Sicherheit und Datenschutz bei der Telematik im Gesundheitswesen

Wesentliche Systemkomponenten müssen zertifiziert werden

2004 +++ Peter Schaar +++ Quelle: ärztepost 4/2004,5-7

Peter Schaar ist Bundesbeauftragter für Datenschutz

Auszüge:

Mit der Zunahme vernetzter IT-Systeme im Gesundheitswesen sind erhebliche Herausforderungen für die Datensicherheit und für den Schutz persönlicher Daten verbunden. Dies gilt sowohl für zum Teil bereits eingesetzte Verfahren, wie die Teleradiologie und die Telekonsultation, aber noch verstärkt für die neue elektronische Gesundheitskarte, die weitere Anwendungen ermöglichen und eine Basiskomponente der IT-Infrastruktur im gesamten Gesundheitswesen werden soll.

Bei der Schaffung des § 291a SGB V, der die gesetzlichen Grundlagen zur Einführung der elektronischen Gesundheitskarte normiert, wurden die wesentlichen datenschutzrechtlichen Anforderungen berücksichtigt. So bleiben die Datenhoheit der Versicherten und der Grundsatz der Freiwilligkeit der Speicherung von Gesundheitsdaten bewahrt. Die Versicherten können darüber entscheiden, welche ihrer Gesundheitsdaten aufgenommen und welche gelöscht werden, sowie ob und welche Daten sie einem Leistungserbringer zugänglich machen.

Noch nicht entschieden ist die Frage, ob die Daten künftig auf einer Chipkarte oder einem Server gespeichert werden. Es muss jedenfalls sicher sein, dass kein Unbefugter diese Daten einsehen oder sie manipulieren kann. Diese Ausgangsposition gilt für beide in der Diskussion befindlichen Grundmodelle, also das „Chipkarten-Modell" und das „Servermodell".

So ist bei einem Servermodell besonders zu beachten, dass auf die Daten nicht unbemerkt über Netzinfrastrukturen zugegriffen werden kann. Bei einer vornehmlich dezentralen Speicherung kommt der Sicherheit der Karte als Verarbeitungsmedium besondere Bedeutung zu.

Medizinische Dokumente, die ihren Urheber bzw. Verantwortlichen nicht erkennen lassen, sind als Grundlage für Behandlungen und Begutachtungen und damit auch für die Speicherung mittels der Gesundheitskarte ungeeignet.

Die personenbezogenen Daten müssen zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können. Nicht oder nicht rechtzeitig zur Verfügung stehende Daten können zu verspätetem Handeln oder zu Behandlungsfehlern des Mediziners führen und unter Umständen lebensbedrohende Folgen für den Patienten sowie rechtliche Konsequenzen für den Mediziner haben. Die Verfügbarkeit der Daten impliziert natürlich die Verfügbarkeit der zur ordnungsgemäßen Verarbeitung erforderlichen Komponenten (Hard- und Software) des IT-Systems.

Es muss nachvollziehbar sein, wer welche Diagnose gestellt und welche Therapie verordnet hat und aufgrund welcher Daten ein Arzt seine Entscheidung über Behandlungsmaßnahmen getroffen hat.

Für zentrale Systeme sind bereits bestimmte, für den Datenschutz wichtige Forderungen in der „Rahmenarchitektur" zur Einführung der elektronischen Gesundheitskarte geregelt, insbesondere die Sicherheit und die Hochverfügbarkeit. Auch bei lokalen Systemen, wie bei der Umsetzung der elektronischen Gesundheitskarte zum Beispiel in Arztpraxen oder Apotheken, müssen diese Anforderungen gewährleistet werden.

Hier rate ich dringend, die wesentlichen Systemkomponenten hinsichtlich der jeweiligen Daten- und Informationsflüsse einer Zertifizierung zu unterwerfen. Dabei sollen die rechtlichen und technischen Anforderungen in „protection Profiles" definiert und die Systeme durch unabhängige Gutachter überprüft werden. Eine derartige Zertifizierung, deren Schwerpunkt eine durch den Benutzer bestimmbaren und überprüfbaren Kontrolle der Informationsflüsse bildet, wäre eine sinnvolle Ergänzung zu etablierten Sicherheitskonzepten, wie etwa Zugriffsschutz, Übertragungsschutz, Firewalls oder Virtual Private Networks. Komponenten der Zertifizierung wären der Schutz der Datenintegrität durch elektronische Signaturen, die Gewährleistung der Vertraulichkeit durch Verschlüsselung und die Sicherstellung der Authentizität durch elektronische Zertifikate.

Wenn es gelingt, ein Höchstmaß an Sicherheit und Schutz bei der Verarbeitung der sensiblen personenbezogenen Gesundheitsdaten zu gewährleisten, steht aus datenschutzrechtlicher Sicht einem erfolgreichen Start der Gesundheitskarte nichts im Wege.