Die elektronische Gesundheitskarte

[Ausarbeitung zum Seminar E-Government]

Datenschutz

Mit der neuen Gesundheitskarte soll der Patient die Möglichkeit erhalten, persönliche medizinische Daten zu speichern und zum Beispiel für Notfälle ständig bei sich zu führen. Dieser Umstand erfordert die Sicherung der Daten um Missbrauch zu verhindern. Dies erfolgt im Wesentlichen durch Verschlüsselungs- und Authentifizierungsmechanismen. Ebenfalls aus Sicherheitsgründen sollen die Daten anstelle auf einem zentralen Server auf verschiedenen Servern gespeichert werden.¹⁾

Zugriffsschutz vs. Verfügbarkeit über die eigenen Daten

Durch das GKV-Modernisierungsgesetz²⁾ werden die Zugriffsrechte auf die persönlichen Daten des Patienten genau geregelt. Dies soll der Sicherheit und Transparenz für den Bürger dienen. Das Gesetz sieht vor, dass nur die Daten gespeichert werden dürfen, die der medizinischen Versorgung des Bürgers dienen. Der Versicherte hat das Recht jederzeit auf seine Daten zuzugreifen oder medizinische Daten und Rezepte zu löschen. Allerdings ist dafür bisher nur die Möglichkeit vorgesehen, den Zugriff über Patiententerminals in Apotheken oder Arztpraxen zu ermöglichen. Damit der Patient volle Kontrolle über seine Daten hat, ist es aber erforderlich, dass der Zugriff auch ohne Arzt oder Apotheker erfolgen kann. Es sollte eine Möglichkeit geschaffen werden, die es erlaubt die Daten an dem heimischen PC mit Hilfe eines Kartenlesegerätes, der PIN und eventuell unter Nutzung einer elektronischen Signatur auszulesen bzw. zu löschen. Allerdings wird die Möglichkeit tatsächlich jederzeit auf seine Daten zugreifen zu können durch ein weiteres Sicherheitsmerkmal verhindert. Der Zugriff auf die Daten der elektronischen Gesundheitskarte wird nur mit einem elektronischen Heilberufsausweis möglich sein. Damit soll sichergestellt werden, dass niemand von Dritten, wie zum Beispiel Arbeitgebern oder Versicherungen genötigt werden kann seine Daten offen zu legen. Dieser Schutz ist einerseits effektiv, schränkt aber in einem zu hohem Maße die Möglichkeiten des Patienten über seine persönlichen Daten zu verfügen ein.

Alternativvorschlag zum Schutz vor Missbrauch durch Dritte

Daher sollte ein subtilerer aber ebenso effektiver Schutz eingeführt werden. Es muss für den Patienten auch möglich sein, die Daten ohne einen elektronischen Heilberufsausweis zu lesen und zu bearbeiten. Mit Hilfe des elektronischen Heilberufsausweises sollte nur die Möglichkeit bestehen die Echtheit der Karte zu verifizieren. Dies würde es dem Patienten erlauben vollständig über seine Daten zu verfügen. Sollten Dritte nun versuchen durch den Patienten die Daten offenlegen zu lassen hat er die Möglichkeit falschen Angaben zu machen. Dazu kann er sich eine Dummy-Karte zulegen, deren Echtheit nur durch berechtigte Personen oder Institutionen mit einem elektronischen Heilberufsausweis überprüft werden kann. Dieses Vorgehen ist vergleichbar mit der mit der Situation in Einstellungsgesprächen. So können gegenüber potentiellen Arbeitgebern falsche Angaben bei unzulässigen Fragen gemacht werden ohne dass daraus juristische Konsequenzen erwachsen können.

Es besteht aber weiterhin die Notwendigkeit der PIN-Eingabe um auf die Daten zugreifen zu können. Damit wird ein Missbrauch durch Unbefugte, zum Beispiel nach Diebstahl oder Verlust verhindert. Ähnlich wie bei SIM-Karten sollte die Karte nach eine bestimmten Anzahl falsch eingegebener Nummern gesperrt werden. Dazu wird auf der Mikroprozessorkarte ein Zähler implementiert. Nach mehrmaliger falscher Eingabe der PIN kann auf die Karte nur noch mit einem Entsperrcode zugegriffen werden, der idealerweise so gewählt wird, dass ein Angriff mit Wörterbuch- oder Brutal-Force-Attacken nach heutigem Stand der Technik nur in einem für den Angreifer nicht vertretbarem Zeitrahmen möglich ist. Darüber hinaus sollte die Möglichkeit geschaffen werden, dass der Entsperrcode nur nach Ablauf einer festdefinierten Zeit eingegeben werden kann, um das automatisierte Eingeben zu verlangsamen. Dazu wird ein weiterer Zähler implementiert, der nach Eingabe eines Entsperrcodes gesetzt wird und im Anschluss mit jedem Takt des Mikroprozessors der Karte verringert wird. Schon eine Verzögerung im Zehntelsekundenbereich würde den Zeitaufwand für den Angreifer erheblich erhöhen. Als alternativen bzw. zusätzlichen Schutzmechanismus für die verzögerte Eingabe wäre es vertretbar, dass bei der Eingabe eines Entsperrcodes ein Heilberufsausweis vorhanden ist, da dieser Fall nur vergleichsweise selten Auftreten sollte.

Nachteilig wären die entstehenden Kosten für eine zweite Karte. Die Implementierung von ein bzw. zwei Zählern sollte hingegen auf einer Mikroprozessorkarte mit integriertem Speicher ohne großen Aufwand möglich sein. Würden die elektronische Gesundheitskarte und die Dummy-Karte aber gleichzeitig ausgeliefert, würden die Bearbeitungskosten nur einmal entstehen. Die Kosten für die Zweitkarten sollten angesichts der Masse der Chipkarten relativ gering sein und könnten wie für Kartenlesegeräte und elektronische Signatur durch den Patienten getragen werden. Dieser Mehraufwand ist gerechtfertigt, da er dem Versicherten eine stärkere Autonomie über seine Daten gibt ohne die Sicherheitsaspekte zu vernachlässigen. Damit können Akzeptanz und Transparent der Karte um ein Vielfaches gesteigert werden, zumal auch ein Großteil der Bevölkerung über die Möglichkeit verfügen würde, mit heimischer Rechentechnik auf die Karte zugreifen zu können.

Weitere Schutzmaßnahmen

Sollten dennoch Dritte unberechtigt Zugriff auf die Daten erlangen, ist eine strafrechtliche Verfolgung möglich und vorgesehen. Desweiteren werden mindestens die 50 letzten Zugriffe auf die Patientendaten so protokolliert, dass der Patient dies nachvollziehen kann.³⁾ Damit soll ein Missbrauch in der Nutzung der Daten über den Willen der Versicherten hinaus durch einen Träger eines Heilberufsausweises vermieden werden. Neben dem Heilberufsausweis ist es nach dem bisherigen Konzept notwendig, dass der Patient den Zugriff, zum Beispiel durch Eingabe einer PIN, autorisiert. Auf Notfalldaten und administrative Funktionen kann auch ohne die Autorisierung durch den Patienten zugegriffen werden.