eGK: Datenzugriff für Patienten auf eigene Gefahr
Am 29. Dezember 2015 trat das „Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen (E-Health-Gesetz)“ in Kraft. Damit verbunden ist laut SGB V, § 291b Satz 13, ein Prüfauftrag für die gematik: Und zwar sollte sie untersuchen, "inwieweit mobile und stationäre Endgeräte der Versicherten zur Wahrnehmung ihrer Rechte, insbesondere der Zugriffsrechte, und für die Kommunikation im Gesundheitswesen einbezogen werden können".
Geklärt werden sollte also, ob und wie Patienten mit Smartphones, Tablets und Pcs und mithilfe nötiger Apps auf auf ihre Daten in der Telematikinfrastruktur zugreifen können.
"Es geht, aber es ist sehr umständlich!"
Die Antwort der Informatiker: Es geht, aber es ist sehr umständlich. In dem Prüfbericht der gematik kommen die Experten zu dem Ergebnis, dass Hard- und Software der Endgeräte der Versicherten "stark differieren" und "stark fragmentierte Sicherheitseigenschaften" aufweisen.
"Diese Diversität der Geräte der Versicherten sowie die damit einhergehenden sehr stark fragmentierten Sicherheitseigenschaften stellen neben den funktionalen Unterschieden eine der größten Herausforderungen zur Integration dieser Geräte in eine auf Sicherheit aus erichtete Kommunikationslandschaft - wie die Telematikinfrastruktur - dar."
Wegen der kontaktbehafteten Gesundheitskarten müsse man Smartphone und Tablet per Bluetooth oder USB-Kabel mit einem Karten-Lesegerät verbinden. Zwar seien auch kontaktlose Karten spezifiziert, doch eben nur in der Theorie: "Da aktuell für kontaktlose Karten im Gesundheitswesen, beispielsweise in Ermangelung entsprechender zugelassener Kartenleser, keine Anwendungsszenarien existieren, gibt es derzeit keine eGK mit kontaktloser (NFC-)Schnittstelle. Daher ist bei der Anbindung der eGK an die Geräte der Versicherten derzeit immer von einer Nutzung eines separaten Kartenlesegeräts auszugehen."
Während die Telematikinfrastruktur als Basisnetz für Anwendungen der Gesundheitskarte auf einer durchdeklinierten Sicherheitsarchitektur beruht, weisen die Smartphones, Tablets, Notebooks und PCs der Versicherten mit ihren Schnittstellen zu Apps, Facebook, Instagram & Co. zudem immense Sicherheitslücken auf, die nicht rigoros geschlossen werden können.
Patienten sind "für die Einhaltung von Sicherheitsregeln selbst verantwortlich".
Was die Datensicherheit der Geräte und Anwendungen betrifft, weisen die Prüfer auch darauf hin, "dass die Implementierungen dieser Sicherheitseigenschaften kein sicherheitszertifiziertes Niveau besitzen". Das Risiko, durch Sicherheitslücken die eigenen Daten preiszugeben, sei hoch und müsse daher von den Versicherten selbst getragen werden. Sie seien "für die Einhaltung von Sicherheitsregeln selbst verantwortlich".
Die Geräte der Versicherten sind keine Geräte der Telematikinfrastruktur. Das bedeutet insbesondere, dass diese Geräte nicht durch die gematik zugelassen werden und damit kein Nachweis ihrer funktionalen und sicherheitstechnischen Eignung erfolgt. Die Versicherten tragen notwendigerweise selbst die Verantwortung für diese Geräte.
Arztbrief, Notfalldaten, elektronische Patientenakte, Patientenfach, Patientenquittung: Versicherte sollen auf alle ihre Daten auf der eGK und in der Telematikinfrastruktur zugreifen können. De facto seien die Anwendungsfälle den Prüfern zufolge jedoch "stark limitiert", da der Zugriff auf den überwiegenden Teil der Daten mittels eGK nur in Verbindung mit einem Heilberufsausweis erfolgen darf. Zugreifen können Patienten - zumindest theoretisch - bislang auf ihre Versichertenstammdaten, die Organspendeerklärung und auf persönliche Erklärungen wie die Patientenverfügung.
Drucksache Deutscher Bundestag 18/11870 vom 10.4.2017
