Gesundheitstelematik und das Projekt elektronische Gesundheitskarte

Transkript

1 DOKUMENTATION Gesundheitstelematik und das Projekt elektronische Gesundheitskarte Aufsätze Berichte Diskussionsbeiträge Kommentare im Deutschen Ärzteblatt Beiträge aus

2 VORWORT GESUNDHEITSTELEMATIK Reizthema elektronische Gesundheitskarte Die Dokumentation enthält die wesentlichen Beiträge, die das Deutsche Ärzteblatt seit dem Jahr 2002 zum Projekt veröffentlicht hat, sowie sämtliche Artikel der Ende 2007 gestarteten Serie zum Thema. D ie Einführung der elektronischen Gesundheitskarte (egk) stößt bei den Ärzten überwiegend auf erbitterte Kritik. Seit dem Deutschen Ärztetag 2007 in Münster hat sich der Widerstand gegen das Telematikprojekt eher noch verstärkt. Damals hatte das Ärzteparlament die Gesundheitskarte in der bisher vorgestellten Form abgelehnt und eine Neukonzeption des Projekts gefordert. Hauptkritikpunkte waren und sind die mangelnde Sicherheit der sensiblen Patientendaten, die Störung der Abläufe in den Praxen, der fehlende medizinische Nutzen und die ungeklärte Finanzierung. Beim nächsten Ärztetag 2008 in Ulm soll noch einmal intensiv darüber diskutiert werden, wie sich Telematik und die elektronische Kommunikation auf die ärztliche Berufstätigkeit und speziell auf das Arzt- Patienten-Verhältnis auswirken. Entsprechend heftig waren deshalb die Reaktionen der Ärzte auf die Ankündigung des Bundesgesundheitsministeriums, die flächendeckende Ausgabe der Gesundheitskarte aufgrund der guten Ergebnisse in den Testregionen zu beschleunigen und schon 2008 damit zu beginnen. Doch was für eine Karte wird dann ausgegeben? Eine intelligente Prozessorchipkarte, die die Funktionen der heutigen Krankenversichertenkarte offline simulieren kann, wie Kritiker des Projekts spotten. Die neue Karte enthält keine zusätzlichen medizinischen Daten, und es werden keine Daten online übertragen. Allenfalls ist sie fälschungssicherer durch das aufgebrachte Passfoto. Darüber hinaus gibt es noch viele ungelöste technische und organisatorische Fragen. Für die Ärzte wird sich mit dem MKTplus-Szenario vorerst nichts weder im Guten noch im Schlechten an den Arbeitsabläufen ändern. Außerdem werde die Ausstattung mit den Lesegeräten kostenneutral erfolgen, hat die Kassenärztliche Bundesvereinigung versprochen, die derzeit mit den Krankenkassen eine entsprechende Finanzierungsvereinbarung aushandelt. Klar ist allerdings auch, dass eine solche Minimallösung vom angestrebten Ziel einer Verbesserung der medizinischen Versorgung meilenweit entfernt ist. Ein Boykott des Projekts durch die Ärzteschaft wird auf Dauer die Einführung der egk nicht verhindern, denn diese ist von einer großen parlamentarischen Mehrheit beschlossen worden und wird Umfragen zufolge auch von der Bevölkerung mehrheitlich nicht infrage gestellt. Für den Aufbau einer flächendeckenden Telematikinfrastruktur für das Gesundheitswesen sind weitere Tests jedoch unabdingbar, um Stärken und Schwächen der Technik aufzudecken. Die Ärzte sollten alles daransetzen, das Projekt in ihrem Sinn, das heißt im Sinne einer selbstbestimmten Berufsausübung und einer guten Patientenversorgung, weiter zu beeinflussen und zu gestalten. Dazu gehört auch, dass sie ihre Forderung nach einer Neukonzeption konkretisieren und eine eigene Vision entwickeln, wie eine Gesundheitstelematik unter solchen Vorzeichen aussehen könnte. Vor diesem Hintergrund hat das Deutsche Ärzteblatt mit Heft 45/2007 eine Serie zur Gesundheitstelematik und zur egk gestartet, um über konzeptionelle und praktische Fragen zu informieren und eine sachliche Diskussion zu unterstützen. Alle Beiträge der Serie sowie wesentliche bereits seit dem Jahr 2002 veröffentlichten Artikel zum Thema werden in diesem Internetdossier zur Verfügung gestellt. Impressum Chefredakteur: Chefs vom Dienst: Redaktion: Technische Redaktion: Schlussredaktion: Verlag: Dokumentation Gesundheitstelematik und das Projekt elektronische Gesundheitskarte Heinz Stüwe, Köln (verantwortlich für den Gesamtinhalt im Sinne der gesetzlichen Bestimmungen) Gisela Klinkhammer, Herbert Moll, Michael Schmedt (Internet) Jörg Kremers Inge Rizk Deutscher Ärzte-Verlag GmbH, Köln 2

3 INHALT Dokumentation in chronologischer Reihenfolge Vorwort: Gesundheitstelematik Reizthema elektronische Gesundheitskarte Beiträge aus dem Jahr 2008 Projekt Elektronische Gesundheitskarte Notfalldaten mehr Schein als Sein? Ulrike Hein-Rusinek, Christiane Groß Telematik im Gesundheitswesen Positionsbestimmung der Ärzte Philipp Stachwitz Telematikinfrastruktur der elektronischen Gesundheitskarte Basis für sichere Datenspeicherung Lukas Gundermann Telematik im Gesundheitswesen Zu Risiken und Nebenwirkungen fragen Sie Elektronische Gesundheitskarte im Krankenhaus Erst allmählich im Fokus Elektronische Patientenakte Schlüsselrolle für den Datenschutz Jürgen H. Müller Elektronische Gesundheitsakten HealthVault, Google Health & Co Elektronische Gesundheitskarte Test in Flensburg vorläufig gestoppt Organspendeausweis und Gesundheitskarte Klärungsbedarf Elektronische Gesundheitskarte Mythen und Wahrheiten Telematikinfrastruktur Nachteile im Wettbewerb befürchtet Pro und Kontra Gesundheitstelematik: USB-Karte versus Speicherung auf zentralen Servern Klaus Bittmann, Carl-Heinz Müller Gesundheitstelematik Whitepaper Sicherheit: Wie werden Gesundheitsdaten geschützt? NAV-Virchow-Bund Projekt Gesundheitskarte einfrieren Telematik im Gesundheitswesen Holpriger Weg zum Basiskonsens Dokumentation zum 111. Deutschen Ärztetag Entschließungen zum Tagesordnungspunkt IV Auswirkungen der Telematik und elektronischen Kommunikation auf das Patienten-Arzt-Verhältnis Hasuarztvertrag in Baden-Württemberg Wegbereiter für E-Card Samir Rabbata Versichertenbefragunhg zur Gesundheitskarte Kritische Befürworter in der Mehrzahl Telematik im Gesundheitswesen Klartext zur Karte Gesundheitskarte Ministerium will den Dialog mit den Ärzten Gesundheitskarte Vor dem Rollout Elektronische Gesundheitskarte USB-Stick wird getestet Vertrauensschutz Ärzte gegen Lauschangriff auf Praxen Samir Rabbata Elektronische Gesundheitskarte Pauschalen vereinbart, Rollout kann beginnen Gesundheitskarte Gematik veröffentlicht erste Testauswertung

4 TELEMATIK Heft 3, 18. Januar 2008 PROJEKT ELEKTRONISCHE GESUNDHEITSKARTE Notfalldaten mehr Schein als Sein? An die Dokumentation der Notfalldaten knüpfen sich große Erwartungen der Bevölkerung im Hinblick auf eine verbesserte Versorgung im Notfall. Diese sind jedoch nur begrenzt gerechtfertigt. E ine der freiwilligen Anwendungen der elektronischen Gesundheitskarte ( egk) ist die Dokumentation der Notfalldaten. Diese Anwendung dient derzeit auch dem Versuch, die Akzeptanz der egk in der Bevölkerung zu erhöhen. Umfragen und Medienberichten zufolge sind die Erwartungen der Bevölkerung an den Notfalldatensatz auf der egk groß. Eine der Vorstellungen ist die, dass mit den Notfalldaten die unbedingte Speicherung der Blutgruppen verbunden wird. Das vermeintliche Wissen über die Blutgruppenzugehörigkeit und die damit verbundene Vorstellung von lebensrettendem Blutersatz beherrscht die Diskussion der Patienten und Patientinnen. Sicher gehören auch die Vorstellung von lebensrettender Medikation bei lebensbedrohlichen Krankheiten und die Behandlung von lebensbedrohenden Allergien mit in das Bild über den Nutzen der Notfalldaten. Mit der schnellen Bereitstellung von Notfalldaten wird in der Öffentlichkeit für die Einführung der egk geworben. Hierbei sollen die Daten auch ohne die PIN des Patienten nur mit dem elektronischen Heilberufsausweis oder dem elektronischen Arztausweis lesbar sein. Wer wollte nicht befürworten, Notärzten in Sekundenschnelle lebensrettende Informationen zur Verfügung zu stellen, wenn es um Leben und Tod geht? Genau für diese Situation, nämlich den im Rettungsdienst tätigen Ärzten notfallrelevante Informationen unmittelbar für lebensrettende Maßnahmen zugänglich zu machen, sind die auf der egk gespeicherten Informationen gemäß Fachkonzept Daten für die Notfallversorgung der Gematik (Gesellschaft für Telematikanwendungen der Gesundheitskarte mbh) gedacht. Speichern und Lesen Nach diesem Fachkonzept wird die Dokumentation der Notfalldaten nur auf Wunsch der Versicherten erbracht. Im Gegensatz zur Kontrolle der Versichertenstammdaten und zum elektronischen Rezept besteht für die Versicherten keine Verpflichtung, im Rahmen des Behandlungsvertrags die Notfalldaten speichern zu lassen. Werden die Notfalldaten dokumentiert, muss der Patient eine Einwilligung erteilen, die der Arzt schriftlich dokumentieren muss. Die auf der egk gespeicherten Daten sollen von den behandelnden Ärztinnen und Ärzten (sowohl im stationären als auch ambulanten und 130 Ob die Speicherung der Notfalldaten auf der Gesundheitskarte tatsächlich zu einer Qualitätsverbesserung der Notfallversorgung führt, ist auf der Basis des bisherigen Konzepts noch nicht ausgemacht. Foto: Superbild sogar im zahnärztlichen Bereich) angelegt und stets aktualisiert werden. Datum und Uhrzeit der letzten Aktualisierung sind auf der egk ablesbar. Die Pflege der Notfalldaten ist Aufgabe eines (Zahn-) Arztes. Auch wenn die Patienten Daten auf der egk nicht verändern können, so können sie diese aber ohne die Mithilfe eines Arztes nur mit ihrer egk als Schlüssel komplett verbergen. Nach dem Verbergen sind die Daten dann zwar noch auf der Karte vorhanden, aber nich mehr sichtbar. Um dies allen Versicherten zu ermöglichen, sind sogenannte E-Kioske in Planung, an denen der mündige Patient ohne Hilfe eines Heilberuflers seine Akte einsehen und Daten verbergen kann. Zusätzlich zu dem Namen und der Telefonnummer des behandelnden Arztes und einer eventuell zu benachrichtigenden Person ist derzeit die Speicherung von bis zu 15 notfallrelevanten Diagnosen, Operationen und bis zu 20 notfallrelevanten Medikamenten geplant. Bei den Medikamenten geht man davon aus, dass sowohl deren Handelsnamen als auch die Wirkstoffe auf der egk gespeichert werden sollen. Hinzukommen sollen noch Informationen über Allergien und Unverträglichkeiten. Die Lesbarkeit der Daten soll durch ein tragbares, nicht netzgebundenes Lesegerät gewährleistet werden. Medizinischer Nutzen Es ergibt sich die Frage, welchen Nutzen diese Anwendung der egk für den Notarzt beim akuten Einsatz hat. Soll neben Notfallkoffern, Beatmungsgeräten, Absaugern etc. ein zusätzliches Lesegerät an Unfallorte, in Dachwohnungen und andere entlegene Einsatzorte mitgeführt

5 SERIE TELEMATIK Bisher erschienene Beiträge: Heft 45/2007: Interview zum Projekt Gesundheitskarte mit Dr. med. Franz-Joseph Bartmann, Vorsitzender des Ausschusses Telematik der Bundesärztekammer und Präsident der Ärztekammer Schleswig-Holstein: Neue Karte, neuer Schlitz sonst passiert nichts Heft 49/2007: Kommentar von Wilfried Deiß, Facharzt für Innere Medizin, Hausarzt: Projekt elektronische Gesundheitskarte Fuchs statt Monster Heft 51 52/2007: : Gesundheitstelematik Sanfter Ausbau statt Big Bang und eingesetzt werden, dann sind mit Recht bei einem solchen Notarzteinsatz Informationen von äußerster Relevanz durch dieses Gerät zu erwarten. Nehmen wir das Beispiel eines hypovolämischen Schocks, der sich anhand der klinischen Symptome offenbart. Auf der Basis der schnell abgerufenen egk-information könnte die Symptomatik auf eine fatale Medikamentenkombination von einem Thrombozytenaggregationshemmer und einem nicht steroidalen Antirheumatikum zurückgeführt werden. Trotz dieser wichtigen Information ist es für eine Notfalltherapie vor Ort vollkommen unerheblich, auf welche Ursache die hypovolämische Schocksituation zurückzuführen ist. Es kommt auf die schnelle und suffiziente symptomatische Behandlung an, die das Leben des Patienten retten und ihn dann möglichst schnell stabilisieren soll, um die Transportfähigkeit in das nächste Krankenhaus zu gewährleisten. Damit hat die auf der elektronischen Gesundheitskarte gespeicherte Zusatzinformation erst bei der weiteren Behandlung, zum Beispiel nach der Einlieferung in ein Krankenhaus, einen gewissen Nutzen, da die Information für die weitere Diagnostik und Therapie in der Klinik von Interesse sein kann. Betrachtet man die Notfalldaten aus einem anderen Blickwinkel, geht es einem Notarzt trotz aller Aktualität der Notfalldaten in einer akuten Notsituation nicht viel besser als mit der Sammlung von diversen Verordnungszetteln, die mancher Angehörige präsentiert, oder mit einer Ansammlung von Medikamentenpackungen, die wohlverwahrt in Wohnzimmerschränken lagern. Ob der Patient wirklich die zuletzt vom Kollegen X verordneten Medikamente nimmt oder doch die zuvor von Kollegin Z verschriebenen Tabletten, ist auch mit der Notfalldatendokumentation nicht geklärt. Es wird auch weiterhin eher detektivischen Spürsinn erfordern, um tatsächliche Medikamenteneinnahmen zu klären. Selbst wenn die Daten auf der egk ständig aktualisiert wurden, können wirklich notwendige Informationen selbstverständlich nicht immer abgeleitet werden. Zusätzliche Informationen im Notfall Diagnosen und Operationen wie COPD, KHK, interner Defibrillator sollen auf der egk ebenso gespeichert werden wie Glasauge und Kontaktlinsen. Angaben wie fortgeschrittenes, metastasiertes Malignom oder die Ausprägungsgrade seniler Demenz sind dagegen nicht vorgesehen, obwohl gerade diese Informationen für eine Entscheidung zur Durchführung von Reanimationsmaßnahmen gegebenenfalls eher entscheidend sind. Einträge über eine Patientenverfügung, vom Versicherten und behandelnden Arzt möglichst zeitnah signiert, würden das Handeln im Notfall erleichtern und sicher auch im Interesse der Selbstbestimmung der Patienten sein. Eine Patientenverfügung müsste aber mit einer Signaturkarte des Versicherten unterschrieben sein. Da die wenigsten Versicherten derzeit eine eigene Signaturkarte besitzen, kann hier nur ein Hinweis auf eine Patientenverfügung gegeben werden inwieweit dies im Notfall nützt, ist fraglich. 131 Fazit Wichtige Informationen, die insbesondere die Selbstbestimmung der meist nicht mehr artikulationsfähigen Notfallpatienten betreffen, fehlen auf der egk. Die gespeicherten Informationen über Diagnosen und Medikationen sind in der Notfallsituation nur bedingt hilfreich. In der Aufnahmesituation im Krankenhaus wiederum dürfen die Notfalldaten nach Ansicht der Landesbeauftragten für Datenschutz in Nordrhein- Westfalen nicht benutzt werden. Sie sind ausschließlich zur Behandlung der akuten Notfallsituation vorbehalten. Damit verliert die als ein Herzstück der egk geplante Speicherung der Notfalldaten ihre Relevanz. Die Dokumentation von bestimmten notfallrelevanten Daten ist sinnvoll, wenn die Daten nicht nur in der Notsituation zu nutzen sind, sondern vor allem (auch) bei einer anschließenden Weiterbehandlung. Der Zugriff auf die Daten in einer Notsituation muss unter der Prämisse erfolgen, dass die Nutzung auch in extremen Situationen möglich, durchführbar und nicht primär zeitraubend ist. Außerdem muss sichergestellt sein, dass die Notfallakte weder alt, überholt noch unvollständig ist. Das Dilemma wäre sonst vergleichbar mit der Umsetzung der Maßnahmen bei manchen heutigen Patientenverfügungen, deren Aktualität oft zweifelhaft bleibt. Solange diese Forderungen nicht gewährleistet sind, bleibt die Frage über den Sinn einer solchen Datenspeicherung weiter bestehen. In Bezug auf die Akzeptanz bei den Patienten und Patientinnen dient die Notfallakte damit derzeit noch mehr dem Schein als dem Sein. Ulrike Hein-Rusinek (Notärztin), Christiane Groß Anschrift für die Verfasserinnen Dr. med. Christiane Groß M.A. Vorsitzende des Ausschusses ehealth der Ärztekammer Nordrhein Ärztekammer Nordrhein, Tersteegenstraße Düsseldorf, ehealth@cgross.de Fachkonzept Daten für die Notfallversorgung (Notfalldaten) im

6 TELEMATIK Heft 5, 1. Februar 2008 TELEMATIK IM GESUNDHEITSWESEN Positionsbestimmung der Ärzte Der Deutsche Ärztetag wird sich im Mai 2008 erneut mit der Telematik im Gesundheitswesen und der elektronischen Gesundheitskarte befassen. Die Bundesärztekammer legt hierzu jetzt einen Diskussionsentwurf vor. Der 110. Deutsche Ärztetag in Münster hat im Mai 2007 die Einrichtung eines Tagesordnungspunkts Auswirkungen der Telematik und elektronischen Kommunikation auf das Arzt-Patient-Verhältnis beim nächsten Ärztetag in Ulm gefordert. Die Einflüsse der Telematik auf die ärztliche Berufstätigkeit sollen behandelt werden. Den Beschlüssen vorangegangen war eine engagiert geführte Debatte mit Redebeiträgen von rund 30 Delegierten. Die zum Themenkomplex verabschiedeten Anträge wie auch die Debatte spiegelten die Auffassung der Delegierten wider, dass es sich bei der Einführung von Telematik in das Gesundheitswesen um ein Thema handelt, mit dem sich die Ärzteschaft auch künftig intensiv beschäftigen muss. 1 1 Dokumentation des 110. Deutschen Ärztetages unter: 2 Krüger-Brand H: Neue Karte, neuer Schlitz sonst passiert nichts. Dtsch Arztebl 2007; 104: A Ja zum Heilberufsausweis Die Delegierten vertraten mit großer Mehrheit die Position, dass die elektronische Kommunikation... auch im Gesundheitswesen in absehbarer Zeit zu einer selbstverständlichen Form der Kommunikation werden wird. Sie unterstützten das Engagement der Ärztekammern zum Angebot eines sicheren Heilberufsausweises durch die ärztliche Selbstverwaltung, um der Ärzteschaft die sichere Kommunikation untereinander und mit anderen Einrichtungen im Gesundheitswesen zu ermöglichen. Die Einführung einer elektronischen Gesundheitskarte in der bisher vorgestellten Form lehnten die Delegierten ab und forderten die Politik auf, das Projekt elektronische Gesundheitskarte (egk) unter Beachtung der Bedingungen der Ärzteschaft völlig neu zu konzipieren. Im Rahmen der Antragsdebatte wurde hierzu von einer Antragstellerin erläutert, dass mit dem Signal, dass wir uns eine andere Konzeption vorstellen können... das Mitdenken und die Zukunftsorientierung zum Ausdruck gebracht werden sollen. Basierend auf den Beschlüssen des 110. und in Vorbereitung des 111. Ärztetages haben sich der Ausschuss Telematik und der Vorstand der Bundesärztekammer (BÄK) intensiv mit Fragen der Telematik und dem politisch initiierten egk-projekt auseinandergesetzt. Der Vorsitzende des Ausschusses Telematik der BÄK und Präsident der Ärztekammer Schleswig-Holstein, Dr. med. Franz-Joseph Bartmann, erläuterte in einem Interview im Deutschen Ärzteblatt im November 2007 auf die Frage, ob denn klar sei, was für eine andere Gesundheitstelematik die Ärzte wollen: Es gibt noch keine gemeinsame Position, die man als Position der Ärzteschaft bezeichnen könnte. Er kündigte an, dass die BÄK zur Vorbereitung des Ulmer Ärztetages die Meinungen unterschiedlicher Diskutanten und Interessengruppen aus der Ärzteschaft zusammenführen und in Form eines Diskussionsentwurfs für ein gemeinsames Positionspapier zur Telematik veröffentlichen werde. 2 FORUM IN INTERNET Das Deutsche Ärzteblatt hat zum Thema Telematik und elektronische Gesundheitskarte ein Internetforum eingerichtet. Dieses finden Sie unter der Adresse Die Bundesärztekammer hat Ende Dezember 2007 den Entwurf zu Positionen zum Einsatz von Telematik im Gesundheitswesen den Landesärztekammern mit der Bitte um Beratung in ihren jeweiligen Gremien und die Übermittlung von Änderungs- und Ergänzungsvorschlägen zugesandt. Mit der Vorlage des Diskussionsentwurfs strebt der Vorstand der BÄK die Beförderung einer ausführlichen und qualifizierten innerärztlichen Meinungsbildung an. Es erscheint ihm notwendig, innerhalb der Ärzteschaft einen Grundkonsens über die Bedingungen für den Einsatz neuer elektronischer Informations- und Kommunikationstechnologien zu erzielen und die innerhalb der Ärzteschaft teilweise sehr kontrovers und leidenschaftlich diskutierten Positionen im Sinne einer auch künftig am Patientenwohl ausgerichteten Medizin zusammenzuführen. Prüfsteine für Telematik Der Diskussionsentwurf formuliert ausgehend vom Status quo des Einsatzes von Informations- und Kommunikationstechnologien in der Medizin und auf Grundlage der ärztlichen Sicht Anforderungen der Ärzteschaft an den Einsatz von Telematik. In einem eigenen Kapitel werden daraus Prüfsteine für die Einführung der egk abgeleitet und auch mögliche Elemente einer Neukonzeption des Projekts aufgezeigt. Das Papier setzt sich inhaltlich mit Anwendungsgebieten der Telematik wie dem elektronischen Arztbrief, elektronischen Patientenakten und auch der Rolle des Telemonitorings auseinander. Betont wird die Notwendigkeit, Rahmenbedingungen zu schaffen, die eine Absicherung der elektronischen Kommunikation im Gesundheitswesen ermöglichen. Hierzu zählen die 132

7 Möglichkeit der Anwender zur sicheren Netzanbindung sowie deren Ausstattung mit sogenannten Signaturkarten wie dem elektronischen Arztausweis. Hinsichtlich der Auswirkungen der Telematik auf die Patient-Arzt- Beziehung wird festgestellt, dass zur Wahrung von Patientenautonomie und ärztlicher Therapiefreiheit die Entscheidung über Einführung und Einsatz von Telematik freiwillig für Patienten wie auch für Ärztinnen und Ärzte erfolgen muss. Es wird betont, dass das Gespräch zwischen Patient und Arzt auch künftig Mittelpunkt der Kommunikation im Gesundheitswesen bleiben muss und dabei den Ausgangspunkt für die Heranziehung weiterer gegebenenfalls auch telematisch bereitgestellter Informationen darstellt. Kritisch wird dabei angemerkt, dass die von vielen Ärztinnen und Ärzten befürchtete Informationsflut keineswegs zu einem Mehr an Wissen oder gar automatisch zur Verbesserung der Entscheidungsgrundlagen für Patient und Arzt führt. In Bezug auf die Schaffung von internetbasierten Patientenakten durch weltweit tätige IT-Unternehmen wie Google und Microsoft sowie auch nationale Anbieter wird festgestellt, dass der Aufbau dieser Datensammlungen häufig unter nicht klar erkennbaren datenschutzrechtlichen Bedingungen und zum Teil mit dem erklärten Ziel, die Daten der Patienten kommerziell verwerten zu wollen, erfolgt. Dabei wird auf die Chancen einer auf gesetzlicher Grundlage eingeführten und durch rechtliche Vorgaben abgesicherten Telematikinfrastruktur im Gegensatz zu einer drohenden Dominanz ausschließlich kommerzieller Anbieter in einem künftigen Markt für elektronische medizinische Daten hingewiesen. Gleichzeitig werden aber auch die Risiken des von staatlicher Seite vorangetriebenen egk-projekts aufgezeigt, da dieses fortwährend durch unrealistische Zeitvorgaben belastet wird, die am Interesse der Politik an einer nachhaltigen Entwicklung zweifeln lassen. Ziel des BÄK-Vorstands ist es, dem 111. Deutschen Ärztetag durch den Beschluss von Positionen zum Einsatz von Telematik im Gesundheitswesen eine umfassende und breit konsentierte Positionsbestimmung der Ärzteschaft zu ermöglichen. Dabei kann nicht außer Acht gelassen werden, dass technologische wie gesellschaftliche Entwicklungen eine prozesshafte Betrachtung des Geschehens erfordern. Alle interessierten Ärztinnen und Ärzte sind aufgefordert, sich über ihre Landesärztekammern in die Diskussion eines Themas einzubringen, das in den kommenden Jahren tief greifende Veränderungen der Kommunikation im Gesundheitswesen erwarten lässt. Dr. med. Philipp Stachwitz, Positionen zum Einsatz von Telematik im Gesundheitswesen (Diskussionsentwurf) im Internet: 3 FRAGEN AN Prof. Dr. med. Jörg-Dietrich Hoppe, Präsident der Bundesärztekammer Foto: ÄK Nordrhein Ein zentrales Thema beim nächsten Ärztetag in Ulm ist das Projekt elektronische Gesundheitskarte. Warum wird die Diskussion darüber unter den Ärzten so emotional geführt? Hoppe: Auf dem nächsten Ärztetag werden wir über Telematik, also generell über den Einsatz elektronischer Informations- und Kommunikationstechnologien im Gesundheitswesen diskutieren. Das egk-projekt wird dabei selbstverständlich eine wichtige Rolle spielen. Die von manchen Kolleginnen und Kollegen mitunter sehr engagiert geführte Diskussion ist durchaus verständlich. Schließlich wird hier der Kern ärztlichen Handelns berührt: die Vertrauensbeziehung zwischen Patient und Arzt und eine ihrer wichtigsten Voraussetzungen, die ärztliche Schweigepflicht. Auf der anderen Seite ist den meisten Kolleginnen und Kollegen ebenso bewusst, dass wir mithilfe der elektronischen Kommunikation die Chance haben, die Behandlung von Patienten zu verbessern und organisatorische Prozesse zu optimieren. Viele setzen diese Techniken ja längst ein und sehen darin auch Vorteile. Dem staatlichen Gesundheitskartenprojekt begegnen viele Ärzte aber mit Skepsis, weil sie eine Gefährdung der Vertraulichkeit der Patient-Arzt-Beziehung befürchten; entsprechend sensibel sind dann die Reaktionen. Der Staat hat sich gerade an anderer Stelle ich meine das Thema Vorratsdatenspeicherung über die Bedenken der Ärzteschaft wie auch anderer Berufsgruppen hinweggesetzt. Dass da einiges an Vertrauen in staatliches Handeln verloren gegangen ist, ist nur zu verständlich. Ich denke allerdings, dass wir uns in der Debatte nicht von Emotionen leiten lassen sollten. Wir haben einfach die besseren Argumente. Inwiefern ist eine gemeinsame Position der Ärzteschaft in der Telematikfrage überhaupt möglich und erforderlich? Hoppe: In einer so wichtigen Frage sollte die Ärzteschaft grundsätzliche Positionen formulieren. Und dies erscheint mir auch möglich. Der Vorstand der Bundesärztekammer hat den Ärztekammern jetzt eine Diskussionsgrundlage in Form eines Entwurfs für ein Positionspapier übermittelt. Hierüber kann und sollte jetzt in der Ärzteschaft beraten werden. Die Ärztekammer Nordrhein wird beispielsweise am 9. Februar dazu eine ganztägige Veranstaltung im Haus der Ärzteschaft in Düsseldorf durchführen. Aber das Thema wird sich weiterentwickeln und muss von uns als Prozess begriffen werden, den wir kritisch und konstruktiv begleiten und, wo notwendig, auch mitsteuern sollten. Wie könnten Akzeptanz und Mitarbeit der Ärzte bei der Einführung von Telematik im Gesundheitswesen erreicht werden? Hoppe: Telematik gibt es ja längst, und wir wenden sie schon lange mit Erfolg an. Wir sind für einen Ausbau der Telematik, wenn dadurch Vorteile für die Patienten entstehen und die Grundlagen ärztlicher Tätigkeit ich betone noch einmal den uneingeschränkten Schutz der ärztlichen Schweigepflicht nicht infrage gestellt werden. Es ist vor allem Aufgabe des Staates, für vernünftige Rahmenbedingungen zu sorgen. Vorschnelle Ankündigungen und administrative Querschüsse untergraben das Vertrauen in die neue Technik. Das sollten vor allem die Verantwortlichen im Bundesgesundheitsministerium bedenken. KBr 133

8 Heft 6, 8. Februar 2008 TELEMATIK Die elektronische Gesundheitskarte blieb bislang von der Kritik der Datenschützer verschont aus gutem Grund, weil sie aus deren Sicht die Anforderungen des informationellen Selbstbestimmungsrechts geradezu vorbildlich umsetzt. Lukas Gundermann E s ist bekannt, dass die Datenschutzbeauftragten von Bund und Ländern gegen die mittlerweile vom Bundestag beschlossene Vorratsdatenspeicherung von Telekommunikationsdaten kritisch argumentieren (1, 2). Warum, mag sich da manche Ärztin, mancher Arzt fragen, hört man von den Datenschutzinstitutionen keine gleichartige Kritik an der elektronischen Gesundheitskarte (egk)? Wo doch einige behaupten, Letztere stelle eine fast noch bedenklichere Entwicklung dar. Haben die beamteten Datenschützer vielleicht das Wichtigste verschlafen? Bedarf es erst des Weckrufs durch entschlossene und besser informierte Ärzte? Leider wird die Diskussion im Zusammenhang mit der Einführung der egk immer noch zu einem nicht unerheblichen Teil mit Argumenten bestritten, die auf Fehlinformationen beruhen. Exemplarisch lässt sich dazu eine Äußerung der Freien Ärzteschaft herausgreifen, die auf einer Kundgebung gegen die Vorratsdatenspeicherung gefallen ist (3): TELEMATIKINFRASTRUKTUR DER ELEKTRONISCHEN GESUNDHEITSKARTE Basis für sichere Datenspeicherung Die Karte ist vielmehr der Schlüssel zu einer gigantischen Vernetzung des Gesundheitswesens über das Internet mit zentraler Speicherung auf Zentralservern auch der intimsten Patientendaten, intimer Daten der Menschen, unserer Patienten. Wichtige Informationen über Gesundheit und Krankheit werden der Obhut der Ärzte entzogen, und die patientenbezogenen Daten verlieren den Schutz durch die ärztliche Schweigepflicht. Nervenzusammenbruch, Aids, Alkoholabhängigkeit, Herzkrankheit oder Brustkrebs demnächst im Internet. Nach Schätzungen werden zwei Millionen Personen Zugriffsrechte auf dieses System und die Krankheitsdaten haben. Diese sollen in Zukunft in Form elektronischer Patientenakten gleich beim Kostenträger Krankenkasse gespeichert werden. So entsteht in naher Zukunft nicht nur der gläserne Patient, sondern auch der gläserne Arzt. Die Versicherten können so in Risikoklassen eingeteilt werden. Kostenintensive Patienten werden leicht ausgemacht, und es kann kontrollierend an den Menschen gespart werden. Dieses Zitat, das durchaus keine Einzelmeinung darstellt (4), soll dazu dienen, die Struktur der vermeintlichen Bedrohung zu beleuchten und zu widerlegen. Wahrung des Selbstbestimmungsrechts Tatsächlich wurde die Diskussion um die Einführung von Chipkarten im Gesundheitswesen von Datenschutzseite schon seit Mitte der 1990er-Jahre geführt. (5) Bereits im Vorfeld der Regelungen in 291 a Sozialgesetzbuch (SGB) V, die 2003 vom Bundestag im Rahmen des GKV-Modernisierungsgesetzes beschlossen wurden, hatten sich die Datenschutzbeauftragten zu Wort gemeldet (6, 7). Als dann die Regelungen zur Einführung der egk vom Bundesgesundheitsministerium vorgelegt wurden, konnten die Datenschützer erfreut feststellen, dass praktisch alle zentralen Forderungen aufgegriffen worden waren (8). Damit war auf normativer Ebene sichergestellt, dass das informationelle Selbstbestimmungsrecht der Patienten, das letztlich einen Teil der Patientenautonomie darstellt, durch die Einführung der Karte nicht eingeschränkt wird (9). Abgesehen von dem auf der Kartenrückseite aufgedruckten Berechti- 134

9 Foto: Fotolia/Marc Dietrich gungsnachweis zur Inanspruchnahme von Leistungen im europäischen Ausland unterstützt die egk die folgenden Anwendungen: die elektronische Verordnung (everordnung) einen Notfalldatensatz den elektronische Arztbrief Daten zur Prüfung der Arzneimitteltherapiesicherheit, das heißt eine Arzneimitteldokumentation die elektronische Patientenakte das vom Patienten selbst zu bestückende elektronische Patientenfach die elektronische Patientenquittung. Mit Ausnahme der everordnung ist keine dieser Anwendungen verpflichtend. Entscheidet sich der Karteninhaber für eine oder mehrere der freiwilligen Anwendungen, hat er weiterhin das Recht zu bestimmen, welche Informationen gespeichert werden. Darüber hinaus kann er fallweise die Anzeige bestimmter Informationen unterdrücken. Dies gilt auch bei der Pflichtanwendung everordnung, wo der Patient (genau wie in der Offlinewelt) einzelne Verschreibungen löschen oder so verbergen kann, dass sie in der aufgesuchten Apotheke nicht sichtbar sind. Von Bedeutung ist weiter, dass Ärzte und die anderen in 291 a Abs. 4 SGB V genannten Heilberufler nur dann auf die Daten eines Patienten zugreifen können, wenn sie sich mit ihrem von der Kammer ausgestellten Heilberufsausweis (HBA) authentisieren und legitimieren. Es müssen also immer beide Karten egk und HBA gleichzeitig in die speziellen Lesegeräte gesteckt werden, damit ein Datenzugriff hinsichtlich eines bestimmten Patienten möglich wird. Die gesetzlichen Vorgaben an das System sorgen also dafür, dass der Patient die Befugnis behält, selbst zu steuern, welchem Arzt ( Leistungserbringer ) er welche Information offenbart. Die technischen Spezifikationen zur egk stehen offen zur Verfügung (10). Es handelt sich um eine enorme Menge an Details, verteilt über Tausende Seiten. Allerdings gibt es Papiere, die die Übersicht ermöglichen (11). Auf dieser Grundlage ist zunächst festzustellen, dass die Konzeptpapiere die Anforderungen an eine sichere Speicherung klar definieren. Entsprechende Aussagen im Hinblick auf die in der Testung am weitesten fortgeschrittene Anwendung findet man im Fachkonzept Verordnungsdatenmanagement, das die Anforderungen an die elektronische Verordnung festlegt. Dort heißt es: Eine everordnung MUSS in verschlüsselter Form auf den VODD (= Verordnungsdatendienst) übertragen und dort gespeichert sein. Den Schlüssel zum Entschlüsseln der everordnungen besitzt der Versicherte. (12) Schon auf dem Übertragungsweg muss die elektronische Verordnung gegen unberechtigten Zugriff geschützt sein. Daher muss sie vor dem Transport verschlüsselt werden. Daneben werden noch andere Vorgaben zur Sicherheit der Speicherung gemacht. So darf der Speicherort der everordnung innerhalb der Telematikinfrastruktur für Unberechtigte nicht erkennbar sein. Personen, die von ihrer Rolle her grundsätzlich zum Zugriff berechtigt sind (etwa Apotheker), müssen sich für den Zugriff darauf authentifizieren und die Autorisierung nachweisen; dies geschieht mittels des HBA. Ein weiteres Element zur Absicherung der Speicherungen im System besteht in der Protokollierung der letzten 50 Zugriffe. 1 Auf diese Weise lässt sich im Nachhinein prüfen, ob die Zugriffe (die technisch erzwungen nur von Berechtigten erfolgen können) auch legitimiert waren. Daneben findet man noch die Aussage, dass eine Profilbildung bezüglich des Versicherten oder des Arztes auf dem VODD nicht möglich sein darf. Das Konzept wird in konkrete technische Anweisungen umgesetzt in der Facharchitektur Verordnungsdatenmanagement (13). Alleinige Hoheit des Versicherten Vergleichbare Aussagen gibt es auch in einem der wichtigsten Dokumente, der Beschreibung der Gesamtarchitektur. Die Anforderungen an die Verschlüsselung werden dort konkretisiert: Online gespeicherte medizinische Daten MÜSSEN hybrid verschlüsselt werden, d. h., der für einen Datensatz spezifische (symmetrische) Schlüssel wird wiederum mit dem öffentlichen Verschlüsselungsschlüssel Bei der egk sind die Anforderungen des informationellen Selbstbestimmungsrechts vorbildlich umgesetzt worden. der egk (...) verschlüsselt. Eine unverschlüsselte Speicherung des spezifischen Schlüssels DARF NICHT erfolgen. (14) Das Konzept wird dann noch weiter ausgeführt (Kasten) (15). Darüber hinaus gibt es ein umfassendes Sicherheitskonzept zum Verfahren. Auch dort werden die Aussagen zur Verschlüsselung in etwas anderen Worten wiederholt: Die Daten der Versicherten gemäß 291 a Absatz 2 und Absatz 3 sind in der Telematikinfrastruktur immer verschlüsselt. Die Verschlüsselung der medizinischen Daten eines Versicherten erfolgt individuell für diesen 1 Es MUSS sichergestellt werden, dass alle Arten von Zugriffen auf die everordnungen protokolliert werden. Fachkonzept Verordnungsdatenmanagement (VODM), S

10 Versicherten, und die zur Entschlüsselung notwendigen Schlüssel liegen in der alleinigen Hoheit des Versicherten. Der Versicherte kann damit steuern, wem er welche seiner Daten unter welchen Bedingungen herausgibt. (16) TELEMATIK Asymmetrische und hybride Verschlüsselung Das kryptografische Verfahren der asymmetrischen Verschlüsselung kann hier nicht im Detail erläutert werden (17). Hervorgehoben werden soll lediglich, dass es damit möglich wird, zur Verschlüsselung von Nachrichten einen anderen Schlüssel zu benutzen als zur Entschlüsselung, wobei beide Schlüssel jeweils zusammengehören und ein sogenanntes Schlüsselpaar bilden. Daraus folgt, dass der eine Schlüssel öffentlich verteilt und von jedermann verwendet werden kann, um dem Inhaber des Schlüssels Nachrichten zu senden, die gegen den Zugriff Dritter abgesichert sind. Der Empfänger kann diese ausschließlich mit dem Gegenstück, dem zweiten Schlüssel des Schlüsselpaars entschlüsseln. Solange der Inhaber des Schlüsselpaars dafür sorgt, dass dieser zweite (geheime oder private) Schlüssel in seiner alleinigen Verfügungsgewalt bleibt, kann auch nur er die Nachrichten entziffern. Auf der egk sind beide Schlüssel des Schlüsselpaars gespeichert. Dabei ist aber nur der öffentliche Schlüssel für andere Systeme lesbar. Der private Schlüssel kann die egk konstruktionsbedingt nie verlassen. Er kann nur vom Karteninhaber auf der Karte selbst mit der mindestens sechsstelligen PIN- Eingabe zur Entschlüsselung aktiviert werden. Nach drei Fehlversuchen wird der Zugang gesperrt (18). Hybride Verfahren kombinieren den Einsatz von asymmetrischen mit symmetrischen Verfahren. Danach wird beim Einsatz der egk, etwa bei der Ausstellung eines elektronischen Rezepts, der dazu VERSCHLÜSSELUNG IM DETAIL Die Einführung der egk führt nicht zu einer erweiterten Profilbildung über Versicherte oder Ärzte. erzeugte Datensatz zunächst mit einem eigens für diesen Zweck jeweils neu erzeugten Schlüssel nach einem symmetrischen Verschlüsselungsverfahren verschlüsselt. 2 Die Entschlüsselung des Datensatzes ist nur mit diesem Schlüssel möglich. Der symmetrische Schlüssel wird nirgendwo im System gespeichert, sondern sofort mit dem öffentlichen Schlüssel des Karteninhabers verschlüsselt; das so erzeugte Chiffrat wird im Telematiksystem hinterlegt. Der verwendete öffentliche Schlüssel ist Teil eines Schlüsselpaars in einem asymmetrischen Verschlüsselungsverfahren (19). Die Entschlüsselung dieses Datensatzes ist nur möglich, wenn der Karteninhaber seine Karte in ein an die Infrastruktur angeschlossenes Lesegerät steckt und seinen PIN-Code eingibt. Damit wird der private Schlüssel zur Entschlüsselung aktiviert. Der Speicherort des Chiffrats des symmetrischen Schlüssels und der mit diesem verschlüsselten Verordnung wird über ein sogenanntes Ticket wiedergefunden, das auf der egk selbst gespeichert wird. (Gleichzeitig muss eine HBA eines Apothekers gesteckt sein.) (Grafik) 136 Servergespeicherte medizinische Daten, die innerhalb der -291-a-Anwendungen der Telematikinfrastruktur gespeichert werden, MÜSSEN verschlüsselt gespeichert werden, und es MUSS nur dem Versicherten selbst oder einer von ihm autorisierten Person möglich sein, diese Daten wieder zu entschlüsseln. Die Implementierung der Verschlüsselung MUSS durch die Verwendung von Hybridschlüsseln implementiert werden. Für die Verwendung von Hybridschlüsseln MUSS jedes medizinische Objekt mit einem symmetrischen Schlüssel verschlüsselt werden. Dieser symmetrische Schlüssel MUSS dann mit dem öffentlichen Schlüssel jedes Zugriffsberechtigten verschlüsselt werden. Eine unverschlüsselte Speicherung des symmetrischen Schlüssels DARF NICHT erfolgen. Die Verwaltung von Hybridschlüsseln und Zugriffsrechten auf medizinische Objekte MUSS durch den das medizinische Objekt speichernden Fachdienst erfolgen. Innerhalb der Telematikinfrastruktur DÜRFEN KEINE rollenbezogenen Gemeinschaftsschlüssel verwendet werden. Die Verschlüsselung von Daten muss somit immer für eine Identität und kann nie für eine Rolle erfolgen. Vor diesem Hintergrund wird deutlich, dass sich der Schutz gegen einen unberechtigten Zugriff auf die Datensätze zu einem wesentlichen Teil aus der Qualität der verwendeten Verschlüsselung speist. Es ist anerkannt, dass sich moderne kryptografische Verfahren mit hinreichender Schlüssellänge nicht brechen lassen. Auf dieser Tatsache basiert nicht nur eine Vielzahl von Sicherheitsmechanismen in der Computertechnik. Die Sicherheit der hier verwendeten Algorithmen liegt auch der elektronischen Signatur zugrunde, die seit einiger Zeit verwendet werden kann, um die herkömmliche schriftliche Form zu ersetzen (20). Sollten sich die Algorithmen brechen lassen, könnte der Signierschlüssel einer Person gefälscht werden und jemand anderes in ihrem Namen rechtsverbindliche Erklärungen abgeben, die mit einer erheblichen Beweiserleichterung versehen sind (21). Ein weiteres Indiz für die Wirksamkeit von Verschlüsselungsverfahren ist die zurzeit stattfindende Diskussion über die Einführung einer Onlinedurchsuchung auf Computern von Zielpersonen. Eines der Argumente für deren Notwendigkeit lautet, dass Kriminelle beim Austausch von Nachrichten über öffentliche Netze zunehmend von den Möglichkeiten der Verschlüsselung Gebrauch machen würden. Diese Nachrichten seien dann dem Zugriff der Sicherheitsbehörden entzogen. 2 Es handelt sich um einen Schlüssel nach dem AES-Algorithmus mit einer Schlüssellänge von 256 Bit, vgl. Verwendung kryptographischer Algorithmen in der Telematikinfrastruktur, Version: 1.1.0, Stand: gematik_ga_spezifikation_kryptographischer_algorithmen_v1 _1_0.doc. S. 32. Dieser wird als sicher bis mindestens 2013 angesehen. Mit der gegenwärtig verfügbaren Rechenleistung würde ein schneller Rechner Hunderte von Milliarden Jahren an der Entschlüsselung zu rechnen haben, wenn alle möglichen Kombinationen durchprobiert werden (sogenannter brute force attack).

11 Selbst wenn der Datenstrom überwacht und kopiert werde, ließe sich im Falle der Verschlüsselung sein Inhalt nicht lesen. Deswegen wolle man auf die Computer der betroffenen Personen zugreifen, um Daten vor ihrer Verschlüsselung lesen zu können (22). Die Einzelverschlüsselung jedes medizinischen Datensatzes unter der alleinigen Kontrolle des Karteninhabers stellt einen sehr starken Schutz gegen den Zugriff durch Dritte dar. Daher kommt es nicht darauf an, wo genau der Server, der diese Daten speichert, tatsächlich steht. Die legendären zentralen Server sind damit kein realistisches Schreckenszenario. Trotzdem wird es schon aus Performanzgründen kaum zur Speicherung aller E-Rezepte auf einem Server, womöglich noch im Rechenzentrum einer Krankenkasse, kommen. Geschützte Schweigepflicht Zusätzliche Sicherheitsmechanismen richten sich deshalb vor allem auf den Schutz der Metadaten. So ist bei der Ausgestaltung der Speicherung in der Telematikinfrastruktur sicherzustellen, dass eine Profilbildung bezüglich des Versicherten und des Verordnungsgebers nicht möglich ist. Der Speicherort der everordnung innerhalb der Telematikinfrastruktur darf für Unberechtigte nicht erkennbar sein (23). Hervorzuheben ist weiterhin, dass der Gesetzgeber im Zusammenhang mit der Einführung der egk den Beschlagnahmeschutz erweitert hat. Ausgangspunkt ist das gesetzliche Zeugnisverweigerungsrecht des Arztes nach 53 Abs. 1 Nr. 3 Strafprozessordnung (StPO) über das, was (ihm) in dieser Eigenschaft anvertraut worden oder bekannt geworden ist (24). Voraussetzung dafür ist selbstverständlich, dass der Patient den Arzt nicht von der Schweigepflicht entbunden hat. Konsequenterweise ist auch die Beschlagnahme von Aufzeichnungen verboten, die Ärzte über die ihnen vom Beschuldigten anvertrauten Mitteilungen Umfassendes Sicherheitskonzept: Der private Schlüssel kann nur vom Karteninhaber auf der Karte selbst mit der mindestens sechsstelligen PIN- Eingabe zur Entschlüsselung aktiviert werden. oder über andere Umstände gemacht haben, auf die sich das Zeugnisverweigerungsrecht erstreckt. Beschränkte sich das Beschlagnahmeverbot früher nach 97 Abs. 2 StPO nur auf solche Materialien, die sich im Gewahrsam des Arztes selbst oder eines Krankenhauses befanden (zum Beispiel die Patientenkartei in der Arztpraxis), so weitet die Neuregelung den Schutz auf alle Daten aus, die direkt auf der egk gespeichert sind oder die sich im Gewahrsam eines Dienstleisters befinden, der Teile der Telematikinfrastruktur (oder eines beliebigen anderen E-Health- Netzwerks) betreibt und so Daten der Patienten speichert. Der Gesetzgeber hat also den Schutz des Zeugnisverweigerungsrechts konsequent an die neuen technischen Gegebenheiten angepasst. Die Daten werden nicht den Schutz der Schweigepflicht verlieren. Die Einführung der egk führt nicht zu einer erweiterten Profilbildung über Versicherte oder Ärzte. Tatsache ist allerdings, dass bereits seit dem Inkrafttreten des GKV- Modernisierungsgesetzes 2004 die Krankenkassen die Behandlungsdaten nicht nur wie zuvor arztbezogen erhalten, sondern nunmehr auch die Versichertennummern mitgeliefert bekommen mit sämtlichen technischen Auswertungsmöglichkeiten, die sich daraus ergeben. Zulässig ist die Nutzung der Daten allerdings nur für ausgewählte Zwecke, darunter immerhin auch die Werbung für Disease-Management- Programme (25). Entsprechendes gilt für die Abrechnung der Apotheken über die Apothekenrechenzentren. Auch hier werden die Daten schon seit Langem aus den eingereichten Papierrezepten gescannt und digitalisiert. Die Krankenkassen sind also bereits im Besitz der Daten, die für eine Profilbildung der Versicherten und Einteilung in Risikoklassen benutzt werden könnten. Dies ist aus Datenschutzsicht selbstverständlich kritisch zu beurteilen. Es hat allerdings nichts mit der egk zu tun. Dasselbe gilt für den auch von Datenschutzseite vielfach kritisierten morbiditätsorientierten Risikostrukturausgleich (26). Der egk wird nachgesagt, sie führe zu zusätzlicher Arbeit und einem Mehr an Kosten aufseiten der Ärzte, wogegen die alleinigen Profiteure der vereinfachten Prozesse die Krankenkassen seien. Wie weit dies zutrifft, kann hier nicht untersucht werden. Festzuhalten ist aber: Der Unmut der Ärzte an der Einführung der egk mag berechtigt sein mit Versäumnissen beim Datenschutz kann er nicht begründet werden. Hier muss die egk geradezu als Modellvorhaben angesehen werden, bei dem die Anforderungen des informationellen Selbstbestimmungsrechts vorbildlich umgesetzt werden. Andere Vorhaben, wie die Vorratsdatenspeicherung, die Onlinedurchsuchung oder die Speicherung von Passagierdaten zu unbestimmten Zwecken, sind die wirklichen Bedrohungen für eine freie Gesellschaft. Zitierweise dieses Beitrags: Dtsch Arztebl 2008; 105(6): A Anschrift des Verfassers Lukas Gundermann, Unabhängiges Landeszentrum für Datenschutz, Schleswig-Holstein (ULD) Holstenstraße 98, Kiel LD4@datenschutzzentrum.de Weitere Literatur im 137

12 LITERATURVERZEICHNIS HEFT 6/2008, ZU: TELEMATIKINFRASTRUKTUR DER ELEKTRONISCHEN GESUNDHEITSKARTE Basis für sichere Datenspeicherung Die elektronische Gesundheitskarte blieb bislang von der Kritik der Datenschützer verschont aus gutem Grund, weil sie aus deren Sicht die Anforderungen des informationellen Selbstbestimmungsrechts geradezu vorbildlich umsetzt. Lukas Gundermann LITERATUR 1. Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG vom 21. Dezember 2007, BGBl. I Vgl. z. B Presseerklärung des ULD Schleswig-Holstein, zentrum.de/presse/ vorrats datenspeicherung.htm 3. archives/348-gegen-vorratsdatenspeiche rung-und-elektronische-gesundheitskarte. html oder kurz: 4. Siehe auch die underdocs ( Wir Ärzte wehren uns! ), sowie der Newsletter 17/07 der Internationalen Ärzte für die Verhütung des Atomkrieges, Ärzte in sozialer Verantwortung e.v. 5. Beschluß der 47. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom März 1994 ( tenschutz-berlin.de/jahresbe/94/anlage/ an2_2.htm); Entschließung der 50. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom November 1995 ( be/95/anlage/an2_10.htm) 6. Nachzulesen unter juris.de/sgb_5/_291a.html 7. BGBl. I 2003, Vgl. Entschließung der 66. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 25./26. September 2003 ( 66/gesundheit.htm) 9. Vgl. Weichert T: Die elektronische Gesundheitskarte. DuD 2004, S Download der einschlägigen Dokumente, Stand vom : Uebersichtsseite Release_2_3_2.Ge matik 11. Sog. Dokumentenlandkarte, landkarte_rel2_3_2_080114_3003.pdf 12. Fachkonzept Verordnungsdatenmanagement (VODM) Version: 2.4.0, Stand: , gematik_vod_fach konzept_vodm_v2_4_0.doc, S. 85 f. 13. Facharchitektur Verordnungsdatenmanagement (VODM) Version: 1.3.0, Stand: , gematik_vod_facharchitek tur_vodm_v1_3_0.doc 14. Gesamtarchitektur Version: 1.1.0, Stand: , gematik_ga_gesamtarchi tektur_v1_1_0.doc, S Gesamtarchitektur S Übergreifendes Sicherheitskonzept der Telematikinfrastruktur Version: Stand: , gematik_ds_sicherheits konzept_v2_1_0.doc, S Vgl. bei Interesse wiki/hybride_verschl%c3%bcsselung 18. Die Anforderungen an das PIN-Verfahren finden sich in der Beschreibung der zulässigen PIN- und PUKVerfahren für die egk Version: Stand: , gematik_cms_kartenmanagement_egk_ PIN-PUK-Verfahren_V1_1_0.doc 19. Die Schlüssellänge im hier verwendeten Verfahren RSA beträgt 2048 Bit. Zur Sicherheit vgl. de/pommeren/dsvorlesung/kryptobasis/ RSAsich.html a BGB, bgb/ 126a.html a Zivilprozessordnung, bundesrecht.juris.de/zpo/ 371a.html 22. Interview Präsident des BKA Jörg Zierke in der TAZ vom , de/index.php?id=archivseite&dig=2007/ 03/26/a Fachkonzept Verordnungsdatenmanagement (VODM), S. 83 ff Siehe unter stpo/_53.html 25. Vgl. 284 SGB V, de/sgb_5/_284.html 26. Vgl. medizin/arztprax/integrierteversorgung. htm unter V. 138

13 TELEMATIK Heft 8, 22. Februar 2008 TELEMATIK IM GESUNDHEITSWESEN Zu Risiken und Nebenwirkungen fragen Sie... Medienkompetenz, gefühlte Sicherheit und Vertrauen entscheiden mit über die Akzeptanz und Nutzung neuer Technologien wie der Gesundheitskarte. Kritiker der elektronischen Gesundheitskarte, wie etwa die Freie Ärzteschaft, fordern den sofortigen Ausstieg aus dem Telematikprojekt und rufen zum Boykott der Karte auf. W ie kann eine gemeinsame Position der Ärzte zum künftigen Einsatz von Informationsund Komunikationstechnologien (IKT) im Gesundheitswesen aussehen? Der nächste Deutsche Ärztetag in Ulm soll bei der Beantwortung dieser heftig umstrittenen Frage mehr Klarheit bringen. Um Grundlagen für eine sachorientierte Auseinandersetzung zu schaffen, hatte die Bundesärztekammer kürzlich ein Positionspapier zum Einsatz von Telematik im Gesundheitswesen veröffentlicht und zur Diskussion aufgerufen (siehe DÄ, Heft 5/2008). Vor diesem Hintergrund beschäftigte sich der Telematik-Tag der Ärztekammer Nordrhein mit Risiken und Nebenwirkungen von Telematik und dem Projekt der elektronischen Gesundheitskarte (egk). Redlich Mühe, Ängste vor dem,monster egk zu nehmen, gab sich Dr. Thilo Weichert, der Datenschutzbeauftragte des Landes Schleswig-Holstein. Es bedarf eines organischen Prozesses, um solch ein hochkomplexes Verfahren wie die egk zu etablieren, betonte Weichert. Probleme bei der Erprobung seien völlig normal, es komme bei IT-Großprojekten darauf an, diese permanent zu evaluieren und anzupassen. Neben harten Faktoren wie Funktionalität und Sicherheit der Systeme und der Infrastruktur spielen weiche Faktoren wie die Akzeptanz und Medienkompetenz bei Ärzten und Patienten eine wesentliche Rolle. Diese seien allerdings noch nicht einmal ansatzweise erreicht, kritisierte der Datenschutzbeauftragte. Als Bindeglied dazwischen sieht er die Vertraulichkeit der Arzt- Foto: dpa Patienten-Beziehung und die Wahlfreiheit als Konkretisierung des Rechts auf medizinische und informationelle Selbstbestimmung des Patienten. Dies in eine arbeitsteilige und informationstechnisch hochgerüstete Informationsgesellschaft zu übertragen, ist schwierig. Für den Kieler Datenschützer sind jedoch der Vertraulichkeitsschutz und das Patientengeheimnis durch den gesetzlichen Rahmen der egk abgebildet und mit einer Vielzahl von Sicherungen rechtlicher und technischer Art versehen. Dazu zählen etwa die Nutzung der egk nur für die Inanspruchnahme von ärztlichen Leistungen, die Sicherung der Einwilligung, Protokollierungs- und Löschpflichten und der Schutz vor mittelbarem Zwang. Technisch wird dies unter anderem umgesetzt durch ein differenziertes Zugriffskonzept, durch Verschlüsselung der Daten bei der Übermittlung und Speicherung, durch die digitale Signatur und den elektronischen Heilberufsausweis sowie durch eine intelligente Architektur und sichere Netze. Um Medizin- Telematik patientenfreundlich zu gestalten, ist für Weichert ein modularer und transparenter Entwicklungs- und Entscheidungsprozess erforderlich, der ein Datenschutzmanagementsystem und die Vermittlung von Medienkompetenz ( Wahlfreiheit setzt Medienkompetenz voraus ) umfasst. Telematik ist eine dauernde Gestaltungsaufgabe: Es kommt darauf an, gemeinsam die Vertraulichkeit des Gesundheitswesens aus der Zeit des Hippokrates in unsere Informationsgesellschaft hinüberzuretten, lautete sein Fazit. Nur für technikaffine Gesunde? Die Vielzahl der technischen und organisatorischen Maßnahmen, mit denen der Gesetzgeber die Anforderungen des Datenschutzes und der informationellen Selbstbestimmung der Versicherten durch die egk gewährleisten will, ist für die Umsetzung in die Praxis gleichzeitig auch eine Krux. Sie erhöht die Komplexität der Verfahren, erschwert deren Handhabbarkeit und dürfte viele Anwender überfordern. So gilt für die Nutzung der freiwilligen Anwendungen der egk, wie Notfalldatensatz oder elektronische Patientenakte (epa), dass der Versicherte seine Einwilligung auf einzelne Anwendungen beschränken und auch widerrufen kann. Unklar sind jedoch beispielsweise die rechtlichen und technischen Folgen eines Widerrufs, wie Dr. Gerrit Hornung, Universität Kassel, erläuterte. Auch sieht der Gesetzgeber im Hinblick auf den Zugang Dritter zu medizinischen 139

14 Daten vor, dass eine abgestufte Einwilligung im Hinblick auf bestimmte Berufsgruppen, bestimmte Ärzte oder spezifische Datenfelder beziehungsweise Behandlungsfälle möglich sein muss. Dies ist informationstechnisch zwar machbar. Allerdings sei fraglich, ob man noch von einem informed consent sprechen könne, wenn es um komplexe Verfahren gehe oder bestimmte Patientengruppen betroffen seien, gab Hornung zu bedenken. Zeitmangel oder der Aufwand in der Behandlungssituation könnten die Wahrnehmung dieser Rechte faktisch erschweren und die Freiwilligkeit einschränken. Hornung: Schaffen wir mit einem abgestuften Zugriffs- und Einwilligungssystem informationelle Selbstbestimmung und Datenschutz für alle? Oder nur für diejenigen, die daran interessiert sind, für Personen mit einer überschaubaren Krankheitsgeschichte, die über ein Mindestmaß an körperlichen und mentalen Fähigkeiten verfügen das heißt letztlich, für technikaffine Gesunde? Erweiterte Fürsorgepflicht Daran lässt sich die Frage anschließen, ob möglicherweise ein Schutz des Karteninhabers vor sich selbst oder vor anderen erforderlich ist. Je stärker die Position des Versicherten und seine Einwilligungsrechte, desto höher ist das Maß seiner Selbstbestimmung desto größer aber auch die Gefahr des Drucks sozialer Abhängigkeitsverhältnisse, erklärte der Rechtsexperte. Weil me- NEUKONZEPTION DES TELEMATIKPROJEKTS Anforderungen (nach dem Positionspapier der Bundesärztekammer) Technische Alternativen zur Speicherung von Daten auf zentralen Serverstrukturen prüfen (wie etwa USB-Stick) Unabhängiges, öffentlich finanziertes Sicherheitsgutachten für die elektronische Gesundheitskarte und die Telematikinfrastruktur einholen Freiwillige Onlineanbindung der Ärzte Eine sichere, verschlüsselte und für Dritte nicht einsehbare Punkt-zu-Punkt- Kommunikation der Ärzte im Rahmen des egk-projekts ermöglichen Notfalldatensatz durch eine klinische Basisinformation auf der egk ersetzen Kritische Prüfung von Arzneimitteldokumentation und elektronischer Patientenakte nicht nur unter dem Aspekt der Sicherheit der Daten, sondern auch unter medizinischen und haftungsrechtlichen Aspekten Keine Kosten ohne Nutzen: Anwendungen, durch die Ärzten kein ökonomisch nachweisbarer Nutzen entsteht, sind durch den jeweiligen Nutznießer zu vergüten. dizinische Daten auch einen Markt darstellen, wirft der Einsatz von epas, insbesondere durch Industrieunternehmen oder Krankenkassen, Fragen nach dem Recht der Einsichtnahme oder der Nutzung der Daten durch Dritte auf. Wie sich vor diesem Hintergrund der Telematikeinsatz auf das Berufsbild und Selbstverständnis der Ärzte und die Arzt-Patient-Interaktion auswirken wird, ist unklar. Eine Folge könnte die Erweiterung der ärztlichen Fürsorgepflicht auf den Schutz der informationellen Selbstbestimmung ihrer Patienten sein, meinte Hornung. Am Beispiel von besonders sensiblen Patientendaten, etwa genetische Informationen oder zu psychischen Erkrankungen, werde deutlich, dass man keinesfalls von einem mutmaßlichen Einverständnis zur Datenspeicherung ausgehen könne, betonte Prof. Dr. med. Wolfram Henn, Universitätsklinikum Homburg/Saar. Henn verwies auf die Stellungnahme der Deutschen Gesellschaft für Humangenetik zur Speicherung humangenetischer Patientendaten auf einer egk (Internet: leitlinien/diagnostik_ll/stellung nahme_gfh_gesundheitskarte.pdf). Diese empfiehlt unter anderem, genetische Informationen, die prädiktive Aussagen zulassen, jedoch keine therapeutischen Konsequenzen eröffnen, nicht auf der egk zu speichern (Beispiel: Huntington-Chorea). Möglicherweise sei eine Negativliste von Krankheiten, die nicht auf der Karte oder in der epa gespeichert werden sollten, für die Praxis hilfreich, so der Humangenetiker. Seine Folgerung: Solange die egk von Ärzten als Instrument der Gängelung und von Patienten als Bedrohung ihrer Intimsphäre empfunden wird, kann sie nicht funktionieren. Die Frage nach dem Nutzen Gefühlte Sicherheit und Vertrauen seien entscheidende Voraussetzungen für die Nutzung und Akzeptanz technischer Systeme, wie es sich am Beispiel Auto zeigen lasse, ergänzte Prof. Dr. Herbert Weber, Leiter des Fraunhofer-Instituts für Softwareund Systemtechnik, Berlin, das maßgeblich an der Entwicklung der elektronischen Fallakte beteiligt war. Auch mit der flächendeckenden Einführung der egk werde ein übergreifendes normiertes Technologiekonzept wegen der Autonomie der Akteure im Gesundheitswesen nicht erreichbar sein, prognostizierte der IT-Experte. Er plädierte deshalb für eine föderale IKT-Architektur mit nicht redundanten Datenbeständen in den einzelnen Einrichtungen und mahnte eine ehrliche, realistische Kosten-Nutzen-Analyse an. Eine am individuellen Bedarf ausgerichtete Telematik forderte auch Dr. med. Philipp Stachwitz, Bundesärztekammer (BÄK): Jeder Arzt muss den medizinischen Nutzen und den Zeitpunkt des Einsatzes von Telematik für sich selbst bestimmen. Er verwies darauf, dass Ärzte bereits in erheblichem Umfang Patientendaten elektronisch austauschten und zunehmend auch das Angebot vernetzter elektronischer Patientenakten über zentrale Server in Anspruch nähmen. Es gebe allerdings Lösungen, bei denen man die Sicherheit oder damit verbundene kommerzielle Interessen hinterfragen müsse, sagte Stachwitz. Eine zertifizierte Telematikinfrastruktur, die Ärzten sicher und einfach zur Verfügung stehe, sei daher unabdingbar, um den technischen und rechtlichen Schutz der Daten zu gewährleisten. Überlegungen hierzu stelle die BÄK in ihrem Positionsentwurf zur Diskussion (Kasten). Folien der Vorträge im Internet unter (Arztinfo/Telematik/Dokumentation der Informationsveranstaltung am in Düsseldorf) 140

15 Heft 10, 7. März 2008 ELEKTRONISCHE GESUNDHEITSKARTE IM KRANKENHAUS Erst allmählich im Fokus TELEMATIK Die Einführung der elektronischen Gesundheitskarte spielt in den meisten Krankenhäusern noch keine Rolle. Dabei stellt die Vorbereitung darauf hohe organisatorische und technische Anforderungen. Die stationäre Aufnahme kommt als Erste mit der egk in Berührung. Die Einführung der elektronischen Gesundheitskarte (egk) beschäftigt nicht mehr nur den ambulanten Sektor, sondern hat wenn auch mit einiger Verzögerung als Thema inzwischen auch den Krankenhausbereich erreicht. So war das egk-projekt eines der Schwerpunktthemen der von der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.v. ausgerichteten IT-Fachtagung* in Dortmund. Fest steht, dass die Krankenhäuser allmählich aus der Rolle des stillen Beobachters herauskommen und sich aktiv auf die Gesundheitskarte vorbereiten müssen, denn nach dem Willen des Bundesgesundheitsministeriums soll der bundesweite Rollout der egk noch im Jahr 2008 beginnen. Nachdem Sachsen es abgelehnt hatte, als Einführungsregion zu fungieren, ist hierfür jetzt die Region Nordrhein im Gespräch. Zu welchem Zeitpunkt alle Krankenhäuser bundesweit die * 13. KIS-Tagung Praxis der Informationsverarbeitung im Krankenhaus und in Versorgungsnetzen neuen Karten verarbeiten können müssen, ist derzeit allerdings noch unklar. Ich bin davon überzeugt, die egk wird kommen, sagte Rudolf Henke, Erster Vorsitzender des Marburger Bundes, in seinem Eingangsreferat. Allerdings müsse man die Ärzteschaft als wichtigste Multiplikatoren mitnehmen und überzeugen. Zugleich forderte er: Es muss darüber nachgedacht werden, wie das egk-projekt aus ärztlicher Sicht optimiert werden kann. Einen Schritt in die richtige Richtung sieht er in den Prüfkriterien, die die Bundesärztekammer in ihrem Diskussionsentwurf zur Telematik im Gesundheitswesen erarbeitet und Anfang Februar veröffentlicht hat (siehe DÄ, Heft 5/2008, sowie Eine Verweigerungshaltung, wie sie einige Gruppierungen in der Ärzteschaft fordern, ist für ihn dagegen keine Lösung, denn das lässt anderen die Vorfahrt. Für die überwiegende Zahl der stationären Einrichtungen geht es bei der egk-einführung zunächst dar- 141 Foto: caro um, die Pflichtanwendung Stammdatenerfassung umzusetzen. Das heißt, sie müssen zumindest in der stationären Aufnahme die egk offline in der Funktionalität der bisherigen Krankenversichertenkarte mit zusätzlich aufgebrachtem Passfoto verarbeiten können, um die Daten in das Krankenhausinformationssystem (KIS) zu importieren. Hierfür sind egk-fähige Kartenterminals erforderlich. Sollen die neuen Karten beispielsweise auch auf den Stationen eingelesen werden können, muss das Haus mehrere solcher Kartenleser anschaffen. Im Gegensatz dazu müssen sich die Krankenhäuser, die an der Erprobung der egk in den sieben Testregionen teilnehmen, bereits intensiv mit der technischen Anbindung an die Telematikinfrastruktur und den Onlineanwendungen der egk beschäftigen. Das umfasst zum Beispiel bereits die Integration netzwerkfähiger Kartenterminals nach der SICCT(Secure Interoperable Chip Card Terminal)-Spezifikation. Besondere Anforderungen Grundsätzlich müssen stationäre Einrichtungen aufgrund der großen Zahl von Berufsgruppen, die miteinander kommunizieren, und aufgrund ihrer ausgeprägten Spezialisierung und Aufgabenteilung andere, weitaus komplexere Anforderungen berücksichtigen als der niedergelassene Bereich. Entsprechend umfangreiche und langwierige Planungen technischer und organisatorischer Art sind erforderlich. Darauf verwies unter anderem Prof. Dr. Anke Häber, Westsächsische Hochschule Zwickau. Vor allem die Vorbereitung auf die freiwilligen Anwendungen, wie etwa die Arzneimitteldokumentation oder die elek-

16 tronische Patientenakte, wird für die Krankenhäuser schwierig, meinte Häber, zumal diese Anwendungen teilweise von der Betriebsgesellschaft Gematik noch nicht spezifiziert worden seien. Die Anbindung der Häuser an die Telematikinfrastruktur erfolgt über die Konnektoren. Diese enthalten die Sicherheitslogik und stellen die Dienste der Infrastruktur, wie etwa die Online-Gültigkeitsprüfung der egk, zur Verfügung. Darüber hinaus muss jeder Arzt mit einem elektronischen Heilberufsausweis (HBA) ausgestattet werden. Weitere Komponenten der Telematikinfrastruktur sind sogenannte Security Module Cards (SMC) in zweierlei Ausprägung: Typ A ist für die HBA-Fernnutzung innerhalb einer Einrichtung, Typ B wird fest im Konnektor installiert und identifiziert die jeweilige Institution gegenüber der Telematikinfrastruktur. Wie viele Konnektoren und Kartenterminals je Aufnahme- und Stationsarbeitsplatz einschließlich lokaler Netzwerkkomponenten benötigt werden, hängt von den spezifischen Gegebenheiten jedes Hauses ab. In großen, räumlich verteilten Häusern kann die Zahl leicht in die Hunderte gehen, denn viele der geplanten freiwilligen Anwendungen werden auf den Stationen anfallen und dort das nötige Equipment erfordern. Außerdem muss das KIS, damit es die Zuordnung von Kartenterminals, Konnektoren und Clients übernehmen kann, mit entsprechenden Schnittstellen ausgestattet werden. Weitere Anpassungen der Software betreffen die Erweiterung des Rechtekonzepts, die interne Zugriffsprotokollierung und die Integration eines Trusted Viewers, der bei der Erstellung einer qualifizierten elektronischen Signatur die vertrauenswürdige Anzeige der zu signierenden Daten ermöglicht. Prozesse auf dem Prüfstand Doch geht es nicht allein nur um die technische Ausstattung. Vielmehr müssen sämtliche Geschäftsprozesse eines Hauses angefangen von der stationären Aufnahme eines Patienten bis zu seiner Entlassung einschließlich der Arztbriefschreibung auf den Prüfstand. Diese Analyse und Anpassung der Arbeitsabläufe und Prozesse muss letztlich jedes Haus für sich selbst durchführen zu unterschiedlich sind die jeweiligen Anforderungen. Vor allem die Vorbereitung auf die freiwilligen Anwendungen wird für die Krankenhäuser schwierig. Anke Häber, Westsächsische Hochschule Zwickau Häber: Beispiel elektronisches Rezept: Wo fallen diese im Krankenhaus an? Wie werden Rezepterstellung und elektronische Signatur im Primärsystem (= im KIS) umgesetzt? Wie ist das Handling bei der Erstellung und beim Einlösen von Rezepten unter Berücksichtigung etwa der Arzneimitteldokumentation? Ein anderes Beispiel ist die freiwillige Anwendung des Notfalldatensatzes. Häber: Soll dieser auch ins KIS kopiert werden? Wo und wie genau ist das zu managen? Die Integration der Anwendungsfälle in klinische Prozesse und Datenstrukturen sei derzeit noch nicht möglich, betonte auch André Bönnighausen, Firma Siemens. Der Grund: Bislang hätten sich die Spezifikationen der Komponenten vorrangig an der Situation in der Arztpraxis und nicht der des Krankenhauses orientiert. Ein Beispiel dafür ist der Mehrkomponentenkonnektor, mit dem sich mehrere Institutionsausweise (SMC-B) verwalten lassen. Bislang seien nur Einbox-Konnektoren von der Gematik zugelassen, erläuterte Kai Sierks, IT-Leiter der Augusta- Kranken-Anstalt, Bochum, eine der Teilnehmerkliniken in der dortigen Testregion. Sie stellen für größere Krankenhäuser ein Nadelöhr in der Performance der Arbeitsabläufe dar, weil sie nur eine SMC-B verarbeiten können. Beim mandantenfähigen Mehrkomponentenkonnektor sind Anwendungs- und Netzkonnektor dagegen getrennt. Das erhöht die Flexibilität und Leistungsfähigkeit innerhalb der Infrastruktur, meinte Sierks. Die Kartenterminals sind dabei den Anwendungs-, nicht den Netzkonnektoren zugeordnet. Die Primärsysteme kommunizieren über das lokale Netzwerk des Krankenhauses mit den Anwendungskonnektoren, einer Software, die entweder auf einem eigenen Server oder zusammen mit dem KIS auf einem Rechner läuft. Der Anwendungskonnektor stellt die Schnittstellen zu den Fachdiensten wie dem Versichertenstammdatendienst zur Verfügung und unterstützt außerdem die Basisdienste wie den Kartenzugriff und die Signatur. Die Kommunikation zwischen dem Anwendungskonnektor und der Telematikinfrastruktur wird dagegen durch den Netzkonnektor, einem Router mit sicherer VPN(Virtual Private Netzwork)- Komponente, vermittelt. Viele Fragen, einschließlich die der Finanzierung, sind somit noch offen. Die Krankenhausärzte trauen der IT zu, die Herausforderungen der Kommunikation im Gesundheitswesen zu lösen, hatte Rudolf Henke eingangs optimistisch betont. Bis es so weit ist, haben die Krankenhäuser noch ein gutes Stück nicht nur technischer Arbeit vor sich, denn die meisten IT-Projekte scheitern, so war zu hören, an zwischenmenschlichen Faktoren, nicht an technischen. 142

17 Heft 11, 14. März 2008 ELEKTRONISCHE PATIENTENAKTE Schlüsselrolle für den Datenschutz Ein hohes Maß an Sicherheit ist immer mit Einschränkungen der Praktikabilität verbunden. Es bedarf einer vernünftigen Abwägung zwischen beiden Anforderungen. Jürgen H. Müller Die elektronische Gesundheitskarte (egk) wird in den nächsten Jahren die Krankenversichertenkarte ablösen. Sie soll die bisherigen Funktionen dieser Karte übernehmen und zusätzlich telematische Anwendungen unterstützen, angefangen vom elektronischen Rezept bis hin zur elektronischen Patientenakte. Ziel des Aufbaus der Telematikinfrastruktur ist es, Gesundheitsdaten sektorübergreifend zum Zeitpunkt und am Ort der Behandlung verfügbar zu machen. Hierbei dient die egk als Steuerungsinstrument in der Hand der Patienten. Natürlich stellen sich bei einem derart ambitionierten Vorhaben viele Fragen, vor allem: Wer bestimmt, welche Angaben gespeichert werden, und wer wird auf die Informationen zugreifen können? Sind die sensiblen medizinischen Daten vor Missbrauch geschützt? Von Anfang an war allen Beteiligten an diesem Projekt klar, dass bei der Einführung der egk den Belangen des Datenschutzes eine Schlüsselrolle zukommt. Das Recht auf informationelle Selbstbestimmung gewährleistet die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. In Ausübung dieses Rechts müssen die Patienten selbst darüber entscheiden können, wann sie wem welche Gesundheitsdaten zugänglich machen möchten. Dieser Maxime folgen auch die gesetzlichen Regelungen zur egk, die zwischen Pflicht- und freiwilligen Anwendungen unterscheiden. Die Verarbeitung administrativer Daten zählt zu den Pflichtanwendungen, wohingegen die elektronische Patientenakte zu den freiwilligen Anwendungen gehört. Nach 291 a Abs. 3 Nr. 4 SGB V (Sozialgesetzbuch) kann die elektronische Patientenakte Daten über Befunde, Diagnosen, Therapiemaßnahmen, Behandlungsberichte sowie Impfungen für eine fall- und einrichtungsübergreifende Dokumentation über den Patienten enthalten. Wie gelangen diese Daten in die elektronische Patientenakte? Da es sich um eine freiwillige Anwendung handelt, muss der Patient zunächst seine Einwilligung gegenüber einem Leistungserbringer erklären, dass er die elektronische Patientenakte überhaupt nutzen will. TELEMATIK Foto: Caro Freiwillige Entscheidung der Patienten Diese Einwilligung des Patienten ist eine für den Umgang mit seinen Gesundheitsdaten sehr weitreichende Entscheidung, sodass ihr ein ausführliches Gespräch mit einem Arzt vorausgehen sollte. In diesem Gespräch sollte der Arzt dem Patienten verdeutlichen, dass es mit der egk gelingen kann, einerseits die Behandlungs- und Lebensqualität der Betroffenen zu verbessern und andererseits die Patientenrechte zu stärken. Sofern Patienten in die Speicherung ihrer Gesundheitsdaten einwilligen, können wichtige Gesundheitsdaten künftig schneller verfügbar sein, was zum Beispiel im Notfall und beim Arztwechsel eine bessere medizinische Versorgung ermöglicht. Nach der Dokumentation dieser Einwilligung muss sodann die Krankenkasse als kartenausgebende Stelle die Anwendung elektronische Patientenakte freischalten. Nachdem diese Anwendung freigeschaltet ist, ist zu fragen, wie die Daten in die elektronische Patientenakte gelangen und wer später auf sie zugreifen darf. Die Antworten hierauf findet man in 291 a Abs. 4 und 5 SGB V. Diese beiden Absätze stehen in engem Zusammenhang: Während Absatz 4 den Kreis der zugriffsberechtigten Personen bestimmt, also regelt, wer zugreifen darf, stellt Absatz 5 nähere Anforderungen an die technischen Voraussetzungen, also an das Wie des Zugriffs. Der berechtigte Personenkreis der Leistungserbringer (wie zum Beispiel der Arzt oder Apotheker) ist im Gesetz exakt beschrieben; zusätzlich ist der Zugriff auf die Daten an die Bedingung geknüpft, dass er zur Versorgung der Patienten erforderlich ist. Das Zugreifen bezieht sich auf jeden datenschutzrechtlich relevanten Umgang mit den Daten, wobei eine Unterscheidung zwischen den aus dem Datenschutzrecht bekannten Begrif- 143

18 Noch lange nicht papierfrei: Arztpraxen und Krankenhäuser arbeiten weitgehend noch papierbasiert. Bis zur elektronischen Patientenakte ist es daher noch ein weiter Weg nicht zuletzt aufgrund der hohen Sicherheitsanforderungen. Foto: Deutscher Infografikdienst fen des Erhebens, Verarbeitens und Nutzens, die konkrete Formen des Zugriffs darstellen, bewusst nicht getroffen wurde. Die Regelung bietet jedem Patienten die Möglichkeit, differenzierte Zugriffsrechte festzulegen. So können Patienten festlegen, dass jeder Leistungserbringer auf die elektronische Patientenakte zugreifen darf. Sie können dieses Recht aber auch begrenzen auf bestimmte Rollen (zum Beispiel nur Ärzte), auf bestimmte Fachgruppen (zum Beispiel nur Orthopäden) oder auf bestimmte Einzelpersonen (nur ein Arzt). Ausgehend von diesen Zugriffsberechtigungen können nur diejenigen Leistungserbringer, denen der Zugriff und damit Schreibrechte erlaubt sind, Gesundheitsdaten in die elektronische Patientenakte übertragen. Diese differenzierten Zugriffsrechte können die Patienten jederzeit beliebig wieder verändern. Über die Vergabe der Zugriffsrechte und über die erforderliche generelle Einwilligung der Patienten zur Nutzung bestimmter Anwendungen hinaus müssen die Patienten in jeden Zugriff auf einzelne Einträge einer Anwendung einwilligen. Dies wird in der Praxis dadurch umgesetzt, dass der Zugriff durch ein geeignetes technisches Verfahren von den Patienten autorisiert werden muss, nämlich die Eingabe einer PIN. Das Überreichen der egk und die Eingabe der PIN ist dann als konkludente Einwilligung des Patienten zu bewerten. 144 Wie erfolgt der Eintrag der Daten in die Patientenakte? Damit der Arzt die vom Patienten zum Eintrag in die elektronische Patientenakte freigegebenen Gesundheitsdaten eintragen kann, benötigt er einen elektronischen Heilberufsausweis, der über eine sichere Möglichkeit zur Authentifizierung und eine qualifizierte elektronische Signatur verfügt. Damit sind sowohl der schreibende als auch der lesende Zugriff auf die freiwilligen medizinischen Daten der egk gesetzlich nur mittels zweier Karten der egk aufseiten der Patienten und dem elektronischen Heilberufsausweis aufseiten der Leistungserbringer möglich. Dieses 2-Schlüssel-Prinzip ist zentraler Bestandteil der gesetzlich geregelten Sicherheitsmaßnahmen zum Schutz der Daten vor missbräuchlicher Verwendung. Der Kreis derjenigen, die unberechtigt auf Gesundheitsdaten zugreifen können, wird technisch auf Personen reduziert, die einen Heilberufsausweis besitzen. Durch die Verbindung der auf dem Heilberufsausweis befindlichen qualifizierten Signatur mit den gesetzlich vorgeschriebenen Protokollierungspflichten kann die Identität des zugreifenden Heilberuflers zweifelsfrei festgestellt werden, sodass Missbrauchsfälle nachvollzogen werden können. Sichere Möglichkeiten zur Authentifizierung, über die der elektronische Heilberufsausweis verfügen muss, gewährleisten den vertrauenswürdigen Zugriff auf Daten der egk. Mit kryptografischen Verfahren zur Authentifizierung kann sich der elektronische Heilberufsausweis sicher gegenüber der egk ausweisen. Wichtig ist die Klarstellung, dass es sich bei den Daten der elektronischen Patientenakte nicht um ein Abbild der ärztlichen Dokumentation handelt, wie sie sich auf dem Praxisrechner des einzelnen Arztes befindet. Da die Speicherung von medizinischen Informationen in der elektronischen Patientenakte eine in der Verfügungsgewalt des Patienten stehende freiwillige Anwendung ist, kann sie auch nicht die Dokumentationspflichten des Arztes ersetzen. Die mittels der elektronischen Patientenakte bereitgestellten Daten sind daher im Regelfall Kopien ausgewählter Daten. Es besteht keine Garantie auf eine Vollständigkeit der mit der elektronischen Patientenakte verfügbaren Informationen.

19 Sie enthält nur die Daten, die getrennt von der ärztlichen Dokumentation gespeichert werden und den Leistungserbringern zur Verfügung stehen, denen der Patient die Berechtigung dazu erteilt. Im Haftungsfall wird sich ein in Anspruch genommener Arzt nicht mit dem Hinweis auf eine unvollständige elektronische Patientenakte entlasten können. Allerdings kann sich jeder Arzt auf die Integrität der medizinischen Daten verlassen, denn diese müssen von dem zugriffsberechtigten Arzt mit seinem Heilberufsausweis signiert werden. Änderungen an diesem Datensatz können nur von Ärzten vorgenommen werden, niemals aber eigenständig von Patienten. Einsichtsrecht der Patienten in ihre eigenen Daten Noch nicht endgültig entschieden ist die Frage, wie Patienten ihr Einsichtsrecht in die elektronische Patientenakte wahrnehmen können. Zunächst gilt wieder das oben genannte 2-Schlüssel-Prinzip, sodass Patienten nur zusammen mit einem elektronischen Heilberufsausweis auf ihre Daten zugreifen können. Die Gegenwart eines elektronischen Heilberufsausweises bedeutet allerdings nicht, dass der Arzt oder Apotheker physisch am Ort der Einsichtnahme anwesend sein muss. Denkbar ist auch, dass das Einsichtsrecht an Terminals ausgeübt wird, die im Wartezimmer der Arztpraxis oder in der Apotheke stehen und in die ein Heilberufsausweis gesteckt ist. Technische Lösungen, bei denen der Patient an seinem eigenen PC im häuslichen Bereich seine egk mit einem Lesegerät ausliest und gleichzeitig über einen sicheren Kanal eine Onlineverbindung mit einem Heilberufler besteht, der an einem entfernten Ort seinen Heilberufsausweis als zweiten Schlüssel einsetzt, sind mit dem 2-Schlüssel- Prinzip nicht vereinbar. Die Geltung des 2-Schlüssel- Prinzips auch bei der Wahrnehmung des Einsichtsrechts durch die Patienten reduziert die Gefahr, diese in Zwangssituationen zu bringen, in denen sie zur Preisgabe ihrer Daten genötigt werden. Vorstellbar wäre dann ein Szenario im Rahmen eines Bewerbungsgesprächs, dass ein Arbeitgeber den Bewerber auffordert, seine Gesundheitsdaten zu offenbaren. Da in diesem Fall der Arbeitgeber keinen eigenen Zugriff (auch nicht durch seinen Betriebsarzt) vornimmt, würde auch die Zugriffsprotokollierung keinen Nachweis über einen missbräuchlichen Zugriff belegen. Nach außen hin sähe es wie ein freiwilliger, eigenständiger Zugriff durch den Patienten aus. Da der Gesetzgeber gerade diese Missbrauchsmöglichkeiten einschränken wollte, ist ein Einsichtsrecht am eigenen PC auf die elektronische Patientenakte auf der Grundlage der geltenden gesetzlichen Regelungen nicht zulässig. Auch wenn das 2-Schlüssel- Prinzip bei der Einsichtnahme durch die Patienten einige Hürden aufstellt, wird die Einsichtnahme dennoch im Vergleich mit der heutigen Situation, in der Patienten den Arzt direkt um Einsichtnahme oder Kopien ihrer Behandlungsunterlagen ersuchen müssen, erleichtert. Denn nicht selten scheuen Patienten die Frage nach den Behandlungsunterlagen, um das Verhältnis zu ihren Ärzten nicht zu belasten. Einerseits haben Patienten künftig mit der egk die Möglichkeit, mithilfe anderer Leistungserbringer als derjenigen, die die Eintragungen vorgenommen haben, ihr Einsichtsrecht zu realisieren. Andererseits hat der Gesetzgeber die Möglichkeit vorgesehen, sich ein elektronisches Patientenfach ( 291 a Absatz 3 Satz 1 Nr. 5 SGB V) einrichten zu lassen. In dieses Patientenfach können alle Daten der egk, also auch die in der Patientenakte enthaltenen, kopiert werden. Auf dieses Fach kann der Patient ohne Anwesenheit eines elektronischen Heilberufsausweises zugreifen. Damit allerdings auch beim Zugriff auf das Patientenfach eine Zugriffsprotokollierung möglich ist, wird der Einsatz einer Signaturkarte mit qualifizierter Signatur als zweiter Zugriffsschlüssel verlangt. Statt einer eigenen Signaturkarte ist auch denkbar, dass die egk mit integrierter Signatur genutzt wird. Da es sich bei dem Patientenfach um eine freiwillige Anwendung handelt, besteht 145 hier auch eine geringere Missbrauchsgefahr etwa bei Bewerbungsgesprächen, denn Patienten können behaupten, überhaupt kein Patientenfach zu besitzen, oder vor dem entsprechenden Termin alle dort vorhandenen Dokumente löschen. Fazit Letztlich ist ein hohes Maß an Sicherheit immer mit Einschränkungen bei der Praktikabilität verbunden. Es bedarf einer vernünftigen Abwägung zwischen dem Datenschutz und der Datensicherheit auf der einen und der praktischen Handhabbarkeit auf der anderen Seite. Mit den Regelungen zur Wahrnehmung des Einsichtsrechts der Patienten ist die Abwägung sicherlich zugunsten des Datenschutzes und der Datensicherheit ausgefallen. Gerade in der Einführungsphase der elektronischen Gesundheitskarte können diese Aspekte nicht hoch genug bewertet werden, um die Akzeptanz zu einem neuen Kommunikationsmittel herzustellen. Zitierweise dieses Beitrags: Dtsch Arztebl 2008; 105(11): A Anschrift des Verfassers Jürgen H. Müller Leiter Projektgruppe Elektronische Gesundheitskarte, Referat IV, Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Husarenstraße 30, Bonn pg-egk@bfdi.bund.de SERIE TELEMATIK Bisher erschienene Beiträge im DÄ: Heft 45/2007: Interview zum Projekt Gesundheitskarte mit Dr. med. Franz-Joseph Bartmann, Vorsitzender des Ausschusses Telematik der Bundesärztekammer und Präsident der Ärztekammer Schleswig-Holstein: Neue Karte, neuer Schlitz sonst passiert nichts Heft 49/2007: Kommentar von Wilfried Deiß, Facharzt für Innere Medizin, Hausarzt: Projekt elektronische Gesundheitskarte Fuchs statt Monster Heft 51 52/2007: : Gesundheitstelematik Sanfter Ausbau statt Big Bang Heft 3/2008: Ulrike Hein-Rusinek, Christiane Groß: Projekt elektronische Gesundheitskarte Notfalldaten Mehr Schein als Sein? Heft 5/2008: Philipp Stachwitz: Telematik im Gesundheitswesen Positionsbestimmung der Ärzte Heft 6/2008: Lukas Gundermann: Telematikinfrastruktur der elektronischen Gesundheitskarte Basis für sichere Datenspeicherung Heft 8/2008: : Telematik im Gesundheitswesen Zu Risiken und Nebenwirkungen fragen Sie... Heft 9/2008: Uwe K. Preusker: Gesundheitstelematik in Nordeuropa Unabhängig von Raum und Zeit Heft 10/2008: : Elektronische Gesundheitskarte im Krankenhaus Erst allmählich im Fokus

20 Heft 15, 11. April 2008 ELEKTRONISCHE GESUNDHEITSAKTEN HealthVault, Google Health & Co Die zentrale Speicherung medizinischer Daten entwickelt sich zu einem vielversprechenden Geschäftsfeld für Unternehmen. Kritiker beobachten dies mit Sorge. Während in Deutschland die Diskussion um die elektronische Gesundheitskarte (egk) und eine zentrale Speicherung medizinischer Daten voll entbrannt ist, werden in den USA Fakten geschaffen: Technologiekonzerne wie Microsoft, Google oder AOL haben begonnen, in den lukrativen Markt der Verarbeitung von Gesundheitsdaten einzusteigen. So hat beispielsweise Microsoft im Oktober 2007 das Health- Vault -Programm gestartet (www. healthvault.com). Dieses sieht vor, dass Nutzer ihre Gesundheitsdaten verschlüsselt in einer persönlichen Gesundheitsakte ablegen und verwalten können, die zentral bei Microsoft gespeichert wird. Nutzer der webbasierten Akte können medizinische Daten und Befunde von behandelnden Einrichtungen direkt dort einspeisen lassen, sodass sie jederzeit online abrufbar sind. Der Konzern arbeitet mit Partnern wie der American Heart Association, Johnson & Johnson Life Scan (ein Hersteller von Blutzuckermessgeräten), der Mayo-Klinik und MedStar Health, einem Netzwerk von sieben Krankenhäusern in der Region Baltimore-Washington, zusammen, weitere Kooperationen sollen folgen. HealthVault umfasst zusätzlich eine auf Gesundheitsaspekte spezialisierte Suchmaschine, die Informationen über Krankheiten, Gesundheitstipps und Webseiten zu Medizinthemen zur Verfügung stellt ( Das Angebot ist werbefinanziert. Die Daten sollen außerdem gegen eine Gebühr in anonymisierter Form Pharmaunternehmen und Versicherungen für Marktforschungszwecke zur Verfügung gestellt werden. Ganz ähnlich agiert der Konkurrent Google, der sein Projekt Google Health ebenfalls bestehend aus einer Spezialsuchmaschine für Gesundheitsthemen und einer persönlichen Gesundheitsakte in der englischen Version noch 2008 starten will. Bereits Mitte 2007 kursierten Screenshots einer Testversion im Netz. Für den Suchmaschinenanbieter sind die Aktivitäten im Gesundheitsbereich quasi eine natürliche Fortsetzung seines bisherigen Geschäftsfelds, denn die Suchanfragen zum Thema Gesundheit nehmen ohnehin einen breiten Raum ein. Darüber hinaus stellt das Unternehmen bereits heute kostenfreien Speicherplatz für Texte, Fotos oder s zur Verfügung und will dieses Angebot künftig auf medizinische Daten ausdehnen. Ähnlich wie beim Webdienst Google Mail soll der Zugang zu den Gesundheitsdaten nur nach Eingabe von Benutzername und Passwort möglich sein. Google will auf Werbung verzichten. Das Unternehmen will davon profitieren, dass durch Google Health die zentrale Startseite für die Webrecherche ähnlich wie beim werbefreien News-Dienst noch stärker frequentiert wird. Die persönliche Gesundheitsakte wird derzeit mit rund Freiwilligen an der Cleveland-Klinik (Ohio) getestet. Geplant ist, bis zu Testteilnehmer zu gewinnen. Die Gesundheitsakte soll anschließend zunächst in den USA und dann schrittweise auch in anderen Ländern eingeführt werden. Die Bundesärztekammer (BÄK) betrachtet diese Entwicklung mit Sorge. Zwar sollen die Patientendaten bei der Onlineakte von Google nicht ohne explizite Zustimmung der Patienten weitergegeben oder verkauft werden. Allein die Möglichkeit einer kommerziellen Weiterverwendung aber sei alarmierend. Wir dürfen nicht zulassen, dass Patientendaten zur Handelsware werden. Diese hochsensiblen Gesundheitsdaten gehören nicht in die Hände von unbefugten Dritten, die in Betracht ziehen, daraus ein Geschäft zu machen, warnte Dr. med. Franz-Joseph Bartmann, Vorsitzender des Ausschusses Telematik der BÄK. Bei der notwendigen kritischen Auseinandersetzung mit der egk dürften andere Bedrohungen Die Gesundheitswebsite von Microsoft: Die großen Technologiekonzerne steigen weltweit in die Gesundheitsmärkte ein und bieten zunehmend auch Lösungen für die Speicherung und Kommunikation von Patientendaten an. 146