die Patientenbedürfnisse rund um die egk angepasst ist. Die beiden parallel stattfinden Sektionen haben leicht differierende Foki: Sektion 1 ist auf die Perspektiven der systemnutzenden Akteure auf die egk ausgerichtet. Vertreter der Krankenkassen (die Herren Kaschel und Lohmann von der Barmer), der kassenärztlichen Vereinigung (die Herren Friedrich und Ruß) Klinikärzte (die beiden Honorarprofessoren Dr. Beck und Dr. Enzmann vom Klinikum Brandenburg) werden ihre Erkenntnisse, Konzepte und Herangehensweisen schildern immer mit den Interessen der Patienten im Blick und damit neben der Vermittlung interessanter Fakten und Erkenntnisse sicher auch die Diskussion beflügeln. Sektion 2 ist eher technologisch orientiert: Nach einer Darstellung der Bedeutung von Technologie und Standardisierung und der Darstellung des aktuellen technischen Entwicklungsstandes durch Herrn Dr. Goetz als Vertreter von TeleTrusT Deutschland e.v. und der Präsentation von Architektur und Funktionsweise der zentralen Komponente Konnektor durch Herrn Hochscheidt von der Siemens AG Medical Solutions wird Herr Schiefner von der Deutschen BKK über die ersten Erfahrungen beim Einsatz der egk in der Testregion Wolfsburg berichten. Last but not least wird Frau Prochnow, eine Apothekerin aus der Stadt Brandenburg, über ihre persönlichen Erfahrungen und Probleme in der täglichen Praxis und ihre Erwartungen an einen künftigen Einsatz der egk erläutern. An dieser Stelle möchten wir allen Autoren für Ihre Beiträge zu diesem Tagungsband herzlich danken. Ein besonderer Dank gilt unseren Mitarbeitern Frau Orlowski und Herrn Jacob für ihren großen Einsatz bei der Erstellung des Tagungsbandes und bei der Vorbereitung und Durchführung der egk Dank auch dem Mitveranstalter, dem Hochschulkolleg E-Government der Alcatel-Lucent Stiftung, mit dem wir nun schon zum wiederholten Mal gemeinsame Veranstaltungen durchführen und immer auf Kompetenz und Expertise zählen können. Wir wünschen der egk 2008 einen spannenden Verlauf und den Teilnehmern viele neue Erkenntnisse und kreative Ideen bei der künftigen Umsetzung der Konzepte der egk in die Praxis. Prof. Dr. Gabriele Schmidt Studienfachberaterin Medizininformatik (Bachelor) Prof. Dr. Dietmar Wikarski Studiengang Wirtschaftsinformatik Projektleiter BürgerServiceNetz

7 Seite 6 Grußwort des Präsidenten der FH Brandenburg Die egk 2008 Tagung zur elektronischen Gesundheitskarte an der Fachhochschule Brandenburg (FHB) steht in der Tradition von regelmäßigen Veranstaltungen zum Thema E-Government, die von Prof. Dietmar Wikarski initiiert und durchgeführt wurden. In diesem Kontext steht auch das Projekt BürgerServiceNetz, das seit dem Jahr 2003 an der FHB angesiedelt ist und auf die Überwindung der so genannten digitalen Spaltung in der Bevölkerung durch öffentlich zugängliche Bürger-Kioske zielt. Inzwischen konnten über 20 Bürgerkioske in drei Bundesländern realisiert werden. Die Nutzungszahlen dieser Kioske sprechen für sich: Die Tagung egk 2008 thematisiert den Entwicklungsstand und die Einführung der elektronischen Gesundheitskarte in Deutschland. Der Fokus liegt dabei auf der Sicht der Patienten, deren Interessenvertretung in dieser Debatte bisher eher im Schatten stand. Obwohl an der Fachhochschule Brandenburg mit ihren drei Fachbereichen Informatik/Medien, Technik und Wirtschaft das Fachgebiet Medizin auf den ersten Blick nicht vertreten zu sein scheint, gibt es gute Gründe, die Tagung zur Gesundheitskarte gerade hier zu veranstalten. Denn wir haben im Laufe des Jahres 2007 mit dem Studiengang Medizininformatik das erste und bislang einzige medizinisch ausgerichtete Studienangebot im Land Brandenburg geschaffen und damit der zunehmenden Verflechtung der Medizin mit den Bereichen der Natur- und Ingenieurwissenschaften Rechnung getragen. Dieser neue Studiengang ist eng verbunden mit den Potenzialen der Stadt, die über vier Kliniken, mehr als 160 Arztpraxen und insgesamt über mehr als 4000 Beschäftigte im Gesundheitssektor verfügt. Und der Studiengang wurde mit Partnern aus der medizinischen Praxis vor Ort gemeinsam gestaltet und ist damit ein Baustein, um das regionale Gesundheitscluster in Brandenburg an der Havel weiter zu stärken. Eine Tagung zur Gesundheitskarte findet also an der Fachhochschule Brandenburg ein kompetentes Umfeld. In der Tagungskonzeption erwies sich dabei die fachbereichsübergreifende Kooperation zwischen medizininformatischer und E- Government-Kompetenz als äußerst fruchtbar. Im Mittelpunkt der Tagung steht die aktuelle Diskussion um Fragen des Zugangs zu den Patientendaten, ihrer Speicherung und ihrer Vertraulichkeit, wobei besonderes Augenmerk auf die Sicht der Patienten gelegt wird. So wird z.b. ein eigens entwickelter barrierefreier BürgerKiosk im Rahmen dieser Veranstaltung der Öffentlichkeit vorgestellt werden. Die hochkarätigen Referent/innen vertreten alle wichtigen Akteure im Aktionsfeld der elektronischen Gesundheitskarte und der Telemedizin: Das Bundesministerium für Gesundheit, die niedergelassenen und Klinik-Ärzte, die Apotheken, die Krankenkassen und Testregionen sowie Vertreter aus den Hochschulen und der Industrie. Federführend auf Hochschulseite sind die Fachbereiche Wirtschaft (Studiengang Wirtschaftsinformatik) sowie Informatik und Medien (Studiengang Medizininformatik) und das bereits erwähnte Projekt BürgerServiceNetz, das neben vielen anderen auch zwei Bürger-Kioske im Städtischen Klinikum Brandenburg betreibt. Ich wünsche den Veranstalter/innen, Referent/innen und Teilnehmer/innen der egk 2008 einen spannenden und erkenntnisreichen Tagungsverlauf! Dr. Hans Georg Helmstädter, Präsident der Fachhochschule Brandenburg

8 Seite 7 Grußwort der Oberbürgermeisterin der Stadt Brandenburg an der Havel Brandenburg an der Havel hat sich in den vergangenen Jahren zu einem der bedeutendsten Gesundheitsstandorte im Land Brandenburg entwickelt. Dazu haben nicht nur die modernen medizinischen Einrichtungen und das breite Spektrum an niedergelassenen Ärzten beigetragen. Viele engagierte Vereine arbeiten in funktionierenden Netzwerken und überregional beachtete Kampagnen zusammen, um die Brandenburgerinnen und Brandenburger für wichtige Themen der Gesundheitsvorsorge zu sensibilisieren. Und inzwischen hat sich unsere Stadt auch einen guten Namen bei der Organisation und Durchführung von wissenschaftlichen Tagungen und medizinischen Fachkongressen erworben. Mit dem Start des interdisziplinären Studienganges Medizininformatik im Wintersemester 2007/08 haben die Fachhochschule Brandenburg und das Städtische Klinikum einen weiteren wichtigen Schritt in ihrer erfolgreichen Zusammenarbeit vollzogen und zur Steigerung der Medizinkompetenz von Brandenburg an der Havel beigetragen. Die zukünftigen Absolventen werden in der Lage sein, medizinische Probleme aus Sicht der Informatik zu betrachten und zu lösen. Mit dieser Ausbildung eröffnen sich ihnen gute Chancen auf dem Arbeitsmarkt. Das Gesundheitssystem in Deutschland steht in der Zukunft vor großen Veränderungen. Die Auswirkungen der demografischen Entwicklung, die Anwendung neuer medizinischer Behandlungsmethoden oder die Einführung der elektronischen Gesundheitskarte sind nur einige der Herausforderungen, die es durch das gemeinsame Handeln aller Beteiligten zu meistern gilt. In diesem Sinne wünsche ich der Tagung egk2008 einen erfolgreichen Verlauf. Dr. Dietlind Tiemann Oberbürgermeisterin der Stadt Brandenburg an der Havel

9 Seite 8 Die strategische Herausforderung ehealth ehealth Dr. med. Christoph F-J F J Goetz Die gegenwärtige Strategie zur Einführung einer flächendeckenden Telematik-Infrastruktur im deutschen Gesundheitswesen richtet sich aus an Herausforderungen, die für Gesundheitssysteme in allen Industrienationen grundsätzlich gleich sind. Immer neue diagnostische und therapeutische Möglichkeiten führen zu einem stetigen Anstieg der Lebenserwartung. Dadurch entsteht zwangsläufig ein ständig wachsender Kostendruck im System. Vor diesem Hintergrund kann die Sicherung einer ungeschmälert verfügbaren Versorgung nur durch die Ausschöpfung aller erkennbaren Reserven betrieben werden. Ein wesentlicher Schwerpunkt aller Prozesse im Gesundheitssystem war schon immer die Kommunikation zwischen den zentralen Akteuren der Versorgung. Dieser Aspekt bleibt auch in Zukunft bestimmend. Informationsbeschaffung, - aufbereitung und -transfer binden dabei bis heute erhebliche Ressourcen. Während in der Vergangenheit Kommunikationsprozesse im wesentlichen durch bilaterale Beziehungen und papierbasierten Verfahren geprägt waren, können künftig die Methoden der elektronischen und oft vernetzten Kommunikation eine erhebliche Optimierung der Geschäftsprozesse bewirken. Der umfassende Einsatz von Informationsund Kommunikationstechnologien (IKT) im Gesundheitssystem (auch oft unter dem Begriff "e- Health" subsumiert) bietet die Chance, eine Qualitätsverbesserung für den Bürger sowie eine Steigerung der Gesamtwirtschaftlichkeit in dem integrierten Gesundheitssystem zu realisieren, bei dem der Mensch in all seinen Lebenslagen von der Prävention über die Diagnostik und Behandlung bis hin zur Rehabilitation und Pflege als selbstbestimmte Person verstanden wird. Es ist dabei weitgehend anerkannt, dass eine solche Neuausrichtung zu dem dringend notwendigen Effizienz- und Entwicklungsschub führen kann. Trotzdem, das Gesundheitswesen in Deutschland beruht auf einem sehr feingliedrigen Rechts- und Vertragswerk zwischen den zahlreichen beteiligten Kostenträgern und Leistungserbringern. Dabei wird aufgrund der Finanzierung der verschiedenen Krankenversicherungs- und Sozialleistungssysteme zwischen gesetzlichen und einen privaten Anteilen unterschieden. In gleicher Weise komplizieren unterschiedliche Zuständigkeitsund Regelungskreise auf Bundes-, Landes- und regionaler Ebene das Beziehungsgeflecht noch weiter. Mit den Neuregelungen des Paragraph 291a Sozialgesetzbuch V wurde für die gesetzliche Krankenversicherung ein vollständig neuer Rahmen mit einheitlichen telematischen Infrastrukturkomponenten für die gesetzliche Krankenversicherung vorgegeben. Dieser hat Modellcharakter für alle weiteren Bereiche der Gesundheitsversorgung. Die so entstehende Telematik- Infrastruktur stellt die Kommunikation im Allgemeinen und die einzelne Anwendungen der Beteiligten im Besonderen sicher in einem offenen und zugleich transparenten Verfahren. Dieses wurde von Anfang an strategisch ausgerichtet durch die Einbindung aller gesellschaftlich relevanten Gruppen, bei denen diese Entwicklung letztendlich ankommen soll. Deutschland verfolgt dabei die Strategie, allen Beteiligten einen eigenen, gesicherten Zugang zu der für die Gesundheitstelematik dedizierten Infrastruktur zur Verfügung zu stellen. Das System ist dabei gegliedert in Bereiche für Nutzer (wie z.b. Leistungserbringer) und Bereiche für Dienste (wie z.b. Stammdaten), wie auch die verbindenden Infrastrukturkomponenten (wie z.b. Konnektoren). Heilberufsausweise (HBA) identifizieren dabei die Leistungserbringer und Gesundheitskarten die Versicherten. Für den Informationsaustausch selbst wird ein eigens abgesichertes Kommunikationsnetz etabliert in dem alle Stamm- und Nutzdaten der Versorgung und weitere Dienste transportiert werden. Der Zugang zu diesem Netzwerk wird über neu entwickelte,

10 Seite 9 hochsichere Konnektoren gebildet. Effektiv schaffen: a) gesicherte Zugänge (über Konnektoren) b) gesicherte Adressierung / Identitäten (über HBA s, BA s oder SMC s und egk s), c) (mittels kryptographischer Werkzeuge) gesicherter Transport und d) (mittels elektronischer Signaturen) gesicherte Justiziabilität gemeinsam die Grundlage, um papiergebundene Kommunikation im Gesundheitswesen in Deutschland umfassend durch Telematik zu ersetzen. Von zentraler Bedeutung sind dabei die gesicherten Identitäten innerhalb des technischen Netzes. Zu diesem Zweck erhalten alle Beteiligte im Gesundheitssystem eigene Signaturkarten, die quasi jene Autokennzeichen enthalten, mit denen sich die Beteiligten in der Telematik-Infrastruktur wie in einem neuen "Straßenverkehr" ausweisen. Wie auf einer Autobahn können die klar gegliederten Regeln und abgesicherten Zu- und Abfahrten verglichen werden mit den besonderen Verkehrsregeln einer neuen, elektronischen Straßenverkehrsordnung. Dabei wird zwar der Verkehr neu geregelt, aber die transportierten Inhalte unterliegen dem freien Austausch zwischen allen Beteiligten und sind, so lange sie die Spielregeln des Straßenverkehrs einhalten, selbst nicht individuell reglementiert. Neben der Sicherung von Datentransport stellt jedoch das zu jedem Zeitpunkt notwendige Vertrauen der Bürger in diese Infrastruktur die größte Herausforderung dar. Die absolute Freiwilligkeit der inhaltlichen Nutzung ist hierzu eine der wichtigsten Grundmaximen. Insgesamt stützt sich das ganze neue System dabei auf eine gesicherte Rechtsgrundlage und gibt die Schüssel zum Verfahren ausschließlich in die Hände der Betroffenen. Alle diese Ansätze zusammen bieten den Beteiligten die Sicherheit, dass ihre Gesundheitsdaten in dieser Telematik-Infrastruktur nur von berechtigten Personen für die richtigen Verfahren genutzt werden können. Die Verantwortung für den Aufbau dieser Infrastruktur im Rahmen der Anwendungen nach 291a SGB V liegt in Deutschland bei den Organisationen der Selbstverwaltung im Gesundheitswesen, die hierfür eine eigene Gesellschaft, die gematik, gegründet haben. Die gematik koordiniert die Betriebsverantwortung der beteiligten Leistungserbringer und Kostenträger und stellt sicher, dass diese ihre Rechte und Pflichten ordnungsgemäß wahrnehmen. Die Durchführung des operativen Betriebs ist jedoch nicht Aufgabe der gematik. Der eigentliche Betrieb der Gesundheitstelematik-Infrastruktur selbst obliegt allen Marktteilnehmern in klassisch wettbewerblich organisierten Verfahren. Anbieter von Diensten oder Komponenten qualifizieren sich auf dem Wege von Ausschreibungen und Zulassungsverfahren für den operativen Betrieb in der Telematik. Über diesen Bereich hinaus ist es aber auch wichtig, die Entwicklung der Gesundheitstelematik als den Aufbau eines ehealth-marktes zu verstehen, über die abschließend geregelten Strukturen der gesetzlichen und privaten Krankenversicherung hinaus. Dieser Markt ist sehr heterogen und umfasst viele angestammte, aber auch neue Akteure. Aufsetzend auf die gegenwärtigen Strukturen und Vorgaben für ehealth muss also langfristig auch betrachtet werden, was noch getan werden muss, damit sich integrierte Gesundheitsdienste im Gesundheitsmarkt im weitesten Sinne bedarfs- und wettbewerbsgerecht entwickeln können. "Integriert" bedeutet hierbei, dass unter effizienter Beteiligung der hierfür notwendigen Akteure gesundheitsrelevante Leistungen und Dienste in durchgängigen Prozessketten angeboten werden, die den Menschen mit all seinen spezifischen Anforderungen in all seinen Lebenslagen betreffen. In diesem Zusammenhang sind eine langfristige Interoperabilität und die beweisbare Einhaltung transparenter Sicherheitsstandards wesentlich. Dies kann nur erreicht werden durch die Konvergenz der heutigen Ansätze hin auf die Grundelemente der Telematik-Infrastruktur nach den Vorgaben der gematik. Während diese Eckpunkte für die Pflicht- und freiwilligen Anwendungen gemäß SGB V ausgerollt werden, sollten diese Dienste auch durch andere Mehrwertan-

11 Seite 10 wendungen genutzt werden. Es wäre sicher langfristig kontraproduktiv, wenn einzelne Anwendungen von ehealth eigenständige, eigene IKT- Infrastrukturenkomponenten aufsetzen und nutzen würden. Hier gilt es also durch strategische Anreize und strukturelle Angebote eine Konvergenz der Systeme zu erreichen. Übertragen auf das Beispiel des Straßenverkehrs bedeutet dies, dass der Verkehr über Straßen und Autobahnen gemäß der Straßenverkehrsordnung und nicht querfeldein freiwillig läuft, weil die Diensteanbieter von so praktischen "Spielregeln" ihre eigenen Vorteile schöpfen können. Landkarte zum Ausbau von Gesundheitstelema- tik-diensten Für diesen Zweck wird gegenwärtig an einem langfristig orientierten Ordnungsrahmen gearbeitet, der effiziente, durchgängige Prozesse und Kooperationen zwischen der Industrie und allen Beteiligten des Gesundheitssystems auf nationaler und internationaler Ebene ermöglicht und fördert. Diese Prozesse müssen auch unter Effizienz- und Effektivitätsaspekten durch moderne Informations- und Kommunikationstechnologien unterstützt werden und die Interessen möglichst aller relevanten Akteure angemessen berücksichtigen, wenn die neue Gesundheitstelematik eine Chance auf Realisierung haben soll. Bei allen folgenden Beiträgen dieser Konferenz lohnt es sich immer daran zu denken, dass die neue Infrastruktur im Gesundheitswesen selbst ein sehr komplexes Gebilde ist. Dieses neue Konstrukt muss dabei die eingangs dargestellte Situation mit allen ihren verschiedenen vertraglichen und ordnungspolitischen Facetten berücksichtigen. Technik darf dabei die Vertragslage nicht präjudizieren, sondern muss sich darauf beschränken, diese nachzubilden und zu unterstützen. Die Vertragswerke ihrerseits dürfen aber auch nicht Technik festschreiben, sie können nur Innovationspotenziale erschließen. Langfristig bleibt eine Erkenntnis unausweichlich: Die Telematik-Strategie im deutschen Gesundheitswesen kann nur dann erfolgreich sein, wenn sie den Menschen in ihrer zunehmend technisierten Welt ausreichend Rechnung trägt. Dr. med. Christoph F-J Goetz Bundesministerium für Gesundheit Referat Z 24, Grundsatzfragen der Telematik Friedrichstraße Berlin (Mitte)

12 Seite 11 Was steckt in und hinter der egk? Stefan Skonetzki-Cheng Einleitung Die Liste erfolgreich abgeschlossener Forschungsprojekte und Anwendungserprobungen seit den 1980er Jahren im Bereich telemedizinischer Anwendungen ist unglaublich vielfältig und reicht von der fallbezogenen Kommunikation zwischen unterschiedlichen Leistungserbringern über den Austausch von Leistungs- und Abrechnungsdaten bis hin zu Gesundheitsinformationen und -dienstleistungen für Bürger und Patienten. Selbst wenn man nur die Projekte herausgreift, bei denen ein erhebliches Kosteneinsparungspotential bei gleichzeitig verbesserter medizinischer Versorgung bzw. einer deutlichen Entlastung von Leistungserbringern, Angehörigen und Patienten, nachgewiesen werden konnte, hat es bisher keines dieser Vorhaben zu einer nachhaltigen bundesweiten Einführung geschafft [vgl. u.a. 1-3]. Die Gründe hierfür sind sicherlich sehr vielfältig, lassen sich nach einstimmiger Expertenmeinung aber im wesentlichen darauf zurückführen, dass keines dieser Projekte ausreichend dimensioniert ist, um die erforderliche Infrastruktur aufzubauen.[4] Dass der Bedarf für eine Infrastruktur zur sicheren Kommunikation dringlicher denn je besteht, belegt u.a. die aktuelle Studie Monitoring ehealth 2007 wonach 26% der befragten niedergelassenen Ärzte angaben das Internet wöchentlich oder öfter für den Austausch von medizinischen Dokumenten zu nutzen.[5] Vor diesem Hintergrund scheint es nur konsequent, dass die Bundesregierung im Jahr 2003 mit dem Gesetz zur Modernisierung des Gesundheitswesens auch den 295 des SGB V änderte und dort die schrittweise Erweiterung der Krankenversichertenkarte (KVK) hin zu einer elektronischen Gesundheitskarte (egk) festschrieb.[6] Obwohl die Gesundheitskarte seitdem im Mittelpunkt des öffentlichen Interesses steht, kann ein nennenswerter Anteil der geforderten Funktionalität zur Übermittlung von Befunden, Diagnosen und Therapiemaßnahmen, das elektronische Rezept, sowie die Anwendungen zur Prüfung der Arzneimittelsicherheit, erst durch die an gleicher Stelle festgeschriebene Einführung einer geeigneten Telematikinfrastruktur realisiert werden. Aufbau der Telematikinfrastruktur Ab diesem Zeitpunkt begann dann auch die Arbeit an der fachlichen Spezifikation der Telematikinfrastruktur. Ausgehend von unterschiedlichen Vorprojekten (z.b. protego.net, ATG oder AFGIS) legte das Industriekonsortium bit4health eine erste Skizze in Form einer Rahmenarchitektur vor. In der Folge wurde dann unter Leitung der Fraunhofer Gesellschaft eine so genannte Lösungsarchitektur mit konkreten technischen Details erarbeitet. Im Januar 2006 übernahm schließlich die Gesellschaft für Telematik im Gesundheitswesen (gematik) die Verantwortung für die Einführung und den Betrieb der Telematikinfrastruktur. Während die benötigten Bausteine für die Telematikinfrastruktur sowohl im Gesetzestext als auch in den ersten Spezifikationen des bit4health Konsortiums noch recht überschaubar waren, kamen im Laufe der Zeit kontinuierlich weitere Elemente hinzu. Neben der elektronischen Gesundheitskarte (egk) und dem Heilberufeausweis (HBA bzw. HPC) gibt es nun auch Sicherheits- Modul-Karten (SMC) zur Authentifizierung von Fachpersonal (SMC/A) ohne persönliche HPC (z.b. nicht-pharmazeutisches Personal in Apotheken, welches selbständig Rezepte einlösen darf) und von technischen Einrichtungen bzw. Institutionen (SMC/B) innerhalb der Telematikinfrastruktur (z.b. Patienten-Terminals oder Internetapotheken). Auch die benötigten Kartenlesegeräte wird es im Verlaufe der verschiedenen Einführungsphasen in unterschiedlichen Ausführungen geben. Für die ersten Tests werden so genannte Multifunktionale Kartenterminals (MKT) eingesetzt. Diese stellen im Wesentlichen eine Erweite-

13 Seite 12 rung der bisher bereits eingesetzten Kartenleser für die Krankenversichertenkarte (KVK) dar und erlaubt das Auslesen sowohl der bisherigen KVK als auch der egk. Damit sind sie sowohl für Speicherchipkarten als auch für Prozessor-Chipkarten geeignet. Für den späteren Routinebetrieb ist geplant ein ehealth-kartenterminal (eh-kt) auf Basis des Secure Interoperable ChipCard Terminal (SICCT) einzusetzen. Das SICC-Terminal basiert auf einem Industriestandard für ein sicheres Kartenlesegerät, welches über unterschiedliche Anschlussmöglichkeiten (RS232, USB, Ethernet) und ein standardisiertes Zugriffsprotokoll verfügt. Aufbauend auf diesem Standard wurde das eh-kt definiert. Die wichtigsten Erweiterungen betreffen die eindeutige Adressierbarkeit der eingesteckten Karten also HPC, egk und SMC sowie eine klare Zuordnung des eh-kt zu einem Telematik-Konnektor. Dieser Konnektor bildet das technische Bindeglied zwischen den verwendeten Softwaresystemen der Leistungserbringer (auch Primärsysteme genannt), den Kartenlesern und der Telematikplattform. Innerhalb des Konnektors laufen Prozesse ab, welche u.a. die sichere Authentifizierung der Teilnehmer der Telematikplattform und die Verschlüsselung der Datenübertragung realisieren. Nach Authentifizierung der eingesteckten Karten (egk, HPC, SMC) über den Konnektor, erhalten die Anwender Zugang zu den zentralen Diensten der Telematikplattform wie z.b. zu dem Management der Versichertenstammdaten (VSDM), der Verwaltung der Daten und Zusatzfunktionen auf der Karte (Kartenanwendungsmanagementsystem - CAMS) oder dem erezept-dienst (Verordnungsdatenmanagement - VODM). Über diese Dienste können z.b. die Versichertenstammdaten überprüft und ggf. aktualisiert, die freiwilligen Zusatzfunktionen auf der Karte aktiviert oder erezepte ausgestellt bzw. eingelöst werden. Stufen der Einführung Allein dieser kurze Abriss der notwendigen technischen Geräte und Verfahren zeigt, dass es weder sinnvoll noch organisatorisch möglich ist, alle Elemente der Telematikplattform in einem Zug zu entwickeln, zu evaluieren und in den praktischen Betrieb zu überführen. Aufgrund organisatorischer und technischer Probleme hat sich der Zeitplan bisher immer wieder verzögert. Zum derzeitigen Zeitpunkt ist eine Einführung in 4 Stufen - von der Gematik als Releases bezeichnet zunächst in den sieben Testregionen und später Deutschlandweit geplant. Release 0: setzt das MKT+ Szenario um. Hierbei wird zunächst die bisher bestehende Infrastruktur zum Lesen von Krankenversichertenkarten (KVK) erweitert, so dass auch die Versichertenstammdaten aus einer egk ausgelesen werden können. Darüber hinaus werden zunächst keine neuen Funktionen realisiert. Ein Zugriff auf die Telematikinfrastruktur ist in diesem Szenario ebenfalls noch nicht vorgesehen, weshalb es auch als ein offline -Szenario bezeichnet wird. Aus organisatorischer Sicht soll mit diesem Szenario zunächst der Status quo zur bisherigen Krankenversichertenkarte hergestellt werden. Release 1: beinhaltet ebenfalls eine offline - Variante. Neben dem Lesen der Versichtertenstammdaten (VSD) ist es hier möglich Funktionen zum Ausstellen und Einlösen von erezepten und zum Anlegen bzw. Auslesen der Notfalldaten zu verwenden. Wie in Release 0, ist auch hier noch keine Verbindung zu der Telematikplattform vorgesehen. Dies bedeutet, die Versichertenstammdaten können nicht online aktualisiert werden und Rezepte sowie Notfalldaten müssen zunächst direkt auf der Karte gespeichert werden. Obwohl dies aus Anwendersicht kein wirklich großer Schritt zu sein scheint, gibt es aus organisatorischer Sicht doch eine Reihe guter Gründe diesen Schritt zu gehen. So sollen u.a. vor dem Hintergrund der angemeldeten Bedenken der Leistungserbringer noch einmal ganz konkret die Auswirkungen auf die Arbeitsprozesse in Arztpraxis und Apotheke beim Ausstellen und Dispensieren von Rezepten überprüft und ggf. weitere Optimierungen wie z.b. die Stapelsignatur von Rezepten erprobt werden. Aus technischer Sicht steht hingegen vor allem das reibungslose Zusammenspiel der zahlreichen Einzelkomponenten wie egk, HBA, Kartenleser,

14 Seite 13 Konnektor und den unterschiedlichen Softwaresystemen in Arztpraxen, Krankenhäusern und Apotheken im Fokus des Interesses. Überprüft werden sollen vor allem die zahlreichen Kommunikations-, Authentifizierungs- und Verschlüsselungsverfahren, ohne die Management-Komponenten der Telematikinfrastruktur als zusätzliche mögliche Fehlerquelle betrachten zu müssen. Release 2: soll dann in zwei Teilschritten realisiert werden. Der erste Teilschritt soll es ermöglichen über ein spezielles Datenmanagement (CAMS) neue Funktionalitäten und Datenstrukturen auf die egk zu laden. In Verbindung mit einem zentralen Versichertenstammdatendienst (VSDD) wird es so z.b. möglich sein die Versichertenstammdaten (VSD) zu verifizieren und bei Bedarf auch zu aktualisieren. Der zweite Teilschritt sieht vor, das erezept durch online -Funktionalitäten zu erweitern, so dass Rezepte nicht mehr nur auf der Karte abgelegt werden müssen, sondern auch auf zentralen Rezept-Servern bereitgestellt werden können. Erst dadurch wird z.b. das Einlösen eines Rezeptes in einer Online- Apotheke sinnvoll möglich sein. Release 3: In dieser Stufe sollen die bestehenden Dienste Verordnungsmanagement (VODM) und Notfalldatenmanagement (NFDM) weiter ausgebaut und neue Dienste zur Realisierung der freiwilligen Anwendungen des Versicherten etabliert werden. Hierzu zählen u.a. earztbrief, Patientenquittung und elektronische Patientenakte. Welche Dienste im Detail tatsächlich weiterentwickelt werden und in welcher Reihenfolge dies geschehen wird, hängt im Wesentlichen von den Ergebnissen der Evaluation der ersten beiden Releases sowie den dann ggf. konkreter ausfallenden Anforderungen der Anwender ab. Auch wenn die Arbeiten bereits seit einigen Jahren mit Hochdruck vorangetrieben werden, wird es vermutlich noch gut 5 bis 10 Jahre dauern, bis wirklich alle angestrebten Funktionen und vor allem die erste wünschenswerten Zusatzanwendungen in der Praxis etabliert sind. Funktionen der egk Verfolgt man die öffentlich geführten Diskussionen rund um das Thema Gesundheitstelematik, so stehen derzeit weniger die Funktionalitäten möglicher Anwendungen im Vordergrund, sondern es wird vielmehr sehr intensiv über entstehende Sicherheitsrisiken, die Vor- und Nachteile der unterschiedlichen Speicherorte (zentrale Datenbanken vs. Speicherung der Daten auf der Karte) sowie die verwendeten Authentifizierungsmechanismen diskutiert. In der Praxis sorgen dabei allein die vielen unterschiedlichen Funktionen der egk als Ausweiskarte, Schlüsselkarte, Signaturkarte und Datenspeicher regelmäßig für Missverständnisse in den geführten Diskussionen. Die Funktion der Ausweiskarte ist mit der Funktion der bisherigen Krankenversichertenkarte vergleichbar. Hierbei dient die egk zunächst als Sichtausweis durch die aufgedruckten Informationen über den Karteninhaber sowie sein Passfoto. Zusätzlich sind die für eine Behandlung in Deutschland notwendigen Angaben zur Versicherung noch einmal elektronisch im Speicher der Karte abgelegt. Ebenfalls als Sichtausweis sind auf der Rückseite die Daten des E111-Ausweises (Europäischer Krankenschein) aufgedruckt. Neben der Funktion als Ausweiskarte dient die egk auch als Datenspeicher für den Notfalldatensatz sowie eine beschränkte Anzahl an erezepten. Während die aufgedruckten Daten auf der Karte für jedermann lesbar sind, wurden für den Zugriff auf die elektronisch gespeicherten Daten je nach Anwendung angepasste Sicherheitsmechanismen entwickelt. Die Möglichkeiten reichen hierbei von der Eingabe der PIN des Versicherten für den Zugriff auf Versichertenstammdaten, welche in der Karte gespeichert sind, über die gegenseitige Authentifizierung von Arzt und Patient mit Hilfe von egk und HBA bis hin zu unterschiedlichen Kombinationen von PIN und Authentifizierung. Jedes dieser Verfahren hat seine individuellen Vor- und Nachteile bei der Sicherheit aber auch bei dem Komfort der Handhabung. Deshalb wird je nach Schutzbedarf für jede Anwendung individuell festgelegt, welche Sicherungsmechanismen eingesetzt werden.

15 Seite 14 Ein weiteres Feld der Diskussion ist die Frage, welche Daten direkt auf der egk gespeichert werden sollen (z.b. Notfalldaten), bei welchen Daten es im Prinzip egal ist, ob sie zentral auf einem Server oder auf der Karte gespeichert werden (z.b. erezept) oder bei welchen Daten es sinnvoller ist sie z.b. aufgrund des Datenvolumens besser in einer zentralen Infrastruktur zu speichern (z.b. Elektronische Patientenakte). Von technischer Seite her können dabei nur eine beschränkte Menge an Daten direkt auf der egk elektronisch gespeichert werden. Zusätzlich können mit Hilfe so genannter Tickets Verweise auf extern gespeicherte Daten abgelegt werden. Dieses Konzept ist am ehesten mit dem Katalog einer Bibliothek vergleichbar, wo auf wenigen Seiten komprimiert nachzulesen ist, welche Bücher bzw. Informationen in der Bibliothek zu finden sind. Um die Inhalte dann tatsächlich lesen zu können, muss dann in dem jeweiligen Buch nachgeschlagen werden. In die Welt der Gesundheitstelematik übertragen bedeutet dies, dass in der egk gespeichert ist, in welchen anderen Systemen sich Daten zu dem Patienten befinden und wie man diese abrufen kann. Eine weitere wichtige Funktion der egk ist die Funktion als Signaturkarte. Hierzu enthält die egk eine Reihe elektronischer Zertifikate, durch welche die Identität der Karte und des Karteninhabers festgestellt werden kann. Zusätzlich beinhaltet die Karte noch verschiedene Schlüssel mit denen Informationen ver- und entschlüsselt werden können, um eine (abhör-) sichere Kommunikation innerhalb der Telematikplattform zu ermöglichen. Basierend auf all diesen Funktionen der egk wurde für jede Anwendung unter Berücksichtigung von technischen, ergonomischen und datenschutztechnischen Aspekten sorgfältig abgewogen, welche Kombination aus Datenspeicherort, Zugangskontrolle und Verschlüsselung jeweils am effektivsten und sichersten ist. Vor dem Hintergrund der vielfältigen Kombinationsmöglichkeiten und aufgrund der Tatsache, dass die Diskussion, welche Sicherungsmechanismen und Speicherorte optimal sind, noch nicht für alle Fachanwendungen abschließend geklärt ist, wird verständlich, warum es nicht ganz einfach ist ü- ber die Sicherheit, Praktikabilität bzw. dem Nutzen der egk als Ganzes zu reden und warum es manchmal so erscheint als ob die Beteiligten gar nicht über ein und dieselbe egk sprechen. Schlussbemerkung Die derzeit in sieben Testregionen durchgeführten praktischen Anwendungserprobungen der einzelnen Releases liefern neben essentiellen technischen Detailverbesserungen vor allem wertvolle Hinweise für zahlreiche Details der bisher spezifizierten Anwendungen hinsichtlich ihrer Praxistauglichkeit und Sicherheit, welche sich nur schwer im Vornherein planen oder im Labor simulieren lassen. Von daher kommt der noch ausstehenden systematischen Evaluation der Praxistests eine zentrale Bedeutung als ergänzendes objektives Element zu den Konsensverfahren während der Spezifikation und den bisher gemachten subjektiven Erfahrungen der Labor- und Praxistests zu. Ob die Einführung der egk in einigen Jahren als Erfolg oder Misserfolg bewertet, wird hängt nach derzeitigem Stand der Dinge vor allem mit den tatsächlich erfolgreich realisierten Anwendungen und dem damit verbundenen Nutzen zusammen. Letztendlich wird es also um eine Abwägung zwischen individuellem Nutzen und Komfort gehen. Damit der Nutzen überwiegt, wird es nicht ausreichen die bisher im Mittelpunkt stehenden Arbeits- und Kommunikationsprozesse zwischen Ärzten, Apothekern und Angehörigen sonstiger Gesundheitsberufe zu optimieren, sondern es wird vielmehr notwendig sein vor allem für die Versicherten wirklich nutzbringende Angebote zu entwickeln. Ansonsten wird aus dem Versicherten anstelle des angestrebten Empowerten Patienten ein besserer Briefträger mit einem zuverlässigen Authentifizierungs- und Dokumentenlieferservice.

16 Seite 15 Literatur [1] Maglaversa S, Prenza A, Maglaveras N, Leka I, Sakka E, Leonardidis L. Continuous home care monitoring services through INTERLIFE. Conf Proc IEEE Eng Med Biol Soc 1:5200-3, [2] Ickenstein GW, Horn M, Schenkel J, Vatankhah B, Bogdahn U, Haberl R, Audebert HJ. The use of telemdedicine in combination with a new stroke-code-box significantly increases t-pa use in rural communities. Neurocrit Care 3(1): 27-31, [3] Eberl R, Biskup K, Reckwitz N, Murh G, Glasbrummerl B. The televisit system in patients acare after discharge in clinical use -first experiences. Biomed Tech (Berl). 50(5): [4] Berger R, GmbH P. Telematik im Gesundheitswesen - Perspektiven der Telemedizin in Deutschland (für das Bundesministerium für Bildung, Wissenschaft, Forschung und Technologie). München: Roland Berger Unternehmensberatung; 1998 Januar [5] GmbH W, BDI, BITKOM, ZVEI, Hartmannbund, FIAO. Monitoring ehealth Deutschland Prozessoptimierung, ehealth und Vernetzung im deutschen Gesundheitswesen. Berlin: wegweier GmbH; [6] Schmidt U. Komprimierte Fassung des Entwurfs eines Gesetzes zur Modernisierung des Gesundheitssystems und Erläuterung der wesentlichen Regelungen. 2003:14. Dr. Stefan Skonetzki-Cheng Lehrstuhl für Medizinische Informatik, Friedrich-Alexander-Universität Erlangen/ Nürnberg Schlossplatz Erlangen

17 Seite 16 Die Sicherheitsfunktionen der elektronischen Gesundheitskarte te - aufgezeigt am elektronischen Rezept Prof. Dr. Heidi Anlauff Abstract In der geplanten Telematik-Infrastruktur des deutschen Gesundheitswesens wird die elektronische Gesundheitskarte (egk) eine Schlüsselrolle spielen. Sie soll auf der einen Seite zur sicheren Speicherung von personenbezogenen und medizinischen Daten eingesetzt werden, zum anderen aber auch einen sicheren Zugang zu zentralen Datenbeständen gewähren. Dieser Beitrag möchte aufzeigen, wie sich die Schutzmechanismen moderner Smartcards zu diesem Zweck einsetzen lassen. 1. Telematik im Gesundheitswesen Bereits im Jahre 1996 wurde vom Bundesministerium für Gesundheit (BMGS) bei der Unternehmensberatung Roland Berger & Partner eine Studie Telematik im Gesundheits-Wesen in Auftrag gegeben. Dabei sollte eine geeignete Rahmenarchitektur entworfen werden, die eine elektronische Kommunikation zwischen allen Beteiligten im Gesundheits-Wesen als Grundlage hat. Insbesondere sollte der Einsatz von Smartcards als Zugang zur Telematik Infrastruktur und als sicherer Speicher für die Versichertendaten und medizinischer Information untersucht werden. Ziel des Projektes ist die Schaffung eines modernen und effizienten Gesundheitswesens durch Einsatz moderner Techniken. Durch die elektronische Verfügbarkeit der medizinischen Daten in einer elektronischen Patientenakte (epa) sollen z.b., Mehrfachuntersuchungen vermieden, die Verträglichkeit von Medikationen gesichert und Medienbrüche umgangen werden. Die Versorgungsqualität soll insgesamt optimiert werden. Die Datenhoheit muss dabei nach den Gesetzen des Datenschutzes bei den Versicherten liegen, die ärztliche Schweigepflicht muss weiterhin gewahrt bleiben und alle geltenden rechtlichen Schutzmaßnahmen für die äußerst sensiblen medizinischen Daten müssen weiter gewährleistet bleiben. Mit der Verabschiedung des GKV-Modernisierungsgesetzes (in Kraft seit ) wurde die Einführung der egk festgeschrieben. [BGM]. Das Konsortium bit4health (better IT for better health) 1 erarbeitete eine Telematik-Rahmenarchitektur, die im März 2004 an Bundesministerin Ulla Schmidt übergeben wurde [bit4health]. Am wurde protego.net (Projekt für Telematik der Gesundheitsorganisationen) 2, ein Projektbüro gegründet, das gesetzlich zur Einführung der elektronischen Gesundheitskarte verpflichtet war und im September 2004 eine nicht konsentierte Lösungsarchitektur vorstellte. Schließlich wurde im März 005 anlässlich der CeBit eine Lösungsarchitektur präsentiert, die von den Fraunhofer Instituten ISST, IAO und SIT entwickelt wurde [CeBit]. Am erfolgte die Gründung der gematik (Gesellschaft für Telematikanwendungen der Gesundheitskarte mbh) 3 mit dem Ziel der Festlegung der technischen Spezifikationen und der Datensätze der egk sowie der Durchführung der Labortests und Feldtests und der flächendeckenden Einführung der egk. Es handelt sich um das weltweit größte IT- Projekt. Betroffen sind ca. 80 Mio Versicherte, 1 Das Konsortium bit4health bestand aus IBM Deutschland, dem Chipkartenhersteller ORGA, dem Softwarehersteller SAP, dem Patientenaktenspezialisten InterComponentWare sowie dem Fraunhofer-Institut für Arbeitswirtschaft und Organisation. 2 protego.net setzte sich zusammen aus den Organisationen der gemeinsamen Selbstverwaltung und der privaten Krankenversicherungen. protego.net wurde Ende 2004 aufgelöst. 3 In der gematik GmbH sind Mitglieder von 15 Spitzenorganisationen des deutschen Gesundheitswesens vertreten, unterstützt von einem Beirat mit Vertretern der Länder, der Wissenschaft, der Versicherten und dem Bundesbeauftragte für Datenschutz.

18 Seite Ärzte und Zahnärzte, Apotheken, 2200 Krankenhäuser, 300 Krankenversicherungen sowie weitere sogenannte Erbringer ärztlicher Leistungen. Derzeit laufen in einigen Testregionen Zehntausendertest, voraussichtlich ab Ende 2008 werden schrittweise alle Versicherten von den Krankenkassen mit der neuen egk ausgestattet, die Ärzte, Zahnärzte, Apotheker und Leistungserbringer erhalten von den entsprechenden Kammern einen HBA (Heilberufsausweis), mit dem die Berechtigung zum Zugriff auf die egk und zur Nutzung der Dienste erteilt wird. Voraussetzung für die Umsetzung des Projekts ist eine geeignete Infrastruktur. Die Telematik-Infrastruktur ist ein geschlossenes Netz, das nur über spezielle Zugangspunkte erreichbar ist. Auf einem zentralen Serververbund werden die medizinischen Daten in Form von elektronischen Patientenakten hinterlegt. Die Systeme der Leistungserbringer (Arztpraxen, Krankenhäuser und Apotheken) sind durch spezielle Konnektoren ü- ber das Internet mit dem Serververbund gekoppelt (vgl. Abb.2). Durch Verschlüsselung wird eine sichere Kommunikation ermöglicht. Die Backendsysteme der Krankenkassen erhalten zu Abrechnungszwecken ebenfalls über eine durch einen Konnektor abgesicherte Schnittstelle Zugriff auf die nötigen Daten. Die Erteilung von Zulassungen für die Hardware- und Software-Komponenten erfolgt durch die gematik, ebenso der Aufbau einer PKI (public key infrastructure) mit Trustcentern zur Erstellung und Verwaltung der notwendigen Zertifikate und Schlüssel. 300 Krankenversicherungen Ärzte und Zahnärzte Krankenhäuser Apotheke n Sonstige Erbringer medizinischer Leistungen 80 Mio Krankenversicherte (71 Mio gesetzlich, 9 Mio privat) Abb. 1 Telematik im Gesundheitswesen Beteiligte

19 Seite 18 Abb. 2 Telematik im Gesundheitswesen Infrastruktur [bit4health] 2. Sicherheitsmechanismen moderner Smart- cards Sowohl für den HBA als auch für die egk werden moderne Smartcards vom Typ Prozessorkarte eingesetzt. Diese sind mit einer Reihe von standardisierten Sicherheitsmechanismen ausgestattet, die es ermöglichen, die hohen gestellten Anforderungen zu erfüllen Kartentyp Prozessorkarten verfügen über eine eigene CPU (Central Processing Unit) auf dem Chip, unterstützt von einem Coprozessor zur schnellen Ausführung kryptographischer Operationen 4. Der Zugriff auf die Daten einer Smartcard ist nur über das COS (Card Operating System) möglich, das die Einhaltung der Zugriffsbedingungen überwacht. Über das Terminal wird die Schaltung auf der Karte mit den nötigen elektrischen Signalen versorgt, die Kommunikation erfolgt über eine serielle Leitung (I/O). Auf einer Prozessorkarte gibt es üblicherweise drei verschiedene Speicherbereiche: ROM (Read Only Memory) für permanente Daten der Applikationen, darunter fällt insbesonde- Abb. 3 Architektur einer Prozessorkarte 4 Dieser Kartentyp unterscheidet sich grundlegend von den reinen Speicherkarten, die für die noch übliche Krankenversicherungskarte verwendet werden. Diese können mit jedem beliebigen Kartenterminal ausgelesen und auch beschrieben werden (einige der privaten Krankenkassen verwenden inzwischen Speicherkarten mit Pin-Schutz, die die Daten vor Überschreibung schützen).

20 Seite 19 re der Großteil des Betriebssystems. Der Inhalt des ROM wird bei der Chip-Produktion eingetragen und kann nur gelesen werden. eeprom (electrically erasable programmable ROM) für kartenspezifische Daten, die geändert werden können, aber von Sitzung zu Sitzung ihren Wert behalten. Dazu gehören personenbezogene Daten, die während der Kartenpersonalisierung aufgespielt werden, persönliche Keys und PINs. In diesem Speicherbereich liegt das Dateisystem der Smartcard. RAM (Random Access Memory) für Zwischenergebnisse. Dieser Speicher ist flüchtig, die Daten werden nach dem Entfernen der Karte aus dem Terminal automatisch gelöscht Sicherheitsfunktionen von Smartcards In der internationalen Norm ISO werden die Standardkommandos für Smartcards definiert, darunter eine Reihe von Sicherheitsfunktionen. Die wichtigsten davon seien hier kurz erwähnt: Authentifizierungskommandos Internal / External / Mutual Authenticate Mit diesen Kommandos kann die Echtheit einer Karte, eines Terminals, bzw. beider Komponenten überprüft werden. Es handelt sich um ein sog. Challenge-Response-Verfahren, bei dem ein Partner dem anderen eine zufällige Zahl übermittelt, die von diesem mit einem geheimen Schlüssel, der nur den beiden Partnern bekannt ist, verschlüsselt und zurückgesendet wird. Aus der Korrektheit des Chiffrats kann auf die Authentizität des Partners geschlossen werden, da er dazu den geheimen Schlüssel besitzen muss. Wichtig dabei ist, dass der Schlüssel selbst nicht die Karte bzw. das Terminal verlässt. Die Erzeugung von Zufallszahlen ist ebenfalls eine Grundfunktion von Smartcards. Für die Telematik-Anwendung wird zusätzlich eine Card-2-Card-Authentisierung zwischen egk und HBA benötigt. Diese erfolgt über den Konnektor, der mit zwei Kartenterminals verbunden ist, in denen die egk und der HBA stecken. Es erfolgt schrittweise eine wechselseitige Authentifizierung zwischen egk und Konnektor sowie zwischen Konnektor und HBA. Dieses Vorgehen ist in der Spezifikation der egk [egk_spec2] durch die gematik vorgeschrieben. PIN-Verifikation Mit dem Kommando VerifyPin wird auf der Karte eine PIN-Überprüfung durchgeführt. Die Fehlversuche werden mit einem Retry Counter gezählt. Bei einer erfolgreichen PIN-Verifizierung wird der Retry Counter wieder zurückgesetzt. Erreicht der Retry Counter einen festgelegten Wert (üblicherweise den Wert 3), so wird die Karte gesperrt, d.h. es können keine Kommandos mehr ausgeführt werden außer einer Deblockierung (s.u.). Bei modernen Smartcards wird die PIN selbst nicht im Klartext auf der Karte gespeichert, sondern ein Referenzwert, der sich durch Verschlüsselung ergibt. Bei der PIN-Verifikation wird die eingegebene PIN ebenfalls verschlüsselt und mit dem gespeicherten Referenzwert verglichen. Die PIN kann eine Länge von 4 bis 12 Zeichen annehmen. Nach der Spezifikation der egk soll eine 6-stellige PIN, bestehend aus Ziffern zum Einsatz kommen, Vorbelegung für die Tests ist der Wert Deblockierung Eine gesperrte Karte kann mit dem Kommando ResetRetryCounter wieder entsperrt werden. Dazu ist die Eingabe eines PUK (Personal Unblocking Key) nötig, wahlweise kann dabei eine neue PIN festgelegt werden. Bei erfolgreicher Ausführung des Kommandos ist der Retry Counter wieder zurückgesetzt, die Karte ist nicht mehr blockiert. Die zulässigen Fehlversuche für eine Deblockierung sind ebenfalls begrenzt, bei Überschreitung des Wertes ist die Karte irreversibel gesperrt Die Länge des PUK muss zwischen 8 und 12 liegen, für die Testphase ist ein 8-stelliger PUK mit Vorbelegung geplant. Die Zahl der zulässigen Versuche liegt herstellerspezifisch zwischen 1 und 15. Jede erfolgreiche Ausführung eines der genannten Kommandos wird vom COS registriert

21 Seite 20 und in einem Satz von Zustandsvariablen gespeichert, die den Sicherheitszustand der Karte definieren. Die Zulässigkeit von Zugriffen auf die gespeicherten Daten ist vom erreichten Sicherheitszustand abhängig. Beim Starten der Kartenanwendung werden die Zustands-variablen zurückgesetzt, d.h. es liegt der niedrigste Sicherheitslevel vor. Verschlüsselung von Daten und Erzeugen und Verifizieren Digitaler Signaturen und Zertifikate Der Krypto-Coprozessor führt moderne kryptografische Verfahren aus, wie die symmetrischen Verfahren DES und DES-3, das asymmetrische Verfahren RSA mit mindestens 1024 bit Schlüssellänge und die Hashfunktionen SHA-1 (160 bit) und SHA-2 (mit bis zu 512 bit). Weiter besteht die Möglichkeit der Erstellung und Überprüfung digitaler Signaturen. Bei der Erzeugung einer digitalen Signatur für ein Dokument wird der Hashwert des Dokuments berechnet und mit dem Private Key des Ausstellers verschlüsselt. Durch erneutes Berechnen des Hashwerts durch den Empfänger und Entschlüsseln der Signatur mit dem Public Key des Absenders kann die Echtheit des Dokuments und die Identität des Ausstellers verifiziert werden. Diese Funktionalität befindet sich auf dem HBA und der egk und kommt beim erezept zum Einsatz. Zur Erzeugung und Verwaltung der Schlüssel wird eine PKI (Public Key Infrastruktur) benötigt, die für die Ausgabe und Zertifizierung der Schlüssel verantwortlich ist. Diese Infrastruktur wird derzeit von der gematik aufgebaut. Die Überprüfung der Zertifikate kann auf der Karte erfolgen Das Filesystem Im eeprom der Smartcard liegt das Filesystem. Es ist hierarchisch aufgebaut mit begrenzter Tiefe (z.b. 8). Man unterscheidet zwischen DFs (Dedicated File: Directory) und EFs (Elementary File: Datenfile). Das MF (Master File: Root) bildet das o- berste Directory. Üblicherweise wird für jede Anwendung auf der Karte je ein Directory unter dem MF angelegt, das die zugehörigen Datenfiles und eventuell weitere Unterverzeichnisse enthält. Abb. 4 Beispiel für eine Verzeichnisstruktur auf einer Smartcard In jedem Directory findet sich ein spezielles File EF.ARR (EF-Access Rules), das einen Satz von Zugriffsregeln für die Files in diesem Directory enthält. So kann z.b. ein lesender Zugriff auf ein Datenfile von einer vorherigen erfolgreichen PIN- Verifikation abhängen, oder ein Schreibzugriff von einer erfolgreichen Authentifizierung des Terminals. Bei jedem Zugriff auf ein File werden diese Zugriffsregeln vom COS überprüft und der Zugriff nur dann gewährt, wenn alle Sicherheitsattribute erfüllt sind. Abbildung 4 zeigt ein Beispiel für eine Verzeichnisstruktur auf einer Smartcard. In dem File EF1.ARR unter dem Masterfile sind die Zugriffsregeln auf die Unterverzeichnisse DF1 und DF2 festgelegt, die Zugriffsregeln für die Files EF1 und EF2 im Verzeichnis DF1 stehen in EF2.ARR.

22 Seite Die elektronische Gesundheitskarte Abbildung 5 zeigt die neue elektronische Gesundheitskarte. Eine optische Personalisierung mit dem Lichtbild des Versicherten bietet Schutz vor Fälschung und Missbrauch der Karte. Auf der Kartenrückseite befindet sich der Europäische Krankenversicherungsnachweis in optischer Form. Abb. 5 Vorderseite und Rückseite der egk [BGM] 3.1. Funktionalitäten der egk im Überblick Die egk soll folgende Funktionalitäten enthalten Pflichtanwendungen Versicherungsnachweis inklusive Lichtbild erezept Europäischer Krankenversicherungsnachweis (optisch) Freiwillige Anwendungen Notfalldaten Elektronischer Arztbrief Arzneimitteldokumentation Elektronische Patientenakte Patientenfach Patientenquittung In der 1. Stufe soll die Funktion der bisherigen (unsicheren) Krankenversicherungskarte übernommen werden, nämlich die Speicherung der Stammdaten des Versicherten. Diese sind offen lesbar, können aber nur durch die ausstellende Krankenversicherung geschrieben und geändert werden. Als erste Pflichtanwendung wird das elektronische Rezept realisiert, das die bisherigen Papierrezepte ablösen soll. Diese Anwendung wird im Folgenden noch genauer behandelt. In weiteren Ausbaustufen sollen freiwillige Anwendungen folgen, darunter die Speicherung eines Satzes von Notfalldaten 5, der jederzeit ausgelesen werden kann, eine Arzneimitteldokumentation, die die Verträglichkeitsüberprüfung von Medikamenten ermöglichen soll, ein elektronischer Arztbrief, ein Verweis auf die Elektronische Patientenakte und ein sog. Patientenfach, in dem der Versicherte eigene Eintragungen vornehmen kann. Auf Wunsch des Versicherten kann auch ein Hinweis auf eine Patientenverfügung oder eine Erklärung zur Organspende eingetragen werden. Nach dem Datenschutzgesetz ( informationelle Selbstbestimmung ) muss die Datenhoheit beim Versicherten liegen, d.h. die Einträge auf der Karte außer den Stammdaten können nur mit Einverständnis des Versicherten vorgenommen werden. Der Zugriff auf die Daten kann vom Versicherten gesteuert werden, indem er nach seinem Willen Daten verbergen oder sichtbar machen oder auch löschen kann. Zusätzlich werden in einem Loggingfile die letzten 50 Schreibzugriffe auf die Karte protokolliert (Datum, Name des Arztes, Art des Zugriffs). 5 Der Notfalldatensatz der egk basiert auf dem schon heute in Papierform erhältlichen Europäischen Notfallausweis. Er enthält u.a. Informationen über chronische Erkrankungen, Allergien, Arzneimittelunverträglichkeiten, Laborwerte und Medikation oder sonstige therapeutischen Maßnahmen.

23 Seite 22 Abb. 6 Filesystem der egk [egk_spec2] Zur Anschauung soll hier ein Passus aus der Spezifikation der egk zitiert werden, der das erezept betrifft [egk_spec3]: Der Versicherte hat das Recht - auf Wunsch eine für ihn lesbare Information über das im elektronischen Rezept verordnete Arzneimittel zu erhalten - das elektronische Rezept oder die wichtigsten darin enthaltenen Informationen zu lesen; - ein bestimmtes Rezept vor einer Apotheke zu verbergen; - ein elektronisches Rezept löschen zu lassen. Der Versicherte hat nicht das Recht, Verordnungen (gemäß 291a, Absatz 2, Satz 1, Nr.1 SGB V) selbst in die egk einzutragen oder zu modifizieren. Durch entsprechende Modellierung und Ausgestaltung der Zugriffsregeln muss sichergestellt werden, dass derartige Operationen nicht möglich sind Die Sicherheitsfunktionen der egk Im Folgenden soll am Beispiel des erezepts gezeigt werden, wie die beschriebenen Sicherheitsfunktionen bei der egk zum Einsatz kommen. Abbildung 6 zeigt das Filesystem der egk, wie es von der gematik in [egk_spec_2] spezifiziert ist. Zu jedem DF und EF sind eine Reihe von Sicherheitsattributen festgelegt, die rollen-basierte Zugriffsbedingungen festlegen. Unmittelbar unter dem MF (root) liegen die Verzeichnisse für die verschiedenen Anwendungen der egk: DF.HCA für die Health Care Applikation (Gesundheitsanwendung). In diesem Verzeichnis befinden sich die Dateien für medizinische Anwendungen, wie das erezept DF.ESIGN und DF.CIA.ESIGN mit Authentisierungs- und Verschlüsselungsfunktionen DF.QES für qualifizierte elektronische Signatur Daneben finden sich EF.ATR mit Information zur Identifizierung der Karte, PIN.CH und PIN.home mit den PINs des Karteninhabers für Pflicht- und freiwillige Anwendungen weitere Files für PUK, Keys und Zertifikate

24 Seite 23 Abb. 7 Dateistruktur für die Gesundheitsanwendungen [egk_spec2] Das DF.HCA hat das Sicherheitsattribut SELECT: ALWAYS, das bedeutet, es kann immer selektiert werden. Abbildung 7 zeigt die Dateistruktur für die Gesundheitsanwendungen. Das File EF.eRezept_Container dient zur Aufnahme von elektronischen Rezepten, das File EF.eRezept.Ticket speichert die zugehörigen Tickets, über die ein Zugriff auf die erezepte erfolgt. EF-Logging ist die Loggingdatei, die Information über die letzten 50 Zugriffe auf die Karte speichert. Das File EF.DM (Display Message) enthält ein Geheimnis, das nur dem Karteninhaber bekannt ist, das nach erfolgreicher Authentifizierung des Terminals angezeigt wird. Daran kann der Versicherte erkennen, dass er mit einem authentischen Terminal arbeitet. Für jedes EF sind in [egk_spec2] Attribute definiert, die die Zugriffsbedingungen festlegen. Diese können in einem EF.ARR hinterlegt werden oder mit einem vergleichbaren Mechanismus implementiert werden. Ein erezept kann direkt auf die Karte geschrieben oder auf einem er-server hinterlegt werden. Im Folgenden werden einige Szenarien beim Ausstellen und Einlösen von erezepten dargestellt. Ausstellen eines erezeptes auf der egk Das erezept wird im PVS (Praxis-Verwaltungs- System) durch den Arzt oder einen Mitarbeiter zusammengestellt und mit dem Private Key des Arztes signiert, der sich auf dessen HBA befindet. Der Arzt kann eine Kopie des Rezepts in seinem Primärsystem ablegen. Es folgt eine C2C- Authentisierung zwischen HBA und egk, bevor das erezept und ein zugehöriges er-ticket auf die Karte geschrieben werden. Eine Eingabe der PIN des Versicherten ist dazu nicht nötig, durch die Herausgabe seiner Karte wird sein Einverständnis vorausgesetzt. Da der Lesezugriff auf das Rezept durch die PIN des Versicherten abgesichert ist, wird das erezept in diesem Fall nicht verschlüsselt. Abschließend wird ein Eintrag in den Logging-Datensatz auf der Karte vorgenommen. Abb. 8 Ausstellen und Einlösen eines erezepts auf der egk

25 Seite 24 In der Apotheke erfolgt als erstes eine C2C- Autorisierung zwischen dem HBA des Apothekers und der egk im AVS (Apotheken-Verwaltungs- System). Es ist keine PIN-Eingabe durch den Versicherten nötig (dadurch wird ermöglicht, dass Drittpersonen ein erezept einlösen können, ohne dass die PIN preisgegeben werden muss). Nun wird das er-ticket von der Karte gelesen und - entsprechend dem Verweis im Ticket das erezept. Mit dem Sek.eR, der sich ebenfalls im Ticket befindet, kann es dechiffriert werden. Nach der Überprüfung der Signatur mit dem Public Key des Arztes kann das Medikament ausgegeben werden und das Ticket und das erezept werden gelöscht. Das er-ticket setzt sich zusammen aus einem Informationsteil Info im Klartext, der Information über das Rezept enthält (wie Datum, Name des Arztes, Name des Medikaments) und einem Verweis auf das erezept L.eR das ist in diesem Fall ein Eintrag in der Rezeptdatei EF.eR im eeprom der Karte. Lesezugriff auf die EF.eRs haben Heilberufler (Ärzte, Apotheker, sonstige) nach erfolgreicher C2C-Autorisierung, Schreibzugriff haben zur Ausstellung von erezepten Berechtigte (Ärzte und Zahnärzte) nach C2C-Autorisierung. Die Zugriffsberechtigungen können mit den in Punkt 2 beschriebenen Standardmethoden des Smartcard- Betriebssystems überwacht werden. Ausstellen eines erezepts auf dem Server Wird das erezept auf einem er-server hinterlegt, muss gewährleistet sein, dass kein Unbefugter die Daten lesen kann und dass keine Rückschlüsse auf den Versicherten oder den Arzt möglich sind. Dies wird durch geeignete Verschlüsselung erreicht. Abb. 9 er-tickets und erezepte in der egk Abb. 10 Ausstellen und Einlösen eines erezepts auf dem er- Server; ENC(eRezept.Admin) steht für (RND.SeR, ENC.RND.SeR, ENC.SeK, OID.eR) Auf der egk befindet sich ein eindeutiger I- dentifier OID.CH, der beim ersten Arztbesuch ausgelesen und im PVS gespeichert wird. Aus Serversicht ist daraus der Karteninhaber nicht erkennbar. Vor dem Absenden wird das Rezept mit einem Session Key SeK.eR verschlüsselt. Durch den Konnektor wird dem erezept ein Objekt-Identifier OID.eR zur Identifikation zugeteilt und das erezept wird unter dieser ID auf dem Server gespeichert. Auf dem PVS wird eine Zufallszahl Rnd.SeR erzeugt und mit dem SeK.eR verschlüsselt (ENC.RND.SeR). Der Session Key wird mit dem Public Key des Karteninhabers verschlüsselt (ENC.SeK). Diese Kryptogramme (RND.SeR, ENC.RND.SeR, ENC.SeK, OID.eR) werden unter der OID.CH auf dem Server abgelegt. Auf der egk wird ein entsprechendes Ticket mit einem Link auf das erezept auf dem Server und dem SeK.eR hinterlegt und ein Eintrag in den Logging- Datensatz auf der Karte vorgenommen. Beim Einlösen des Rezepts in der Apotheke wird nach einer C2C-Authentifizierung zwischen HBA und egk die OID.CH von der egk gelesen und an den er-server gesendet. Dieser liefert daraufhin ENC.RND und ENC.SeK. Der Session Key wird nun mit dem Private Key des Karteninhabers entschlüsselt, dann wird ENC.RND mit dem SeK entschlüsselt und an den er-server gesendet. Dieser überprüft diese Zahl mit der gespeicherten Zufallszahl RND.SeR und sendet bei Gleichheit das verschlüsselte erezept. Dieses wird mit dem Session Key entschlüsselt. Das Medikament wird