Seite empfehlenDatenschutzrechtliche Rahmenbedingungen der elektronischen Gesundheitskarte
Rede des Bundesbeauftragten für den Datenschutz Peter Schaar zum Thema "Elektronische Gesundheitskarte" anlässlich eines Symposiums am 7. Juli 2005 in Nürnberg
- Beginn:
- 07.07.2005
- Ansprechpartner:
- Peter Schaar
Sehr geehrte Damen und Herren,
ich möchte mich zunächst ganz herzlich für die Einladung bedanken, hier auf diesem Symposium zum Thema „Datenschutzrechtliche Rahmenbedingungen der elektronischen Gesundheitskarte“ sprechen zu dürfen.
Ich freue mich auch deshalb ganz besonders, weil hier auf diesem Symposium mit der elektronischen Gesundheitskarte (eGK) ein Thema im Blickpunkt steht, das ich seit Beginn meiner Amtszeit intensiv begleitet habe und dessen Entwicklung mir ein zentrales Anliegen geworden ist.
Die Anfänge der Entwicklung der Telematik im Gesundheitswesen, in dessen Rahmen auch schon früh die jetzigen Komponenten der eGK diskutiert wurden, reichen bis in die frühen neunziger Jahre zurück. Bereits mein Vorgänger im Amt des Bundesbeauftragten für den Datenschutz hat im 15. Tätigkeitsbericht im Jahre 1994 dort folgendes ausgeführt: „Bis jetzt sind zu viele Fragen offen, als dass man den Einsatz von Chipkarten als Träger von Gesundheitsinformationen über seinen Inhaber generell empfehlen könnte. Und auch die Alternative, über die Chipkarte des Patienten den Zugang zu diesen Informationen über ein Computernetz zu eröffnen, ist nicht hinreichend ausdiskutiert. Bei der Lösung dieser Fragen ist Eile geboten. Denn die Technik dazu ist im Prinzip vorhanden.“
Seitdem sind viele Jahre vergangen, und ich möchte hier wirklich nicht nachkarten, welche Ursachen für die vielleicht doch, sagen wir mal eher zögerliche Entwicklung verantwortlich sind. Eines kann und möchte ich aber mit besonderem Nachdruck sagen: Am Datenschutz hat es sicherlich nicht gelegen. Der Datenschutz stand und steht der Telematik im Gesundheitswesen durchaus aufgeschlossen gegenüber und unterstützt selbstverständlich alle Projekte, die im Interesse der Patienten und zu deren Gunsten unternommen werden. Das war in den vergangenen Jahren so und das wird auch in Zukunft so bleiben.
Im Jahr 2003 hat dann der Bundestag ein Gesetz beschlossen - das Gesetz zur Modernisierung der Gesetzlichen Krankenversicherung, im „Juristendeutsch“ kurz: GKV-Modernisierungsgesetz – GMG – genannt, das endlich die rechtliche Grundlage zur eGK enthält. Diese Regelung ist Ihnen natürlich bekannt. Ich meine hier die Regelung des § 291a SGB V, womit die elektronische Gesundheitskarte bis zum 1. Januar 2006 eingeführt werden soll. An der Formulierung dieser Regelungen hat sich der BfD aktiv beteiligt und ich denke, dass man aus Datenschutzsicht mit dem Ergebnis zufrieden sein kann. Die beteiligten Stellen sind seit diesem Zeitpunkt nicht untätig geblieben und es entstand in der Zwischenzeit sowohl ein umfangreiches Rahmenkonzept als auch ein darauf basierendes Papier zur Lösungsarchitektur. Extra für die Umsetzung der Lösungsarchitektur, in deren Rahmen noch erhebliche Gestaltungsspielräume bestehen, wurde von der Selbstverwaltung die „gematik“ gegründet. Zur Zeit beschäftigt sich gematik schwerpunktmäßig mit ausführlichen Praxistests, die noch in diesem Jahr beginnen sollen.
Sinn und Zweck der Einführung der eGK und dem damit verbundenen Einsatz moderner Informationstechnologie soll sein: die Qualität der medizinischen Versorgung zu optimieren, patientenorientierte Angebote zu verbessern und Wirtschaftspotenziale im Gesundheitswesen zu erschließen. Vorgesehen ist somit eine Leistungsverbesserung bei gleichzeitiger Effizienzsteigerung und Kostenreduzierung, und alles soll insgesamt zum Nutzen und Wohle der Patienten sein. Das sind alles Ziele, über die eine breite gesellschaftspolitische Einigung erreicht wurde. Auch ich teile diese Zielsetzung Die große Frage ist also, wie lassen sich diese Ziele erreichen? Welche Rahmenbedingungen müssen Staat und Gesellschaft und die Vertreter der Selbstverwaltungspartner im Gesundheitswesen schaffen?
Und mich interessiert dabei natürlich besonders die Frage: Wie kann dabei der Datenschutz gewährleistet, ja vielleicht sogar gegenüber dem Ist-Zustand verbessert werden? Das Thema Datenschutz ist in der Bevölkerung positiv besetzt. Dies gilt insbesondere, wenn es sich um den Schutz sehr sensibler Daten handelt. Mich erreichen seit längerer Zeit viele Anfragen besorgter Bürgerinnen und Bürger, ob denn nicht mit der Gesundheitskarte der „gläserne Patient“ geschaffen werde. Und diese Besorgnis kommt mitnichten nur von sog. Bedenkenträgern oder Querulanten, sondern sie ist sehr weit verbreitet.Ich bin fest davon überzeugt, dass die Patienten dem Einsatz der Telematik im Gesundheitswesen wesentlich offener entgegentreten, wenn sie sicher sind, dass ihre hochsensiblen Gesundheitsdaten geschützt sind. Mehr noch: Das Projekt eGK wird sich nur durchsetzen lassen, wenn die Versicherten darauf vertrauen können, dass ihre Daten nicht in falsche Hände geraten. Deshalb bin ich der Auffassung, dass dem Datenschutz gerade bei der Einführung der elektronischen Gesundheitskarte eine zentrale Rolle zukommt.
Bei der jetzt anstehenden Umsetzung der Lösungsarchitektur in die Praxis müssen einige datenschutzrechtliche Grundsätze beachtet werden, die in die entsprechenden rechtlichen Vorschriften Eingang gefunden haben. An diesen datenschutzrechtlichen Parametern müssen sich sozusagen alle vorgesehenen Vorhaben messen lassen.
Ich möchte sie wie folgt zusammenfassen:
- Die Datenhoheit der Patienten und der Grundsatz der Freiwilligkeit der Speicherung von Gesundheitsdaten müssen bewahrt werden.
- Die Patienten müssen darüber entscheiden können, welche ihrer Gesundheitsdaten aufgenommen und welche gelöscht werden.
- Die Patienten müssen darüber entscheiden können, ob und welche Daten sie einem Leistungserbringer zugänglich machen.
- Die Patienten müssen das Recht haben, die über sie gespeicherten Daten zu lesen.
Ich möchte an dieser Stelle noch einmal meine Aussage bekräftigen: Über Erfolg oder Misserfolg des Einsatzes von Informationstechnologie im Gesundheitswesen entscheidet die Akzeptanz bei den Menschen. Es ist hier nicht anders wie in allen anderen Bereichen, wo eine neue, den Menschen nicht vertraute Technik eingesetzt werden soll. Die Menschen sind zuerst mal misstrauisch! Klappt das denn auch alles? Was passiert da eigentlich mit meinen Gesundheitsdaten? Wer sieht die denn eigentlich? Um die angestrebten Projekte zum Erfolg zu führen, müssen sich die Menschen also mit ihren Daten im Netz eines modernen Gesundheitswesens sicher fühlen. Sie dürfen nicht den Eindruck haben, als seien sie Objekte, die in diesem Netz gefangen sind. Aus meiner Sicht ist deshalb ein entscheidender Punkt, dass die Patienten in Zukunft nicht schlechter gestellt werden dürfen als sie heute stehen. Ihre datenschutzrechtliche Position darf sich nicht verschlechtern. Die Patienten bestimmen bisher über ihre Daten und das muss auch so bleiben. Das bedeutet, dass die Patienten – selbstverständlich im Rahmen der gesetzlichen Regelungen – über die die gespeicherten Daten selbst entscheiden können müssen und auch darüber, wer Kenntnis von den Daten erlangt. Wenn die Akzeptanz für die neuen Techniken vorhanden ist, weil die Patienten die sich für sie ergebenden Vorteile erkennen, werden sie sich auch freiwillig beteiligen.
Dabei muss natürlich auch die Frage nach der Validität der Daten beantwortet werden. Die eGK wird den behandelnden Arzt nicht davon entbinden, eine Anamnese durchzuführen und zu klären, ob und welche Medikamente – unabhängig von den gespeicherten Daten – tatsächlich in welcher Dosierung eingenommen wurden. Die eGK kann den verantworlichen Behandler nicht ersetzen, aber sie kann ihn sensibilsieren und unterstützen. Vor diesem Hintergrund möchte ich vor der Vorstellung warnen, dass eine Ausweitung des Pflichtbereichs über das e-Rezept hinaus den medizinischen Wert der Karte sinifikant steigern würde. Was würde es z.B. nützen, die Notfalldaten für obligatorisch zu erklären, wenn Versicherte nicht davon überzeugt werden können, dass sie ihre Karte auch tatsächlich immer mitführen. Und auch die formal lückenloseste Arzneimitteldokumentation verhindert nicht, dass der Patient sich nicht an eine Verordnung hält oder sich – etwa im Urlaub – mit nicht registrierten Arzneimitteln versorgt.
Deshalb mein dringender Appell: Versuchen wir die Menschen zu überzeugen und ihr Vertrauen darin zu gewinnen, dass die eGK auch für sie viele Vorteile bringt. Das bringt mehr als jede Diskussion über wohlmeinenden Zwang zu tatsächlich oder vermeintlich vernünftigem Verhalten auf diesem Feld.
Die bereits oben angesprochene Grundsatzregelung in § 291a berücksichtigt die unterschiedlichen Interessenlagen. Ich habe ja vorhin schon die Freiwilligkeit herausgestellt. Dieses Prinzip ist bei der elektronischen Gesundheitskarte mit einer Ausnahme, auf die ich gleich zu sprechen komme, auch eingehalten worden. Nahezu vorbildlich aus datenschutzrechtlicher Sicht ist in § 291a Abs. 3 zunächst die Informationspflicht der Krankenkassen an die Versicherten. Sodann können diese in jedem Einzelfall freiwillig entscheiden, zu welcher Anwendung der Gesundheitskarte sie ihre Einwilligung erteilen. Die eingangs von mir genannten datenschutzrechtlichen Parameter finden Sie hier allesamt wieder und deshalb halte ich diese Regelung für so gelungen.
Als Einstiegsprojekt bei der Einführung der elektronischen Gesundheitskarte ist das elektronische Rezept ausgewählt worden. Deshalb ist es jetzt besonders wichtig, dass hier keine Fehler gemacht werden. Lassen Sie mich, meine Damen und Herren, insoweit noch einen Moment in der Gegenwart verweilen. Die sieht wie folgt aus: Der Patient erhält von seinem behandelnden Arzt sein Rezept, nur er und sein Arzt haben Kenntnis von den verordneten Medikamenten. Ob und wann das Rezept eingelöst wird, liegt in der Hand des Patienten und keiner außer ihm kann später nachvollziehen, wie er mit diesem Rezept umgegangen ist. Allerdings erhalten auch die Apotheken Kenntnis von den eingelösten Rezepten und die Rezeptdaten werden bereits heute in zentralen Rechenzentren elektronisch erfasst und ausgewertet, was nicht ohne datenschutzrechtliche Brisanz ist – aber das ist ein anderes Thema. Bei einem elektronischen Rezept werden von Beginn an Daten gespeichert, ob auf einer Chipkarte oder einem Server, hier weiß der Patient nicht, wer alles auf diese Daten zugreifen kann. Vereinfacht ausgedrückt: Hier fehlt, zunächst jedenfalls, schlicht und einfach die Transparenz für den Patienten. Und das kann bei ihm zu einer Verunsicherung führen. Er muss sicher sein, dass kein Unbefugter sein Rezept einsehen kann, dass das Rezept nicht unzulässiger Weise kopiert wird oder der Verlauf des Rezeptes nachvollziehbar gehalten wird. Wir müssen hier die höheren Gefährdungspotentiale sehen und auch zur Kenntnis nehmen, dass dann, wenn in Zukunft Gesundheitsdaten in digitaler Form gespeichert werden – und es geht hier letztlich um weitaus mehr Informationen als nur um die Rezeptdaten -, die Gefahr einer Manipulation ungleich größer ist, als wenn wir uns die herkömmliche Patientenkarteikarte des Arztes vor Augen halten. Wir müssen alle Voraussetzungen schaffen – und hier sind insbesondere die Selbstverwaltungspartner gefordert – dass die Patienten darauf vertrauen können, dass ihre Daten nicht vervielfältigt werden oder an Personen übermittelt werden, die zur Kenntnisnahme nicht berechtigt sind.
Jede unzulässige Verarbeitung von Gesundheitsdaten schädigt nicht nur den jeweils unmittelbar Betroffenen, sondern sie kann auch das notwendige Vertrauen in die generelle Wahrung des Arztgeheimnisses untergraben.
Um dies zu gewährleisten enthält § 291a zunächst klare Zugriffsregelungen, die für die jeweiligen Anwendungen unterschiedlich ausgeprägt sind. Damit wird für die jeweilige Anwendung klargestellt, wer und unter welchen Voraussetzungen auf die entsprechenden Daten zugreifen darf. Vereinfacht ausgedrückt handelt es sich dabei um ein zwei-Schlösser-System: die vom Patienten freigeschaltete eGK und die HPC des Arztes. Prinzipiell soll der Zugriff auf die Daten nur möglich sein, wenn beide Schüssel vorhanden sind – nur für die Notfalldaten gibt es hier eine Ausnahme, weil der Betroffene ja möglicherweise nicht in der Lage ist, selbst zu handeln.
Um diese Zugriffsregelungen in der Praxis vernünftig umsetzen zu können, muss die Technik dies angemessen unterstützen. Dabei kommt es nicht unbedingt auf eine bestimmte technische Lösung an, denn die konkrete Ausgestaltung im Einzelnen entscheidend ist. Es muss allerdings sichergestellt werden – egal zu welcher Lösung man gelangt – dass insbesondere die Vertraulichkeit, Authentizität, Integrität und Verfügbarkeit der Daten garantiert sind. Hierzu sind einerseits elektronische Signaturen und andererseits die kryptographische Speicherung der Daten notwendig. Von einer Verschlüsselung könnte nur abgesehen werden, wenn es gelänge, eine anonymisierte Verarbeitung der Daten einzuführen. Im Augenblick gibt es intensive Gespräche mit den Selbstverwaltungspartnern im Gesundheitswesen, um deren Vorstellungen von Anfang an datenschutzrechtlich zu begleiten. Es sind zahlreiche Fragen zu klären, angefangen damit, wer Einblick in die Daten hat, ob der Apotheker nur die Daten einsehen kann, die für die Ausgabe des Medikamentes erforderlich sind, ob diese Daten nach Ausgabe des Medikamentes automatisch gelöscht werden oder nicht doch Kopien zurück bleiben, die sogar dazu führen können, dass der Patient das Medikament in einer anderen Apotheke nochmals erhalten kann. Wie und wann kann der Patient selbst die Daten lesen oder eventuell auch löschen, und zwar unabhängig vom Arzt oder Apotheker? Muss bzw. darf der behandelnde Arzt erfahren, ob und wann der Patient das Rezept eingelöst hat oder soll nicht auch über diese Frage der Patient selbst entscheiden dürfen. Ich bin sehr froh, dass wir auf einem guten Weg sind, gemeinsam mit allen Verantwortlichen eine Lösung zu finden. Ich halte es für zwingend erforderlich, in Pilotprojekten alle Modelle einem echten Test zu unterziehen. Nur wenn alle Beteiligten offen an die Lösung der Probleme herangehen, wird es gelingen, eine Lösung zu finden, die allen Erfordernissen entspricht. Datenschutzrechtliche Grundforderungen, die sich quasi in der Rahmenarchitektur der Gesundheitstelematik fest zementieren lassen, sind in diesem Bereich schlecht zu formulieren. Anders als bei den vorhin von mir genannten datenschutzrechtlichen Parametern gibt es hier einen größeren Spielraum und mehr Bewegungsfreiheit. Datenschutzrechtliche Vorgaben, und die Betonung liegt auf „rechtliche“ Vorgaben, sind solche, die aufgrund unseres Rechtssystems zwingend einzuhalten sind. § 291a bringt diese datenschutzrechtlichen Vorgaben.
Ein weiteres Thema des technologischen Datenschutzes ist die Sicherheit beim Transport und bei der Speicherung der sensiblen Daten. Dabei sind die technischen Bedingungen den beteiligten Personen oftmals nicht bekannt, geschweige denn, dass sie von ihnen beeinflusst werden können. Deshalb ist es nicht auszuschließen, dass die übertragenen Daten unterwegs verfälscht oder von unbefugten Dritten angesehen werden können oder dass unbemerkt Kopien der gespeicherten Daten angelegt werden. Diese Risiken mögen gering sein, sie dürfen aber nicht völlig vernachlässigt werden. Und weil auch in diesem Bereich Maßnahmen zum absoluten Schutz kaum möglich sind, muss das Augenmerk auch auf die Reduzierung des möglichen Schadens gerichtet werden. Der Schaden einer Verfälschung lässt sich durch das Hinzufügen einer digitalen Signatur des jeweiligen Absenders der Daten wirksam begrenzen. Denn dadurch kann der Empfänger jede Verfälschung mit extrem hoher Sicherheit bemerken und bei Bedarf eine erneute Übertragung der Daten anfordern. Zugleich wird damit die Verantwortung für die Richtigkeit der jeweiligen Daten deutlich gemacht. Der rechtliche Rahmen für solche Verfahren ist mit dem Signaturgesetz und der Signaturverordnung vorhanden, so dass einer regelmäßigen Anwendung derartiger Verfahren nichts im Wege stehen dürfte. Darüber hinaus muss großer Wert auf eine der Sensibilität der Daten angemessene Organisation in den Rechenzentren gelegt werden.
Wenn ich mich jetzt zuletzt mit Fragen der Erstellung und Übertragung der Datensätze befasst habe, so drängt sich natürlich auch die Frage auf, wer diese Daten in welchem Zusammenhang nutzen darf. Dazu ist es unerlässlich, dass die Berechtigung zur Teilnahme an dieser Art von Datenverkehr durch einen Ausweis in Form einer Chipkarte nachzuweisen ist. Zum Glück besteht Einigkeit, dass die Health Professional Card unverzichtbar ist. Auch die schon von mir angesprochene Regelung des § 291a SGB V sieht eine solche Karte vor. Diese Chipkarte muss ihren Inhaber identifizieren, die Art seiner berufsspezifischen Zugriffsberechtigung angeben, eine digitale Signaturfunktion enthalten und das Verschlüsseln und Entschlüsseln digitaler Nachrichten unterstützen.
An dieser Stelle möchte ich ein anderes mir wichtiges Thema ansprechen, nämlich den Schutz vor einer Beschlagnahme. Wie Sie wahrscheinlich wissen, soll eine Umgehung des Zeugnisverweigerungsrechts der Ärzte und der Hilfspersonen dadurch verhindert werden, dass schriftliche Mitteilungen oder Aufzeichnungen einen Beschlagnahmeschutz genießen. Die entsprechenden Vorschriften in der Strafprozessordnung führen dazu, dass die Patientendaten dem besonderen Schutz vor staatlichen Zugriffen nur dann unterliegen, wenn sich diese Daten im Gewahrsam des „zur Verweigerung des Zeugnisses Berechtigten“ befinden, also, um es vereinfacht auszudrücken: Der Beschlagnahmeschutz gilt nur dann, wenn der Arzt die Daten in seinem Gewahrsam hat. Was passiert aber mit den Daten, die auf der Chipkarte übertragen sind und die sich nicht mehr beim Arzt befinden? Auch in dieser Frage hat der Gesetzgeber den Beschlagnahmeschutz ausgeweitet, so dass die Daten insoweit geschützt sind.
Sie sehen, meine Damen und Herren, es ist schon ein beträchtlicher Weg hin zur elektronischen Gesundheitskarte zurückgelegt worden. Gleichwohl bleiben eine Reihe von Fragestellungen, die einer datenschutzgerechten Lösung zugeführt werden müssen. Alle Probleme, die ich in der Kürze der zur Verfügung stehenden Zeit zum Teil nur habe anreißen können, erscheinen sowohl aus rechtlicher als auch technischer Sicht lösbar. Der Datenschutz, um dies auch nochmals zu verdeutlichen, tritt hier nicht als Verhinderer auf – wie übrigens auch sonst nicht –, sondern als Wahrer des Schutzes von personenbezogenen Daten der Patienten. Dadurch erfüllt er letztlich eine ganz wichtige Funktion, denn alle neuen Projekte müssen sich daran messen lassen, dass die Patienten sich auf diese Systeme auch verlassen können müssen, um ihnen ihre „Geheimnisse“ anzuvertrauen. Dazu gehört zwingend ein hohes Maß an Transparenz der Strukturen, sowohl der Datenverarbeitung selbst als auch deren Schutzmaßnahmen. Ohne diese Transparenz wird die notwendige Akzeptanz der Patienten nicht erreicht werden können. Diese Akzeptanz sowohl bei Patienten als auch in der Politik zu erreichen, ist das Ziel aller Beteiligten, und da schließe ich den Datenschutzbeauftragten ausdrücklich mit ein. Zur Unterstützung und Beratung stehe ich wie schon in der Vergangenheit gerne bereit. Ich bin sicher, dass die Beteiligten, auch zukünftig mit den Datenschutzbeauftragten eng und vertrauensvoll zusammen arbeiten werden. Gleiches gilt natürlich auch für das Bundesministerium für Gesundheit und Soziale Sicherung, wo die Einrichtung der Projektgruppe „Telematik – Gesundheitskarte“ aus meiner Sicht einen sehr gewichtigen Beitrag an der positiven Entwicklung trägt. Im Interesse des Datenschutzes der Patienten wünsche ich eine erfolgreiche Fortsetzung der bisherigen Aktivitäten. Der Datenschutzbeauftragte ist bereit, hierzu seinen Beitrag zu leisten.
Druckversion im pdf-Format (Link)