Zugriff für Patienten auf eigene Gefahr
Gemäß E-Health-Gesetz hat die gematik den Auftrag erhalten, zu prüfen, „inwieweit mobile und stationäre Endgeräte der Versicherten zur Wahrnehmung ihrer Rechte, insbesondere der Zugriffsrechte, und für die Kommunikation im Gesundheitswesen einbezogen werden können“. Geklärt werden sollte also, ob und wie Patienten mit ihren Smartphones, Tablets und PCs und auf Basis nötiger Apps auf auf ihre Daten in der Telematikinfrastruktur zugreifen können.
Die Antwort der Informatiker: Es geht – aber es ist sehr umständlich. In ihrem Prüfbericht kommen die Experten zu dem Ergebnis, dass Hard- und Software der Versicherten „stark differieren“: „Diese Diversität der Geräte (...) sowie die damit einhergehenden sehr stark fragmentierten Sicherheitseigenschaften stellen neben den funktionalen Unterschieden eine der größten Herausforderungen zur Integration dieser Geräte in eine auf Sicherheit ausgerichtete Kommunikationslandschaft – wie die Telematikinfrastruktur – dar.“*
Wegen der kontaktbehafteten Gesundheitskarten müsse man Smartphone und Tablet per Bluetooth oder USB-Kabel mit einem Karten-Lesegerät verbinden. Zwar seien auch kontaktlose Karten spezifiziert, doch eben nur in der Theorie: „Da aktuell für kontaktlose Karten im Gesundheitswesen, beispielsweise in Ermangelung entsprechender zugelassener Kartenleser, keine Anwendungsszenarien existieren, gibt es derzeit keine eGK mit kontaktloser (NFC-)Schnittstelle. Daher ist bei der Anbindung der eGK an die Geräte der Versicherten derzeit immer von einer Nutzung eines separaten Kartenlesegeräts auszugehen.“
Der Prüfauftrag für die gematik
Ende 2015 trat das „Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen (E-Health-Gesetz)“ in Kraft. Damit verbunden ist laut SGB V, § 291b Satz 13, ein Prüfauftrag für die gematik: Sie sollte untersuchen, „inwieweit mobile und stationäre Endgeräte der Versicherten zur Wahrnehmung ihrer Rechte, insbesondere der Zugriffsrechte, und für die Kommunikation im Gesundheitswesen einbezogen werden können“.
Die gematik (Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH) wurde 2005 von den Spitzenorganisationen des Gesundheitswesens gegründet, um gemäß gesetzlichem Auftrag die Einführung, Pflege und Weiterentwicklung der eGK und ihrer Infrastruktur voranzutreiben, zu koordinieren und die Interoperabilität der beteiligten Komponenten sicherzustellen.
Während die Telematikinfrastruktur als Basisnetz für Anwendungen der Gesundheitskarte auf einer durchdeklinierten Sicherheitsarchitektur beruht, weisen die Smartphones, Tablets, Notebooks und PCs der Versicherten mit ihren Schnittstellen zu Apps, Facebook, Instagram Co. zudem immense Sicherheitslücken auf, die nicht rigoros geschlossen werden können.
Herr der Daten – zumindest in der Theorie
Was die Datensicherheit der Geräte und Anwendungen betrifft, weisen die Prüfer auch darauf hin, „dass die Implementierungen dieser Sicherheitseigenschaften kein sicherheitszertifiziertes Niveau besitzen“. Das Risiko, durch Sicherheitslücken die eigenen Daten preiszugeben, sei hoch und müsse daher von den Versicherten selbst getragen werden. Sie seien „für die Einhaltung von Sicherheitsregeln selbst verantwortlich“: „Die Geräte der Versicherten sind keine Geräte der Telematikinfrastruktur. Das bedeutet insbesondere, dass diese Geräte nicht durch die gematik zugelassen werden und damit kein Nachweis ihrer funktionalen und sicherheitstechnischen Eignung erfolgt. Die Versicherten tragen notwendigerweise selbst die Verantwortung für diese Geräte.“*
Arztbrief, Notfalldaten, elektronische Patientenakte, Patientenfach, Patientenquittung: Versicherte sollen auf alle ihre Daten auf der eGK und in der Telematikinfrastruktur zugreifen können. De facto sind die Anwendungsfälle den Prüfern zufolge jedoch „stark limitiert“, da der Zugriff auf den überwiegenden Teil der Daten mittels eGK nur in Verbindung mit einem Heilberufsausweis erfolgen darf. Zugreifen können Patienten – zumindest theoretisch – bislang auf ihre Versichertenstammdaten, die Organspendeerklärung und auf persönliche Erklärungen wie die Patientenverfügung.
*Drucksache Deutscher Bundestag 18/11870 vom 10.4.2017